L’iPhone X perd-il la face ?
On se rappelle de ce moment. C’était lors de la keynote de présentation du 12 septembre 2017. Le vice-président senior de l'ingénierie logicielle chez Apple Craig Frederighi teste Face ID. Tout d’un coup, c’est le malaise. Le smartphone refuse de se déverrouiller. Prémonitoire ?
On peut tromper une fois Face ID...
Il convient de rappeler que Face ID procède à une capture infrarouge du visage de l’utilisateur ou de l’utilisatrice par le biais de 30 000 points appliqués sur la face. Le tout est traité par un moteur neural qui dispose de l’« intelligence » nécessaire pour identifier votre visage, le distinguer d’un autre, faire abstraction des accessoires (comme les lunettes)…
Apple a défendu sa technologie comme étant la plus sécurisée. Là où la reconnaissance par empreinte digitale (Touche ID) avait une chance sur 50 000 d’être trompée, ce ratio monte à un sur un million pour Face ID. De plus, la carte du visage est conservée sous une forme mathématique dans une enclave sécurisée de l’appareil. Autrement dit, elle n’est pas stockée sur un serveur en ligne, ce qui limite les risques de piratage.
Bkav a de la suite dans les ID
Pourtant, tout cela a récemment été mis à mal par la démonstration d’une entreprise vietnamienne appelée Bkav. Sur la vidéo, on voit l’iPhone X placé devant le moule du visage du démonstrateur. Résultat : le smartphone se déverrouille. Puis, l’opération est réitérée avec succès par le biais du visage humain.
En apparence, le piratage ne semble pas insurmontable. En effet, le masque est en plastique. Le nez est en silicone. Les lèvres et les yeux ne sont que de simples images papier en 2D collées sur le moule ! Mais ce que la vidéo ne dit pas est que ce dernier est bien le résultat d’un scanner qui a capté le visage pendant cinq minutes. On est donc loin du hacking à la portée de tous ce que concèdent les chercheurs de Bkav. Mais cela pourrait ne pas durer. Rien ne nous dit qu’à l’avenir il n’existera pas d’application de scan 3D performante susceptible d’ouvrir l’iPhone X. Le Sony Xperia XZ1 propose déjà une telle fonctionnalité (sans ouvrir le précieux sésame).
Toutefois, Bkav insiste sur le fait que l’opération est facile et que Face ID ne propose pas le niveau de sécurité promis par Apple. Il est vrai qu’en dehors du scan, le masque est plutôt rudimentaire. Son coût ne dépasse pas les 150 dollars. Ce chiffre ne laisse pas d’étonner lorsqu’à côté le webzine Wired a dépensé des milliers d’euros pour payer un artiste des effets spéciaux qui, malgré son moule plus vrai que nature (comportant, par exemple, des milliers de cils), n’a pas réussi à tromper l’iPhone X. Pour sa défense, Bkav pointe les manquements de la technologie Face ID qui, en fait, ne vérifie qu’une partie du visage : il suffit juste alors d’adapter le moule à ce que scanne réellement la machine.
Mettre en lumière la Face cachée
Si le piratage de Bkav venait à être confirmé, ce serait un sérieux désaveu pour Apple, Face ID étant la fonctionnalité star de l’iPhone X voire de la marque au point que de futurs produits, comme l’iPad ou leur futur enceinte intelligente, pourraient en être équipés. Néanmoins, il reste un certain nombre de points à éclaircir. Il n’est pas impossible que Bkav ait réussi à exploiter la capacité d’apprentissage de Face ID qui fonctionne grâce au machine learning. L’idée est de forcer l’appareil à « reconnaître » le masque plus que le visage humain. Nous savons que la reconnaissance faciale n’est pas infaillible. En dehors du piratage, elle a déjà été trompée par des jumeaux ou des jumelles ainsi que par des personnes d’une même famille. Ainsi, un enfant de 10 ans a pu déverrouiller l’iPhone X de sa mère avec son visage. Mais la particularité de Face ID est d’évoluer et d’apprendre de ses erreurs. Reste à savoir si Bkav a « joué » avec l’intelligence artificielle.
Au final, la société assure de l’honnêteté de sa démonstration. Cependant, les doutes demeureront tant qu’ils n’auront pas fourni de preuves supplémentaires à son appui, ce qu’ils devraient faire prochainement lors d’une conférence sur la sécurité. Dernière chose : Bkav prépare la sortie d’un smartphone haut de gamme qui serait équipé d’un lecteur d’empreinte digitale dont on dit qu’il serait plus solide que… la reconnaissance faciale !
Article rédigé par Thierry Randretsa
