La société vietnamienne Bkav affirme avoir trompé Face ID, le nouveau système de reconnaissance faciale d’Apple, à l’aide d’un masque à 150 dollars. Douteux.
À voir aussi sur Konbini
C’est la performance de la semaine dans le petit monde ouaté du hacking : ce 13 novembre, des chercheurs en sécurité de la firme vietnamienne Bkav exposaient, vidéo à l’appui, une méthode permettant de tromper la vigilance de Face ID, la technologie de reconnaissance faciale d’Apple embarquée sur l’iPhone X.
Un camouflet pour la marque à la pomme, qui dévoilait son fleuron de la biométrie il y a tout juste dix jours et garantit sur son site que “la probabilité qu’une personne aléatoire puisse regarder votre iPhone X et le débloque en utilisant Face ID est environ une sur un million”.
Entendons-nous bien : depuis sa présentation, Face ID est devenu l’objectif prioritaire d’à peu près tous les groupes de chercheurs en sécurité informatique de la planète, et il était à peu près certain qu’à force de travail, une équipe allait finir par décrocher la timbale et réussir à le pirater.
La reconnaissance biométrique et ses effluves dystopiques sont aujourd’hui un tel enjeu de société que les risques de piratage doivent absolument être mis en lumière, ne serait-ce que pour responsabiliser les utilisateurs et forcer les entreprises qui développent ces systèmes à améliorer sans cesse leur sécurité. Mais de là à voir un concentré d’IA et de senseurs prétendument infaillibles trompé en dix jours à l’aide d’un simple masque à 150 dollars ? Il y a de quoi être sceptique.
Imprimante 3D, collage et silicone
Si l’on se fie à la vidéo de son “exploit”, Bkav Corporation aurait donc utilisé une imprimante 3D d’entrée de gamme pour générer un visage, quelques impressions 2D pour les yeux et la bouche, une texture de peau faite main et un faux nez en silicone développé par un sculpteur.
Bref, un mélange de différentes techniques qui, pourtant, semblent toutes avoir été anticipées par Apple : sur son site, la marque écrit noir sur blanc que son système est imperméable aux masques, aux représentations en 2D (photos, impressions), et qu’il est même impossible que l’on débloque votre iPhone pendant que vous dormez, puisque l’IA sait si vous êtes conscient.
Certes, ce ne serait pas la première fois que la marque à la pomme en fait des caisses pour vendre son produit avec toute l’assurance dont on la sait capable – en 2013, les Allemands du Chaos Computer Club faisaient sauter le Touch ID de l’iPhone 5s, alors qu’Apple était encore en train d’en vanter les mérites –, et la firme vietnamienne n’est pas exactement une nouvelle venue dans le secteur de la sécurité informatique : en 2009, elle exposait déjà des failles dans les systèmes biométriques d’Asus, de Lenovo et de Toshiba – une performance suffisante pour acquérir une certaine réputation dans le milieu.
Il est donc tout à fait possible que l’entreprise, comme elle le prétend dans un Q&A publié le 9 novembre dernier, ait simplement “mieux compris comment cette IA fonctionne et comment outrepasser sa vigilance”. Néanmoins, sa méthode comme ses résultats posent question.
Un hack… avec l’aide de la victime ?
Comme l’explique Ars Technica, si la réalité du piratage ne fait aucun doute, la difficulté de celui-ci dépend des conditions dans lesquelles il a été effectué. Premièrement, Bkav devrait préciser si le masque a immédiatement réussi à débloquer le téléphone après qu’un visage a été enregistré dans le système ou s’il lui a fallu du temps pour y parvenir.
La distinction est cruciale : selon le white paper d’Apple dévoilant le fonctionnement du système biométrique, l’IA enregistre un peu plus d’informations sur votre visage à chaque fois que vous l’utilisez, ce qui permet d’accroître la sécurité du dispositif avec le temps. Si Bkav n’a exposé qu’une seule fois le visage du propriétaire avant d’essayer son masque, celui-ci a déjoué la version la moins aboutie possible du système.
D’autre part, l’entreprise n’a franchement pas été très précise quant à sa méthode : par exemple, le propriétaire du téléphone a-t-il laissé les chercheurs en sécurité prendre une empreinte de son visage pour créer leur structure en 3D ? A-t-il accepté de se laisser photographier ? Les textures en 2D proviennent-elles de photos du propriétaire ou proviennent-elles de banques d’images en ligne complètement aléatoires ? En d’autres termes, quel niveau de complicité y avait-il entre la victime et les pirates ?
Autant de détails cruciaux que Bkav, contactée par Ars Technica, a plus ou moins éludé, se bornant à renvoyer à une future conférence de presse. Dommage, car ces informations sont pourtant essentielles pour déterminer le niveau de vulnérabilité de Face ID : débloquer un iPhone X sans que le propriétaire soit au courant est extrêmement problématique, le débloquer avec son aide est plus trivial.
Ça ne vous concerne pas pour l’instant, mais…
La performance de Bkav soulève donc un paquet d’interrogations, d’autant qu’elle n’est pas la première à tenter de déjouer Face ID en utilisant des masques : le 3 novembre, lors de la sortie de l’iPhone X, Wired et Cloudflare enrôlaient une équipe composée de hackers et de make-up artists. Avec des “milliers de dollars” de matériel, ils devaient reproduire le visage de l’un des journalistes – avec sa complicité active donc.
Malgré différentes approches et une grande variété de matériaux utilisés, aucune des attaques n’a abouti, alors même que les masques reproduisaient le visage de la victime avec un degré de réalisme saisissant. Conclusion de Wired : pour le moment, le système est extrêmement robuste. D’où le scepticisme ambiant à la vue d’un masque bricolé à l’arrache avec deux photos d’yeux collées sur une structure imprimée en 3D.
Pas d’inquiétude, donc, si vous possédez un iPhone X : même si la méthode de Bkav fonctionne, elle est encore trop sophistiquée pour vous concerner directement et devrait plutôt faire réfléchir “les milliardaires, les patrons de grandes entreprises, les chefs de nation et les agents du FBI par exemple”, comme le précise Bkav.
En revanche, l’acharnement des hackers du monde entier à mettre en lumière les failles de la biométrie et les efforts entrepris par le secteur de la tech (Samsung, Apple, ou encore… Bkav) pour vous inciter à adopter des systèmes de reconnaissance faciaux préfigurent de formidables changements dans la sécurité – et le piratage – informatique. Demain, votre visage sera peut-être votre carte bleue, votre trousseau de clé, votre badge, votre passeport et vos identifiants en ligne, tout ça à la fois. Et dans un monde entièrement biométrique, se faire “pirater” prendra soudainement une tournure bien plus effrayante.
