Passer au contenu

iPhone X : ce masque permet de contourner Face ID en quelques secondes

La société vietnamienne Bkav a présenté une seconde démonstration, beaucoup plus convaincante, d’un hack de la reconnaissance faciale de l’iPhone. Pour autant, le risque de se faire pirater reste faible.

Il ne faut jamais brûler les étapes. Il y a deux semaines, lorsque les chercheurs en sécurité de la société vietnamienne Bkav ont fièrement annoncé avoir réussi à contourner l’authentification Face ID de l’iPhone X avec un masque, un goût d’inachevé nous est resté dans la bouche. Car la méthode utilisée était pour le moins énigmatique. Le masque était assemblé de différentes matières sans que l’on sache vraiment pourquoi. Par ailleurs, les hackers n’avaient pas réinitialisé la fonction Face ID lors de la démonstration, ce qui a laissé planer le soupçon d’un apprentissage du masque, d’autant plus que les chercheurs ont précisé qu’il leur avait fallu jusqu’à neuf heures pour réussir à duper la fonction de reconnaissance faciale. Bref, ce n’était pas très convaincant.

Hier, la société Bkav a publié une seconde démonstration beaucoup plus concluante. Dans une vidéo YouTube, on voit ainsi l’un des chercheurs présenter un second masque à son effigie, imprimé en 3D avec de la poudre minérale colorée. Des photos de ses yeux prises avec un filtre infrarouge ont également été collés par-dessus. L’homme réinitialise la fonction Face ID, puis place l’iPhone X devant le masque. En quelques secondes, bingo, l’appareil est déverrouillé.

Si l’on ne pouvait pas vraiment parler de faille de sécurité la première fois, c’est clairement le cas maintenant. Avec un investissement de 200 dollars, il est possible de créer un masque d’une personne qui permet de déverrouiller presque instantanément un iPhone X sans qu’il y ait un quelconque apprentissage.

Faut-il pour autant désactiver Face ID ? Non, pas plus qu’il ne fallait désactiver Touch ID après la démonstration du hack avec le faux doigt. Cette attaque reste trop compliquée à réaliser pour être exploitable à grande échelle. Le particulier lambda n’a pas besoin de s’inquiéter qu’une bande de pirates façonne un masque 3D pour rentrer dans son iPhone X. Pour lui, le principal risque se situe plutôt au sein de son foyer. Dans certains cas, Face ID semble en effet s’emmêler les pinceaux entre les membres d’une même famille. Récemment, la fonction a par exemple confondu une mère et son enfant de 10 ans.

Pour des célébrités, en revanche, l’activation de Face ID est difficile à recommander. Car obtenir une image 3D du visage de la victime et des photos de ses yeux avec filtre infrarouge n’est pas si difficile, surtout si cette personne se montre en public. Selon Bkav, il suffit de prendre des photos d’une personne à certains angles, « puis de traiter ces photos par des algorithmes pour en faire un objet 3D », souligne l’entreprise. En 2014, le hacker Starbug avait déjà montré qu’il était possible des récupérer des données biométriques précises d’une personne telles que l’iris ou les empreintes digitales, armé seulement d’un appareil photo numérique.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert KALLENBORN