De simples lunettes bricolées arrivent à duper la Face ID d’Apple

Comme à l’accoutumée, les experts de la sécurité informatique se sont livrés aux démonstrations et aux manipulations destinées à éprouver l’efficacité technique des produits et technologies de différents constructeurs, lors du récent Black Hat 2019.

Le Face ID d’Apple n’a pas échappé à l’exercice dans ce domaine. Et ce que les chercheurs de Tencent ont démontré peut nous faire poser des questions sur la fiabilité du système de reconnaissance biométrique de la marque à la pomme.

Crédits Pixabay

Ces chercheurs ont en effet pu contourner le système d’authentification d’Apple, en utilisant tout simplement des lunettes sur lesquelles ils ont collé des bandes adhésives, de manière à leurrer le système pour ensuite déverrouiller le téléphone portable de la victime.

FaceID a buté sur la lunette trafiquée

Pour faire leur démonstration, les chercheurs ont bricolé une lunette qu’ils ont agrémentée d’une bande adhésive noire sur les verres. À la place des iris, ils ont collé de la bande adhésive blanche, l’ensemble étant supposé ressembler aux yeux du propriétaire du téléphone portable.

Ils ont ensuite placé les lunettes factices sur le visage de l’utilisateur simulant le sommeil et ont pu déverrouiller son téléphone en bernant le système de reconnaissance FaceID d’Apple.

Une fois le téléphone déverrouillé, ils ont procédé à un transfert d’argent via une application mobile. Et le tour était joué, Face ID n’y a vu que du feu.

De l’importance de la détection de la vivacité

Selon les chercheurs, Apple FaceID a pu être ainsi leurré, car le système scanne les yeux différemment lorsque l’utilisateur porte des lunettes et que l’IA les détecte. Quand les verres sont reconnus, le système se comporte bizarrement et n’extrait pas les informations au niveau des yeux de l’utilisateur.

La réussite de ce genre de manipulation démontre à quel point le concept de vivacité a une importance dans la sécurité des systèmes et technologies d’authentification actuels. C’est en effet ce qui permet de faire la différence entre des données biométriques réelles de celles falsifiées, comme nous le montre l’exemple des yeux.

Les chercheurs qui ont fait la démonstration concluent ainsi :”Avec la fuite de données biométriques et l’amélioration de la capacité de fraude liée à l’IA, la détection d’activité est devenue le talon d’Achille de la sécurité de l’authentification biométrique, car elle permet de vérifier si la capture biométrique est une mesure réelle de la personne vivante légitime, présente au moment de la capture. “

Mots-clés appleface id