Face ID sécurise-t-il l’iPhone X aussi bien que l’affirme Apple ?

Kaspersky se penche sur Face ID, le système d’authentification pour iPhone X basé sur la reconnaissance faciale, qui est fiable selon Apple. Vraiment ?

Face ID compose l’une des innovations majeures de l’iPhone X présenté en début de semaine. Peut-être même la plus importante.

Rappelons que cette fonctionnalité est un système de reconnaissance faciale en 3D qui identifie et authentifie le propriétaire du terminal. Dans ce cadre, Face ID vient remplacer Touch ID, le capteur d’empreintes digitales qui disparait avec le bouton Home.

Du coup, la reconnaissance faciale 3D constitue le principal vecteur de déverrouillage de l’appareil mais aussi de validation pour les paiements par iPhone.

Mais le système est-il à la hauteur de la sécurité que l’on peut en attendre ? N’oublions pas que les systèmes classiques de reconnaissance faciale 2D sont facilement contournable avec de simples photos. Ce qu’a reconnu Samsung pour son Galaxy S8, par exemple. Quid de Face ID ?

30 000 points projetés sur le visage

D’abord, Face ID s’appuie sur une caméra spéciale. Appelée True Depth Camera, ce capteur se compose en fait de trois éléments : une caméra infrarouge, un système d’éclairage, et un projecteur de points.

C’est eux qui se chargent de générer une sorte de carte 3D du visage qui va servir de référence pour identifier l’utilisateur. Notamment à partir des 30 000 points invisibles projetés sur le visage et capturés par le capteur infrarouge.

Les trois composants de True Depth Camera dans la barre de capteurs frontaux de l'iPhone X.
Les trois composants de True Depth Camera dans la barre de capteurs frontaux de l’iPhone X.

Si un assez grand nombre de points captés correspondent aux points « source » lors de l’identification, le système valide la reconnaissance. Sinon, il faut recommencer l’opération.

Ce système présente l’inconvénient d’avoir à orienter sous différents angles le visage pour confirmer son identité. Ce qui, au quotidien, pourrait s’avérer lassant.

Mais « Apple a construit un coprocesseur spécial adapté aux algorithmes d’apprentissage machine, ce qui apprend au système à mieux s’adapter à vous, ce qui, à son tour, rend la reconnaissance plus rapide et aide le système à s’adapter aux changements de votre expression faciale », précise l’expert en sécurité.

Face ID insensible aux masques

Outre qu’il s’adaptera aux différentes expressions du visage ou changements (coupe de cheveux, barbe, lunettes…), ce système 3D reste sensible aux tentatives d’identification à l’aide de photo, assure Alex Perekalin.

Qui plus est, Apple déclare que des essais ont été faits à partir de masques reproduisant le visage du propriétaire. Lesquels n’ont pas réussi à tromper le système.

Selon Phil Schiller, vice-président marketing d’Apple, les chances de tromper Face ID s’élèvent à 1 sur 1 million contre 1 pour 50 000 avec Touch ID. Si c’est vrai, il s’agit d’un indéniable progrès.

Mais n’y a-t-il pas un risque de se faire voler le fichier numérique du visage 3D ? Rien n’est certes impossible mais celui-ci est stocké dans la mémoire chiffrée du coprocesseur Secure Enclave. L’image n’est pas envoyée sur les serveurs d’Apple et reste stockée localement dans le processeur dédié et aucune autre application n’y a accès.

Secure Enclave piraté

Néanmoins, un chercheur avait trouvé une vulnérabilité dans Secure Enclave. Si la faille a été corrigée depuis, rien ne dit que d’autres chercheurs, voire des cybercriminels, n’en trouveront pas d’autres pour accéder au fichier du visage et tromper ainsi le système d’authentification.

Bref, rien n’est sécurisé à 100%, ce qu’a admis Phil Schiller.

Les utilisateurs qui douteront de la sécurité renforcée de Face ID face à Touch ID et surtout des systèmes à reconnaissance faciale 2D, pourront toujours utiliser le classique code PIN pour s’identifier.

Cet historique système de déverrouillage du smartphone n’est pas non plus parfait « mais au moins, il ne risque pas de faire fuiter vos données biométriques vers les pirates », conclut le chercheur de Kaspersky.


Lire également
L’iPhone X passé au crible technique
iPhone 7 : une boîte pour dérober les codes d’accès sur iOS 10 et 11
Résultats Apple : une croissance solide en attendant l’iPhone 8