Les pirates ont déclaré avoir cassé Face ID une semaine après la sortie de l’iPhone X

Écrit par Eloise  Jan 03, 2018

Quand Apple a sorti l’iPhone X le 3 novembre, cela a déclenché une concurrence directe parmi les hackers du monde entier pour être le premier à tromper la nouvelle forme d’authentification futuriste de l’entreprise. Une semaine plus tard, des pirates de l’autre côté du monde ont affirmé avoir dupliqué avec succès le visage de quelqu’un pour débloquer son iPhone X - avec ce qui semble être une technique beaucoup plus simple que certains chercheurs sur la sécurité ne le pensaient.

Vendredi dernier, la firme de sécurité vietnamienne Bkav a publié un article de blog et une vidéo montrant que - de toute évidence - ils avaient cassé Face ID avec un masque composé de plastique imprimé en 3D, de silicone, de maquillage et de morceaux de papier découpés qui a pu tromper un iPhone X en le débloquant. N’ayant pas encore été confirmée en public par d’autres chercheurs en sécurité, cette démonstration pourrait faire une fuite dans la haute sécurité de l’iPhone X, d’autant plus que les chercheurs affirment que leur masque ne coûte que 150 $.

Mais cette preuve de concept de piratage ne devrait pas alarmer la majorité des propriétaires d’iPhone, en effet il faut du temps, des efforts et un accès au visage d’une personne pour pouvoir en faire une reproduction.

En même temps, Bkav n’a pas mâché ses mots dans les publications de son Blog et les FAQ de recherche. « Apple ne l’a pas très bien fait », écrit l’entreprise, « Face ID peut être trompé par un masque, ce qui signifie que ce n’est pas une mesure de sécurité efficace. »

Dans la vidéo postée sur YouTube, illustrée ci-dessus, l’un des employés de l’entreprise tire un morceau de tissu d’un masque monté face à un iPhone X sur un support, et le téléphone se déverrouille immédiatement. Malgré une technologie sophistiquée de cartographie infrarouge 3D du visage de son propriétaire et une modélisation pilotée par l’IA de ce téléphone, les chercheurs affirment qu’ils ont réussi à réaliser cette usurpation avec un masque relativement basique : fait à partir d’un scan digital du visage de la soi-disant victime, c’est juste un peu plus qu’un simple nez de silicone sculpté, il y a aussi des yeux et des lèvres imprimés en deux dimensions sur du papier, et le tout monté sur un cadre en plastique en 3D.

Les chercheurs admettent que leur technique nécessiterait une mesure détaillée ou un scan numérique du visage du propriétaire de l’iPhone ciblé. Les chercheurs disent qu’ils ont utilisé un scanner portatif qui a besoin d’à peu près cinq minutes de balayage manuel du visage du sujet testé. Cela met leur méthode d’usurpation dans le domaine de l’espionnage très ciblé, plutôt que le genre de piratage commun auquel la plupart des propriétaires d’iPhone X pourraient y faire face.

« Les cibles potentielles ne doivent pas être des utilisateurs ordinaires, mais les milliardaires, les dirigeants de grandes entreprises, les leaders de nation et les agents comme le FBI doivent comprendre le problème de l’identification des visages », écrivent les chercheurs de Bkav. Ils suggèrent également que les futures versions de leur technique pourraient être réalisées avec un scan rapide de smartphone du visage d’une victime, ou même un modèle créé à partir de photographies, mais ils n’ont fait aucune prédiction sur la facilité avec laquelle ces prochaines étapes pourraient être réalisées.

Mis à part le défi de l’acquisition d’un scan du visage précis, l’installation plus simple des chercheurs a surpassé les techniques plus coûteuses pour tenter une supercherie Face ID - soit ceux que nous avons essayé chez WIRED plus tôt ce mois-ci. Avec l’aide d’un artiste d’effets spéciaux, et au prix de milliers de dollars, nous avions créé des masques complets à partir du visage d’un membre du personnel dans cinq matériaux différents, allant du silicone à la gélatine et au vinyle. Malgré les nombreux détails, tels que les orifices des yeux pour permettre de véritables mouvements oculaires, et les milliers de sourcils insérés dans le masque pour que le capteur infrarouge de l’iPhone puisse croire que ce sont de vrais cheveux, aucun de nos masques n’a pu fonctionner.

En revanche, les chercheurs Bkav disent qu’ils ont été capables de tromper Face ID avec un mélange de matériaux de bon marché, une impression 3D plutôt qu’une coulée de visage, et peut-être le plus étonnant, des yeux fixés imprimés en deux dimensions. Les chercheurs n’ont pas encore révélé beaucoup de choses sur leur processus, ni sur les tests qui les ont conduits à cette technique, ce qui peut susciter un certain scepticisme. Mais ils disent que cela est en partie basé sur la prise de conscience du fait que les capteurs de Face ID ne vérifient qu’une certaine partie des caractéristiques d’un visage, ce que WIRED avait déjà confirmé lors de nos propres tests.

