Depuis quelques jours, une entreprise vietnamienne affirme avoir piégé Face ID avec un masque. Même si la prouesse a bien eu lieu, il est difficile d'y voir une réelle faille de sécurité. Face ID est-il fiable ? Depuis la sortie de l'iPhone X, différentes vidéos font leur apparition sur le web et révèlent des faiblesses dans l'authentification faciale d'Apple. Impossibilité de distinguer des jumeaux, déverrouillage par un membre de la famille ou encore un masque imitant un visage... Ces vidéos ont généralement un point commun : elles n'expliquent pas la méthode utilisée et se contentent de montrer l'individu non enregistré déverrouiller un iPhone techniquement protégé par Face ID. Ces prouesses font-elles pour autant de la techno d'Apple une passoire ? Pas vraiment. Voici pourquoi.
L'iPhone apprend de ses erreurs Prenons d'abord l'exemple du masque capable de déverrouiller un iPhone X. C'est la société vietnamienne BKAV qui est à l'origine de cette vidéo, une entreprise spécialisée dans la sécurité qui avait déjà piégé par le capteur d'Iris du Galaxy S8 il y a quelques mois. Quelques jours après la sortie du smartphone d'Apple, BKAV a publié la vidéo d'un masque mi-3D, mi-2D, capable de piéger Face ID. Comme Apple a appris à Face ID à reconnaître un masque pour ne pas déclencher de reconnaissance, BKAV a décidé de créer un modèle mixte pour lequel l'intelligence artificielle n'a pas été entraînée. Après plusieurs heures de conception et de travail sur l'angle d'inclinaison, l'entreprise a réussi à déverrouiller l'iPhone X pratiquement à tous les coups. Derrière l'exploit, la méthode utilisée reste largement énigmatique. L'agence de presse Reuters a pu se rendre sur place pour constater le " hack " mais un passage de la dépêche nous intrigue : " En revanche, il (le vice-président de l'entreprise) a refusé de réenregistrer son visage et le masque sur le téléphone à partir de zéro parce que, selon lui, l'iPhone et le masque doivent être placés à des angles très spécifiques, et le masque doit être raffiné. Un processus qui pourrait prendre jusqu'à neuf heures. ". Autrement dit : le déverrouillage par masque ne s'est pas déroulé aussi rapidement que la vidéo laisse le supposer. Pour arriver à ce résultat, BKAV a dû jouer des capacités d'apprentissage de l'iPhone X afin d'apprendre à l'appareil à reconnaître le masque. Le comportement de Face ID est simple : s'il ne reconnait pas votre visage mais que le code rentré est le bon, l'iPhone enregistre votre nouveau visage afin d'améliorer ces capacités de reconnaissance faciale. Sur notre iPhone de test, nous avons déjà remarqué des améliorations dans la reconnaissance faciale depuis la sortie de l'appareil il y a 10 jours. Dans le cas du masque, les échecs probablement répétés de l'entreprise pendant les neuf heures nécessaires au hack ont appris à l'intelligence artificielle de l'iPhone que le masque de BKAV était une évolution du visage de l'utilisateur enregistré. En conséquence : l'iPhone reconnaît désormais aussi bien le masque (sous un certain angle) que son utilisateur, considérant les prises de vue comme correspondantes avec les données dans l'enclave sécurisée. Vient alors la question de l'utilisation quotidienne : ce genre de phénomène peut-il se reproduire et mettre en danger la sécurité d'un utilisateur ? Au fur et à mesure de son utilisation, un iPhone X renforcera son degré de sécurité et sa capacité à reconnaître son propriétaire. Il est donc fort probable que l'iPhone X de BKAV, deux mois après, n'aurait pas été capable d'enregistrer le même masque sous le même angle. Autre point important : Face ID se désactive au bout de 5 tentatives de reconnaissance faciale erronées. Un voleur qui tenterait de reproduire votre visage avec un masque n'aurait que 5 essais avant de devoir rentrer votre mot de passe. Or s'il possède le mot de passe, il est totalement inutile de contourner Face ID. On peut donc douter de la neutralité de BKAV qui, en plus d'avoir son propre téléphone à promouvoir, connaissait le mot de passe de l'appareil et disposait donc de droits supérieurs à ceux attribués par Face ID. Il aurait été plus approprié de parler de hack si l'appareil avait été piégé en moins de cinq coups et que BKAV ne connaissait pas son mot de passe.
Problèmes de famille Le hack par le biais d'un masque n'étant pas une véritable faille de sécurité, on peut maintenant se demander pourquoi des membres d'une même famille réussissent si facilement à contourner la sécurité de Face ID, qui est annoncée comme plus fiable que Touch ID par Apple. Dans le cas des jumeaux, Apple recommande l'utilisation d'un code comme méthode principale de déverrouillage, vu la forte probabilité de voir son iPhone déverrouillé par son frère ou sa sœur. Un point négatif par rapport à l'empreinte digitale qui elle ne se laissait pas piéger. Une vidéo révélait le déverrouillage par des frères séparés de quelques années dont la ressemblance n'était pas si frappante. Mais dans une seconde vidéo, les deux frères ont indiqué avoir rentré leur mot de passe plusieurs fois afin d'apprendre au système à reconnaître les deux individus. On peut donc en conclure que le Machine Learning des iPhone X a permis d'enregistrer les deux visages et qu'un Face ID plus étalonné avec quelques mois d'utilisation n'aurait pas été dupé. La véritable inconnue reste la situation expérimentée par une mère dont le fils semble avoir été capable de déverrouiller l'iPhone X au premier regard, sans connaître le mot de passe. Dans cette situation, il est dur, voire impossible, de justifier l'échec du système d'Apple. Les journalistes de Wired sont allés à la rencontre de la famille et ont remarqué que cette reconnaissance n'était pas systématique et ne fonctionnait qu'en basse lumière. Toujours est-il qu'une telle imprécision est inadmissible pour un système dit autant sophistiqué que Face ID. Nous ne manquerons pas de suivre l'évolution de Face ID au fur et à mesure de ses mois d'apprentissage afin de mieux comprendre les critères capables de tromper l'authentification.
