Discussion :

[Bill Fassinou]

Une tête imprimée en 3D a pu tromper le système de reconnaissance faciale de plusieurs smartphones Android populaires
lors d'un test

Dans la matinée d’hier, Forbes a présenté les résultats d’un test qui montre que la sécurité basée sur la reconnaissance faciale des téléphones Android n’est pas aussi fiables qu’on le pense pour garantir une bonne sécurité. Quelqu’un de bien outillé peut usurper votre biométrie et rentrer dans votre téléphone si votre sécurité n’est assurée que par la reconnaissance faciale. En effet sur la base d’une tête imprimée en 3D chez Backface (à Birmingham au Royaume-Uni), ils ont pu duper la reconnaissance faciale des téléphones Android de grandes marques. Cependant, l’iPhone X d'Apple a résisté au test.

La reconnaissance faciale est un sujet régulièrement évoqué pour la sécurité et la protection de nos données sur nos périphériques. Récemment débarquée sur les smartphones, les grandes firmes du secteur ont vite fait de l’intégrer dans leurs téléphones les plus performants. Pour réaliser le test de performance de la reconnaissance faciale sur smartphone tel que décrit par Thomas Brewster, chargé de la criminalité, la vie privée et la sécurité sous forme numérique et physique chez Forbes, ils ont utilisé les téléphones suivants : un iPhone X et quatre téléphones Android dont un LG G7 ThinQ, un Samsung S9, un Samsung Note 8 et un OnePlus 6.

Ces téléphones disposent bien souvent d’une double activation de la reconnaissance faciale, l’une est plus rapide et l’autre plus lente. La tête imprimée en 3D est celle de Thomas et les informations biométriques de son vrai visage ont été pré-enregistrées sur chacun des téléphones avant de commencer le test. Les téléphones fonctionnant sur le système d’exploitation de Google n’ont pas pu empêcher la fausse tête imprimée en 3D de les tromper, et donc, de les déverrouiller. Cependant, certains de ces téléphones, mettent en garde les utilisateurs que la reconnaissance faciale n’est qu’une méthode de déverrouillage secondaire.

D’ailleurs, lors de la première utilisation d’un G7, LG prévient l’utilisateur en ces termes : « la reconnaissance des visages est une méthode de déverrouillage secondaire qui réduit la sécurité de votre téléphone ». Il souligne aussi qu'un visage similaire à celui de l’utilisateur peut déverrouiller le smartphone. Il n’est donc pas surprenant que lors des premiers tests, la tête imprimée en 3D l’ait immédiatement ouvert. Le dernier produit phare de Samsung, la Galaxy S9, n’a pas fait mieux dans la catégorie des téléphones Android. Il a lui aussi échoué en laissant entrer la fausse tête de Thomas pour donner l’accès aux données. Mais comme son concurrent LG, il prévient aussi lors de l’inscription devant permettre d’utiliser cette fonction que si l’utilisateur n’utilise que la reconnaissance faciale comme méthode de sécurité, son smartphone sera moins sécurisé que s’il s’agissait d’un mot de passe, d’un code PIN ou d’un motif.

Quelqu’un qui ouvre votre téléphone avec une tête qui n’est pas la vôtre peut bien compromettre vos données sur le téléphone. En attendant que les constructeurs de téléphones Android ne peaufinent leurs systèmes de reconnaissance faciale pour garantir la sécurité comme pour le produit d'Apple, Matt Lewis vous propose plutôt d’utiliser votre cerveau pour créer un code et non votre visage. Matt Lewis est directeur de la recherche chez le sous-traitant en cybersécurité du groupe NCC. Il suggère d’utiliser un code alphanumérique fort à la place de la reconnaissance faciale pour s’assurer qu’aucune fouine ne viendra percer votre sécurité par une biométrie quelconque.

Il continue en disant : « concentrez-vous sur l'aspect secret, qui est le code PIN et le mot de passe. La réalité avec n'importe quelle biométrie est qu'elle peut être copiée. Quiconque dispose de suffisamment de temps, de ressources et d'objectifs s'investira pour essayer d'usurper cette biométrie ». Même si la Note 8 de Samsung dispose aussi des deux façons d’activer la reconnaissance faciale, il a quand même cédé le passage à la fausse tête de Thomas comme la S9. Avec sa partie lente l’ouverture du smartphone s’est fait comme pour les précédents puisque le fabricant même le juge moins efficace que l’option plus rapide. Ce dernier par contre a demandé beaucoup plus d’effort avec l’éclairage et les angles mais pourtant la tête imprimée 3D est passée.

Le dernier smartphone Android sur la liste, le OnePlus 6 a doté sa fonction de reconnaissance faciale dénommée ‘’Face Unlock’’, de quelques graphiques de balayage de visage de styles science-fiction lors de l’enregistrement d’un visage. Cela n’a pourtant pas suffit. Il a ouvert le téléphone aussitôt qu’on a approché la fausse tête. Un porte-parole de la firme déclare : « nous avons conçu Face Unlock dans un souci de commodité. Bien que nous ayons pris les mesures correspondantes pour optimiser sa sécurité, nous vous avons toujours recommandé d'utiliser un mot de passe, un code confidentiel ou une empreinte digitale pour la sécurité. Pour cette raison, Face Unlock n'est activé pour aucune application sécurisée comme les services bancaires ou les paiements. Nous travaillons constamment à améliorer toutes nos technologies, y compris Face Unlock ».

L’on pourrait dire que le gagnant de ce match sur la performance de la reconnaissance faciale est l’iPhone X d'Apple. Le téléphone ne s’est pas laissé avoir par une fausse tête en restant totalement indifférent à chaque approche de la fausse tête. Le travail des ingénieurs d'Apple pour l’amélioration de la sécurité de leur dernier produit iPhone en date a sans doute payé. La société investit beaucoup dans la sécurité de ses produits. Elle a travaillé avec un studio basé à Hollywood pour mettre sur pied des masques réalistes pour tester Face ID, leur outil de reconnaissance faciale.

Aussi doit-on se rappeler que déjà en mai dernier, la firme avait déjà émis l’idée de renforcer la sécurité intégrée aux iPhones avec iOS 11.4 et d’y introduire une nouvelle fonctionnalité appelée ‘’mode USB Restricted’’. Concrètement, le mode USB Restricted permet à iOS d’enregistrer le dernier moment où votre iPhone ou iPad a été déverrouillé avec la technologie de reconnaissance faciale intégrée (Face ID), le lecteur d’empreinte digitale intégré (Touch ID) ou un mot de passe correct, ainsi que le moment où il a été connecté pour la dernière fois à un périphérique externe (accessoire ou ordinateur).

Source : Forbes

Et vous ?

Qu'en pensez-vous ?

Voir aussi

Apple pourrait renforcer la sécurité intégrée aux iPhone avec iOS 11.4 en bridant automatiquement le port Lightning après 7 jours

Sécurité : 57 % des entreprises pensent avoir été exposées par leurs travailleurs mobiles l'an dernier avec l'utilisation des Wi-Fi publics

Un spécialiste en sécurité dresse la liste des applications iOS et Android qui sont le plus interdites en entreprise, WhatsApp vient en tête sur iOS

Android : trois applications de sécurité sur cinq n'offrent pas de protection réelle selon une étude menée par AV-comparatives

[HHesse]

La reconnaissance faciale, c'est pratique mais il faut être conscient des faiblesses ...

Tout comme les mots de passe avec la dépêche du jour sur les pires mots de passe 2018. Il faut pouvoir créer de bons mots de passe si on veut avoir un minimum de sécurité