Durant sa présentation en 2017 avec l’iPhone X, Apple avait beaucoup insisté sur la sécurité renforcée de Face ID. Le système de reconnaissance faciale mis au point par la Pomme est en effet plutôt évolué, projetant 30 000 points invisibles sur votre visage afin d’autoriser ou non l’authentification d’un visage. Le système est si sécurisé qu’aucun constructeur du monde Android n’a encore réussi à l’égaler, même si Google arrive à grands pas avec son propre système de reconnaissance faciale avec son Pixel 4.
Après plusieurs années à tenter de duper Face ID, en vain, des chercheurs sont parvenus à trouver une faille dans le système mis au point par Apple, indique Threatpost. Ces chercheurs ont expliqué leur trouvaille durant la dernière conférence Black Hat, une réunion d’Hackers et d’experts réputés qui exposent des failles dangereuses pour la sécurité de l’information.
L’option “Exiger l’attention pour Face ID” en cause
Il semblerait que Face ID ne soit pas si inviolable que cela, puisque les chercheurs de Tencent Security sont parvenus à le duper avec des lunettes et… de l’adhésif. Zhuo Ma a expliqué qu’ils sont partis de l’option « Exiger l’attention pour Face ID » dans les réglages des iPhone équipés du système de reconnaissance faciale. Ce réglage permet de garder verrouillé l’iPhone tant que son propriétaire ne dirige pas son regard vers le smartphone.
Sauf que ce réglage comporte une faille. L’option « Exiger l’attention » repère en effet le regard en dessinant une zone noire sur la pupille et un point blanc là où se trouve l’iris. Mais si l’utilisateur porte des lunettes, Face ID ne peut pas calculer les informations volumétriques sur l’oeil, et se contente des informations fournies par la zone noire et le point blanc généré sur la pupille, et donc, sur la surface des lunettes. Les chercheurs ont donc utilisé une paire de lunettes lambda, et ont collé sur chaque verre de l’adhésif noir avec un point blanc au centre, soit de la même façon que Face ID repère l’attention. La magie opère, puisque l’iPhone se déverrouille automatiquement lorsque le porteur se place face à son téléphone, sans même le regarder.
Security researchers demonstrate how to bypass Face ID with glasses and tape https://t.co/sr5Mtt81E7 by @ChanceHMiller pic.twitter.com/PMxmF4BcTg
— 9to5Mac (@9to5mac) August 9, 2019
Bien sûr, cette technique n’est pas forcément aisée à mettre en place, puisque les lunettes trafiquées doivent forcément être posées sur le nez du propriétaire de l’iPhone. Malgré tout, il est possible d’utiliser cette technique lorsque le porteur est endormi, afin de valider un transfert d’argent, par exemple, ce qui en fait une faille de sécurité assez problématique.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
Il n’y a pas de faille si c’est le propriétaire qui déverrouille son propre appareil.
” Malgré tout, il est possible d’utiliser cette technique lorsque le porteur est endormi, afin de valider un transfert d’argent, par exemple, ce qui en fait une faille de sécurité assez problématique. “
Clair, je dors souvent quand un inconnu s’invite chez moi avec de l’adhesif.
ça c’est de la faille de sécurité ! On peut aussi lui couper la tête et scotcher les paupières vers le haut. facile a mettre en place !
Ou est la faille, puisque il faut le propriétaire, c’est n’importe quoi !!!
mec ! les gens utilisent qui défendent FaceID disent que c’est mieux que le lecteur d’empreinte car quant t’es endormi , ton conjoint peu utiliser ton doigt pour déverrouiller l’appareil et accéder à tes messages , chose qui n’est pas possible avec FaceID , là ils prouvent que c’est possible grace à un petit bidouillage !