Aspects de sécurité de la technologie Face ID d’Apple

Comment fonctionne la reconnaissance faciale sur le nouvel iPhone X d’Apple – est-elle suffisamment sûre pour lui faire confiance ?

Cette semaine, l’iPhone a connu de grands changements. Le plus évident est sûrement le bouton « Accueil » manquant. C’est vrai : le nouveau téléphone phare d’Apple, l’iPhone X, n’a pas de scanner d’empreintes digitales (Touch ID). Celui-ci a été remplacé par quelque chose appelé Face ID.

Ceux qui ont regardé la présentation d’Apple connaissent déjà ce nouveau Face ID, mais nous allons parler un peu de cette technologie et l’étudier du point de vous qui nous intéresse, la sécurité.

Qu’est-ce que Face ID et la caméra True Depth

En bref, le Face ID d’Apple est une technologie utilisée pour reconnaître le visage d’un utilisateur et débloquer le nouvel iPhone ainsi que pour confirmer les paiements en comparant la vue du visage avec une autre image stockée dans la mémoire de l’iPhone. Pour cela, l’iPhone utilise une caméra spéciale appelée caméra True Depth.

La petite péninsule en haut du panneau avant de l’iPhone X (la seule partie à ne pas être couverte par l’immense écran) est munie de nombreux capteurs et autres éléments électroniques. En plus de la caméra avant, du micro, du haut parleur et des capteurs de proximité et de lumière ambiante habituels, le téléphone comprend trois nouveaux éléments : une caméra infrarouge, un point d’éclairage et un projecteur de points.

Ces trois nouvelles parties forment la caméra True Depth qui cartographie votre visage et capture des images spéciales en 3D utilisées pour vous authentifier. Voici comment cela fonctionne.

Le point d’éclairage est simplement une source de lumière utilisée pour éclairer votre visage en cas de mauvaises conditions lumineuses pour que la caméra puisse avoir une bonne image. Le projecteur de points projette 30 000 points infrarouges invisibles sur votre visage. La caméra infrarouge capture votre visage en utilisant ces points.

Les points aident à souligner vos traits et créent ce que l’on peut appeler une carte en 3D de votre visage. Lors du paramétrage de Face ID, vous devrez tourner légèrement la tête pour que l’iPhone X puisse cartographier votre visage sous différents angles.

Ensuite, quand vous voudrez utiliser Face ID, le logiciel prendra une photo de vous avec la caméra infrarouge et si suffisamment de traits correspondent à la carte 3D stockée sur votre téléphone, vous serez considéré comme un utilisateur légitime. Si l’image ne ressemble pas à la carte, vous aurez une chance de reproduire le processus. Jusque là, cette technologie fonctionne comme un scanner d’empreintes digitales, mais il y a une différence de taille.

Apple a intégré un co-processeur spécial adapté pour les algorithmes d’apprentissage machine qui permet au système d’apprendre et de mieux s’adapter à vous. Il permet ensuite de procéder à la reconnaissance plus vite car le système s’adapte aux changements de votre expression faciale, à vos cheveux et à vos accessoires. Apple affirme que si, par exemple, vous décidez de porter un foulard ou de vous laisser pousser la barbe, le système continuera à vous reconnaître.

Fonctionnalités de sécurité de Face ID

Maintenant que nous savons comment fonction Face ID, voyons en quoi il se différencie des techniques de reconnaissance faciale traditionnelles qui, comme nous l’avons souligné dans des articles précédents, ne sont pas très sûres. Apple a implanté plusieurs fonctionnalités pour assurer que Face ID fonctionne sans accroc et soit plus sûr que d’autres systèmes.

 

Tout d’abord, Face ID ne peut pas être contourné par une photo : les images plates n’ont pas de carte en 3D de points infrarouges. À titre de comparaison, le Face Unlock de Samsung, implanté sur les téléphones les plus récents de la société, peut être contourné à l’aide de selfies.

Ensuite, Apple affirme qu’il a même testé Face ID avec des masques qui étaient des copies du visage de la personne, mais qu’il a tenu bon et n’a laissé entrer personne d’autre que le propriétaire de l’appareil. Phil Schiller, d’Apple, a déclaré que la probabilité que quelqu’un débloque votre iPhone X avec sécurité Face ID avec son visage est de 1 sur un million. C’est assez impressionnant, surtout par rapport au rapport de 1 sur 50 000 pour le lecteur d’empreintes Touch ID.

Apple a également déclaré que l’utilisation de Face ID demande de la concentration et que l’on ne peut pas l’utiliser en ne regardant pas le téléphone ou avec les yeux fermés. À ce que nous savons, la True Depth camera n’a pas de scanner d’iris, mais elle doit probablement se baser sur des données relatives à vos yeux et la direction de votre regard, ce qui lui permet de ne pas être trompée par des masques réalistes.

Troisièmement, vous n’avez pas à craindre que quelqu’un ne vole votre visage : les images capturées par Face ID sont stockées dans la mémoire chiffrée du coprocesseur spécial d’Apple appelé Secure Enclave. Ils sont traités uniquement sur l’appareil et ne sont jamais envoyés autre part ou sur les serveurs d’Apple. En parlant de traitement : celui-ci a lieu sans sortir de Secure Enclave également, afin qu’aucune application ne puisse accéder aux scans de votre visage.

Hacker Publishes iOS Secure Enclave Firmware Decryption Key

Cependant, un chercheur en sécurité a déjà trouvé une vulnérabilité dans Secure Enclave. Elle a été corrigée, mais cela ne signifie pas qu’il n’y en aura pas d’autres, et la prochaine risque d’être utilisée par attaquant qui pourrait accéder à vos données.

Comme Schiller l’a également fait remarquer lors de l’annonce, il n’y a pas de système absolument sûr. Sur la base du design de Face ID, nous pouvons affirmer que la nouvelle reconnaissance facile de l’iPhone devrait être plus sûre que la reconnaissance faciale traditionnelle faite par une simple caméra à l’avant en 2D, et qu’elle semble être plus sûre que le capteur d’empreintes digitales Touch ID. Cependant, les chercheurs en sécurité du monde entier essaieront bientôt de hacker ce système : le fait qu’il soit suffisamment sûr reste donc encore à prouver. Heureusement, le code PIN traditionnel à six chiffres peut toujours être utilisé. Comme tous les codes PIN, il n’est bien sûr pas d’une sureté à toute épreuve, mais au moins, il ne peut pas révéler vos données biométriques à des hackers.

Conseils