« La technologie sur laquelle repose Face ID se compose du matériel et des logiciels les plus évolués que nous ayons créés à ce jour. La caméra TrueDepth capture des données faciales précises en projetant et en analysant plus de 30 000 points invisibles, afin de créer une carte de profondeur et de capturer une image infrarouge de votre visage. Une partie du moteur neural de la puce A11 Bionic (protégée au sein de l’enclave sécurisée) transforme la carte de profondeur et l’image infrarouge en une représentation mathématique et compare cette dernière aux données faciales enregistrées.
« Face ID s’adapte automatiquement à vos changements d’apparence, comme le maquillage ou l’augmentation de la pilosité faciale. Si votre apparence présente des changements plus significatifs, comme une barbe rasée, Face ID confirme votre identité en utilisant votre code d’accès avant de mettre à jour vos données faciales. La technologie Face ID a été conçue pour détecter les couvre-chefs, les lunettes, les lentilles de contact et de nombreuses lunettes solaires. En outre, elle a été pensée pour fonctionner à l’intérieur, à l’extérieur et même dans l’obscurité totale. »
Pourtant, des chercheurs de la firme de sécurité vietnamienne Bkav ont réussi à contourner le mécanisme seulement un peu plus d’une semaine après que le dispositif a été mis en vente. Pour rappel, en 2009, des chercheurs de la même entreprise avaient réussi à contourner le système de reconnaissance faciale déployé par des constructeurs sur certains ordinateurs portables comme ASUS, Lenovo, Toshiba, et d'autres, en n’utilisant rien de plus qu'une simple photo.
La firme de sécurité vietnamienne Bkav a publié un billet de blogue et une vidéo montrant qu’elle avait contourné la sécurité Face ID avec un masque composite de plastique imprimé en 3D. Précisons que l’équipe n’a pas reproduit un visage en entier ; elle a choisi de se concentrer sur la reproduction des parties qui devaient être valides pour un processus d’authentification réel, à savoir les yeux, le nez, la bouche et la forme du visage. Au total, les chercheurs ont affirmé que leur masque ne leur a coûté que 150 $.
Pour créer le masque, l’équipe ne s’est pas contentée d’utiliser un seul matériau, comme le silicone, mais a fusionné différentes techniques. Elle a utilisé l'impression 3D pour créer un modèle de visage précis basé sur des photos numériques du propriétaire du téléphone. Par la suite elle a modelé un nez en silicone sur le masque et a collé des images 2D des yeux et de la bouche du propriétaire sur le modèle 3D.
Les premières tentatives ont échoué. C’est alors que l’équipe a eu l’idée de demander à un artiste de tordre le nez en silicone, raison pour laquelle vous voyez dans la vidéo une partie du nez qui a une couleur différente du reste. Le processus entier peut durer jusqu’à une semaine.
Les chercheurs admettent, cependant, que leur technique nécessiterait une mesure détaillée ou un scan numérique du visage du propriétaire de l'iPhone cible. Les chercheurs disent qu'ils ont utilisé un scanner portatif qui a nécessité environ cinq minutes de balayage manuel du visage de leur sujet. Ce qui place leur méthode dans le domaine de l'espionnage très ciblé, plutôt que dans le genre de piratage routinier que la plupart des propriétaires d'iPhone X pourraient effectuer.
D’ailleurs, ils assurent que « Les cibles potentielles ne doivent pas être des utilisateurs réguliers, mais les milliardaires, les dirigeants des grandes entreprises, les dirigeants de la nation et des agences comme le FBI doivent comprendre le problème relatif à Face ID ». Ils ont indiqué que les futures versions de leur technique pourraient être réalisées avec un scan rapide du visage d'une victime, ou même un modèle créé à partir de photographies, mais n'ont fait aucune prédiction sur la facilité avec laquelle ces prochaines étapes pourraient être réalisées.
« Le mécanisme de reconnaissance n'est pas aussi strict que vous le pensez », ont expliqué les chercheurs. « Nous avons juste besoin d'une moitié de visage pour créer le masque, c'était même plus simple que nous ne le pensions nous-mêmes. »
Source : billet Bkav, Apple