Les chercheurs de Bkav ont écrit : « Le mécanisme de reconnaissance n’est pas aussi strict que ce que vous le pensiez. Nous n’avions eu besoin que d’un demi-visage pour fabriquer le masque, ce qui était bien plus facile que ce que nous pensions nous-mêmes. »

Cependant, sans plus de détails sur son processus, une grande partie du travail de Bkav reste flou. La société n’a pas répondu à la plupart des questions soulevées par WIRED et a déclaré qu’elle prévoyait de révéler plus d’informations lors d’une conférence de presse plus tard cette semaine.

La plus importante de ces questions, souligne le chercheur en sécurité, Marc Rogers, est de savoir comment le téléphone a été enregistré et peut être mené devant le vrai visage de son propriétaire. Le personnel de Bkav aurait pu « affaiblir » le modèle numérique du téléphone en s’entraînant avec le visage de son propriétaire lorsque certaines fonctionnalités auraient été obscurcies, suggère Rogers, et cela en apprenant essentiellement au téléphone à reconnaître un visage qui ressemblerait plus à leur masque plutôt que de créer un masque ressemblant au visage du propriétaire.

« Pour le moment, je ne peux pas exclure le fait que ces gars puissent nous tromper un peu », dit-Rogers, un chercheur de la firme de sécurité Cloudflare, qui a travaillé avec WIRED pour tenter de cracker Face ID et qui est l’un des premiers à avoir brisé l’appareil d’empreintes digitales Touch ID d’Apple en 2013.

Mais en réponse aux questions de WIRED, Bkav a nié toute tromperie de ce genre. Selon un porte-parole de l’entreprise, après avoir fabriqué un masque capable de tromper Face ID, quatre autres ont échoué. Les chercheurs ont réenregistré leur iPhone X test avec le visage d’un employé de Bkav, pour s’assurer qu’il n’avait pas biaisé le modèle de son visage dans téléphone. Après cela, ils n’ont jamais eu à entrer de mot de passe dans le téléphone, le seul masque le déverrouillait.

L’histoire de Bkav donne aussi de la crédibilité à sa démonstration. Il y a près d’une décennie, les chercheurs de la société ont découvert qu’ils pouvaient briser la reconnaissance faciale des fabricants d’ordinateurs portables, notamment Lenovo, Toshiba et Asus, avec rien de plus que des images bidimensionnelles du visage d’un utilisateur. Ils ont présenté ces résultats largement cités lors de la conférence de 2009 sur la sécurité de Black Hat.

Si les découvertes de Bkav se vérifient, Rogers dit que le résultat le plus inattendu de la recherche de l’entreprise serait que même des yeux fixes imprimés sont capables de tromper Face ID. Les brevets d’Apple avaient amené Rogers à croire que Face ID cherchait des mouvements oculaires, dit-il. Sans cela, Face ID sera extrêmement vulnérable non seulement envers de simples masques trompeurs, mais aussi envers des attaques qui pourraient déverrouiller un iPhone X peu importe si son propriétaire est entrain de dormir, est retenu ou même potentiellement mort.

La dernière de ces situations est particulièrement inquiétante, car ce serait théoriquement un problème pour Face ID même si Touch ID n’existe pas, étant donné que ce dernier vérifie la conductivité du doigt d’une personne vivante avant de le déverrouiller. « Cela voudrait dire que Face ID pourrait être trompé sans aucun test de vitalité », dit Rogers, « Je dirais que si tout cela est confirmé, cela signifie que Face ID est moins sécurisé que Touch ID. » Il est également difficile de savoir si Face ID utilise des méthodes autres que le mouvement des yeux pour indiquer que quelqu’un est vivant. (Au moins un chercheur souligne que Touch ID marcherait aussi sur un cadavre : Ben Schlabs de SR Labs a envoyé à WIRED une vidéo où on débloque un iPhone SE avec une fausse empreinte de pseudo-mousse non vivante.)

Malgré la menace potentielle de fouiner dans l’iPhone X de quelqu’un qui est endormi, kidnappé ou mort, Rogers pense la notion qu’une personne chercherait à faire un masque en silicone et en plastique de gens ordinaires est totalement farfelue. Une inquiétude plus réelle serait que quelqu’un trompe tout simplement la victime en la poussant à jeter un coup d’œil sur son téléphone (pour le débloquer).

Rogers a dit du travail de Bkav : « Ce n’est pas le genre d’attaque dont les gens ordinaires se promenant dans la rue pourraient s’inquiéter. Il serait probablement plus facile d’arracher le téléphone et de le mettre en face du propriétaire pour l’ouvrir. »