En septembre 2018, un observateur technique était admirablement franc :si vous êtes une personne normale, Apple FaceID est fondamentalement sûr, elle a dit. Mais alors cet observateur de la technologie, Rachel Kraus, a écrit dans Mashable que « au fur et à mesure que j'évaluais les arguments pour et contre, J'en suis venu à contrecœur à la conclusion que ma peur de Face ID n'est qu'un petit peu irrationnel... Mais en aucun cas cela ne veut dire que je vais l'utiliser."

Elle était bien consciente des points positifs qui avaient ravi les fans d'Apple et d'Apple, mais elle a admis qu'elle ne pouvait pas bouger. "Face ID peut être pratique, et est probablement sûr... Mais quand il s'agit de protéger nos téléphones, nos identités, et nos vies, n'est probablement pas assez bon."

En 2019, vous trouvez encore des gens hésitants qui se demandent si la nouvelle technologie va créer une sécurité accrue ou une nouvelle ouverture d'attaque, et les chercheurs de Tencent trouvent des raisons de réfléchir un peu plus à cela.

Lors de l'événement de sécurité Black Hat U.S. 2019 plus tôt ce mois-ci, les chercheurs ont attiré l'attention sur leur session « Authentification biométrique sous la menace :piratage de la détection de la vivacité ».

Dans le cadre de leur discussion, ils ont dit, ils "présenteront notre arsenal d'attaques de détection de vivacité et montreront comment les appliquer pour contourner plusieurs produits d'authentification biométrique prêts à l'emploi, y compris l'authentification faciale 2-D/3-D et l'authentification par empreinte vocale."

Les chercheurs ont montré comment utiliser des lunettes et du ruban adhésif pour contourner Apple FaceID.

Le succès de Tencent reposait sur l'exploration d'une fonction biométrique appelée détection de la vivacité. Menace a rapporté ce que les présentateurs de Tencent avaient à dire :

"Avec la fuite de données biométriques et l'amélioration de la capacité de fraude de l'IA, La détection de la vivacité est devenue le talon d'Achille de la sécurité de l'authentification biométrique, car elle consiste à vérifier si la biométrie capturée est une mesure réelle de la personne vivante autorisée qui est présente au moment de la capture."

Du ruban noir a été placé sur les lentilles, et du ruban blanc à l'intérieur du ruban noir. "En utilisant cette astuce, ils ont ensuite pu déverrouiller le téléphone portable d'une victime, puis transférer son argent via l'application de paiement mobile en plaçant les lunettes adhésives au-dessus du visage de la victime endormie pour contourner le mécanisme de détection d'attention de FaceID et d'autres technologies similaires, " a déclaré Lindsey O'Donnell, Menace .

O'Donnell, cependant, dit qu'il n'y avait qu'une chose, si vous pensiez que c'était une gambade facile :la vraie victime devrait être dehors froide. Froid, comme dans l'inconscient. Comme dans le cas du mauvais acteur qui doit mettre les lunettes sur la personne sans la réveiller. ("Au moins, c'est un peu plus difficile que d'utiliser le doigt d'une personne endormie pour déverrouiller Touch ID, " mentionné Gizmodo de Jennings Brown.)

Ce qui se passe? Pourquoi FaceID a-t-il perdu son pouvoir ? O'Donnell a dit, "l'abstraction de l'œil pour la détection de la vivacité rend une zone noire (l'œil) avec un point blanc dessus (l'iris)." Cependant, si un utilisateur porte des lunettes, la façon dont la détection de vivacité scanne les yeux change. Si une personne porte des lunettes, FaceID n'extrait pas les informations 3D du contour des yeux lorsqu'il reconnaît les lunettes.

Le conseil des présentateurs de Tencent était que les fabricants de biométrie ajoutent une authentification d'identité pour les caméras natives et augmentent le poids de la détection de la synthèse vidéo et audio, dit O'Donnell.

Pomme, pendant ce temps, fournit sa propre histoire à propos de FaceID sur son site et il est raisonnable de supposer que la sécurité a reçu une priorité élevée :

"La probabilité qu'une personne au hasard dans la population puisse regarder votre iPhone ou iPad Pro et le déverrouiller à l'aide de Face ID est d'environ 1 sur 1, 000, 000 avec une seule comparution inscrite, " selon sa page "À propos de la technologie avancée FaceID".

Comme protection supplémentaire, Seules cinq tentatives de correspondance infructueuses sont autorisées par FacedD, puis un mot de passe est requis. "La probabilité statistique est différente pour les jumeaux et les frères et sœurs qui vous ressemblent et chez les enfants de moins de 13 ans, parce que leurs traits faciaux distincts peuvent ne pas s'être complètement développés. Si cela vous inquiète, nous vous recommandons d'utiliser un mot de passe pour vous authentifier."

Néanmoins, Tencent a exploré et rapporté leurs découvertes. "Face ID fonctionne différemment s'il détecte des lunettes. Lorsque le système reconnaît les lunettes, il ne tire apparemment pas d'informations de la région des yeux du visage, " mentionné Gizmodo de Jennings Brown.

TNW D'accord, rapporter, "Bien, il s'avère que FaceID scanne les yeux différemment lorsque les gens portent des lunettes. TNW a cité les chercheurs:"Nous avons trouvé des points faibles dans FaceID." Où? « Il permet aux utilisateurs de déverrouiller tout en portant des lunettes […] si vous portez des lunettes, il n'extrait pas les informations 3D du contour des yeux lorsqu'il reconnaît les lunettes."

Un point à retenir est que le cadre pour que cet exploit fonctionne est tout simplement bizarre. 9to5Mac :"Pour déverrouiller le téléphone d'une autre personne, vous auriez apparemment besoin de comprendre comment mettre des lunettes dessus et vous assurer qu'elles étaient encore suffisantes pour que Face ID fonctionne. Comme le notent les chercheurs, ce serait plus efficace lorsque la victime est inconsciente."

Julie Trèfle, MacRumeurs , a soulevé un autre point :« Il convient de noter que ce n'est pas une situation que la plupart des gens sont susceptibles de rencontrer, et il n'y a pas non plus de recherche secondaire sur cette prétendue méthode cette fois. "

Un commentaire de lecteur sur MacRumeurs :"C'est un peu difficile. Je pense que Face ID se laisse berner par une circonstance aussi ridicule montre à quel point ils ont essayé de la " casser " —"

D'autre part, la recherche montre des faiblesses derrière la conception de la détection de vivacité.

© 2019 Réseau Science X