iPhone X : les limites du système biométrique Face ID
Le système intégré par Apple à sa dernière génération de smartphone est à la pointe de la technologie de reconnaissance faciale. Mais plusieurs expériences ont montré qu'il pouvait être piraté.
Avec son iPhone X, Apple est tellement proche de ses clients qu'il connaît chaque trait de leur visage. Le groupe a remplacé sa solution de reconnaissance des empreintes digitales, Touch ID, par un système de reconnaissance faciale baptisé Face ID. La marque à la pomme semble avoir confiance dans cette technologie, qui permet non seulement de déverrouiller le smartphone, mais également d'utiliser certaines applications et même de valider des paiements.
Concrètement, en haut de la face avant de l'appareil, une cartouche rectangulaire qui contient une série de capteurs n'est pas recouverte par le verre de l'écran. En plus du micro, du haut-parleur et de l'habituelle caméra frontale, cette encoche comporte une caméra dite "True Depth" (vraie profondeur en français). C'est grâce à cette technologie qu'Apple peut tirer un portrait de ses clients tellement précis qu'il peut faire office de code d'entrée dans le téléphone. "La caméra est infrarouge, ce qui lui permet d'enregistrer des images même quand il fait sombre. Elle est aussi équipée d'un spot lumineux et d'un projecteur de points", détaille Hervé Ysnel, vice-président en charge de l'offre risque et cybersécurité du cabinet de conseil CGI Business Consulting.
Lorsque l'utilisateur lance Face ID pour la première fois, ce projecteur émet 30 000 pois de lumière infrarouge invisibles à l'œil nu sur son visage pour le cartographier. Le propriétaire du smartphone doit tourner légèrement sa figure de gauche à droite pour qu'elle soit enregistrée sous différents angles. La caméra enregistre le visage couvert de ces points, qui est stocké dans la mémoire du téléphone. Lorsque Face ID est utilisé par la suite, la True Depth émet de nouveau ces pois et compare l'enregistrement avec les précédentes images. Si les deux cartographies correspondent, le propriétaire du téléphone peut faire glisser son doigt sur l'écran pour le déverrouiller. Sinon, il lance le process une seconde fois. Lorsqu'il ne fait pas assez clair pour que la caméra enregistre une image nette, le spot lumineux se met en route.
"Ce système est plus sécurisé qu'un capteur d'empreintes digitales, qui n'enregistre que des images en 2D. Le projecteur de points de True Depth permet également d'enregistrer la profondeur du visage"
"Des algorithmes de machine learning permettent à Face ID de s'améliorer à chaque utilisation", indique Hervé Ysnel. L'IA permet également d'enregistrer les nouvelles caractéristiques physiques de son utilisateur, s'il s'est par exemple fait pousser une barbe ou une moustache. Le système de reconnaissance faciale d'Apple fonctionne avec la plupart des paires de lunettes. Il demande en revanche à son utilisateur de baisser son écharpe si elle recouvre son nez ou d'enlever un chapeau qui recouvrirait ses sourcils. Dans des conditions de luminosité extrême, type plage du midi au mois d'août avec soleil au zenith, la techno ne fonctionne pas. En revanche, grâce au projecteur de lumière, elle marche en totale obscurité.
"Ce système est plus sécurisé qu'un simple capteur d'empreintes digitales, qui n'enregistre que des images en deux dimensions. Le projecteur de points de True Depth permet également d'enregistrer la profondeur du visage. Cela permet à Face ID de ne pas pouvoir être floué par une simple photo en 2D", souligne David Emm, chercheur principal en sécurité de l'équipe mondiale recherche et analyse chez le spécialiste de la cybersécurité Kaspersky Lab. Le système de reconnaissance digitale de Samsung, Face Unlock, installé sur les derniers smartphones de la marque, ne prend pas en compte la 3D et a été trompé à de nombreuses reprises par de simples selfies. Ce n'est pour l'instant pas le cas de Face ID.
La techno Face ID a une chance sur un million d'être déverrouillée par un autre utilisateur, contre une chance sur 50 000 pour Touch ID selon Apple
Le groupe Apple a de son côté souligné que la techno Face ID d'un iPhone X n'a qu'une chance sur un million d'être déverrouillée par un autre utilisateur, contre une chance sur 50 000 pour Touch ID. Comme le prouve une expérience réalisée par le Wall Street Journal, la nouvelle techno biométrique d'Apple peut notamment être flouée par des jumeaux ou des triplets, même si ce n'est pas systématique, puisque Business Insider a tenté la même expérience sans succès.
Phil Shiller, le vice-président d'Apple chargé du marketing, avait indiqué lors de la keynote du mois de septembre que les ingénieurs du groupe avaient confronté Face ID à des masques réalisés par des maquilleurs professionnels venus tout droit des studios de cinémas d'Hollywood. Le système biométrique ne se serait pas laissé tromper. Pourtant, Ngo Tuan Anh, vice-président de l'entreprise vietnamienne Bkav, a effectué cette expérience avec son propre visage et deux masques différents. Il est parvenu les deux fois à déverrouiller le smartphone (les tests sont visibles ici et ici). En Corée du Sud, les banques ont décidé de ne pas intégrer Face ID à leurs applications mobiles suite à ces expérimentations. Ce système n'est pas adapté à un public de personnalités publiques ou de businessmen qui risquent de se faire prendre en photo et de voir leur visage reproduit. "Mais pour le grand public, ce n'est pas une menace crédible, d'autant plus que le responsable de Bkav a dû passer beaucoup de temps à concevoir ce masque.
"Des algorithmes de machine learning permettent à Face ID de s'améliorer à chaque utilisation"
Les informations biométriques sont protégées par un système appelé Secure Enclave. C'est un coprocesseur cryptographique implanté directement au système sur puce de chaque iPhone. "Même ce système décentralisé n'est pas sécurisé à 100%, la cybersécurité est une course perpétuelle entre les hackers et les entreprises", pointe Hervé Ysnel. Son comparse de chez Kaspersky nuance : "Face ID reste toutefois plus sécurisé que les technologies utilisées avant, en particulier les codes secrets. Un nombre incroyable de personnes utilisent encore des codes type 0000 ou 1234, ou encore leur date de naissance."
Mais les technologies biométriques, Face ID et autre, posent toutefois un problème comparé aux codes secrets : "si l'utilisation de la biométrie se généralise, certaines entreprises moins méthodiques qu'Apple dans la conception de leurs produits pourraient stocker les données biométriques de leurs clients sur leurs serveurs, comme elle le font avec les codes secrets. Si des hackers volent les codes, l'entreprise peut demander à ses clients de se rendre sur leur compte et de modifier leur code le plus vite possible. En revanche, il est impossible de changer de visage ou d'empreintes digitales…", s'inquiète David Emm, qui soutient une utilisation croisée de la biométrie et d'autres technologies d'identification. Une problématique sur laquelle les fabricants de matériel informatique, les développeurs d'applications et les consommateurs devraient méditer.