Soyons clairs: les hackers n’aiment pas les systèmes d’authentification biométrique. A chaque fois qu’une technologie de ce type émerge, ils se font un plaisir à tenter de la casser, souvent avec un certain succès. Le roi en la matière est Jan Krissler alias « Starbug ». Ce membre éminent du Chaos Computer Club a été le premier à hacker le système Touch ID de l’iPhone 5s en septembre 2013. Pour le contourner, il lui avait suffi de réaliser un faux doigt avec de la colle à bois. Un an plus tard, les hackers de SR Labs se faisaient plaisir en piratant le capteur d’empreinte de l’iPhone 6, qu’Apple n’a visiblement pas sécurisé davantage.
Pour la firme de Cupertino, c’était évidemment humiliant, mais elle n’a pas été la seule à recevoir les foudres des hackers. En mai 2017, Samsung est cloué au pilori par Jan Krissler – encore lui – qui arrive à contourner l’authentification par l’iris du Galaxy S8 avec l’impression en haute-définition d’une paire d’yeux sur lesquelles il collent des lentilles souples. Il faut dire que l’homme s’était déjà entraîné en 2014 sur un lecteur d’iris professionnel. A cette époque, une simple photo d’un visage imprimée en grandeur réelle suffisait.
Le hacker Starbug va-t-il s’y coller une nouvelle fois?
Inutile de dire que, lorsqu’Apple a présenté le nouveau système d’authentification Face ID de l’iPhone X, une vague d’excitation est passée à travers la communauté des hackers. Sur Twitter, ils sont nombreux à solliciter leur héros « Starbug » de passer à l’action.
@starbug of Chaos Computer Club has probably already designed the spoof. He was first to spoof Touch ID in 2013.
— Clare Nelson, Retired (Executive Director at DIF) (@Safe_SaaS) September 12, 2017
Si Jan Krissler accepte le challenge, un duel semble d’ores et déjà se dessiner. Car un autre poids lourd du hacking, Marc Rogers, a également manifesté son intérêt. L’homme est l’un des deux hackers qui ont réussi à pirater la voiture électrique Tesla Model S, un exploit particulièrement technique.
FaceID – I can't wait 🙂 STARBUG ….. Race you 🙂
— Marc Rogers (@marcwrogers) September 12, 2017
Mais cette fois, la barre semble être nettement plus élevée. La fonction Face ID s’appuie sur un ensemble de capteurs permettant de saisir la forme 3D du visage de l’utilisateur, et cela sans que l’utilisateur ne puisse s’en apercevoir. Un illuminateur infrarouge éclaire le visage pendant qu’un projecteur le quadrille avec plus de 30.000 points. Le tout est enregistré par une caméra infrarouge et transmis à des algorithmes d’intelligence artificielle à réseaux neuronaux pour élaborer un gabarit mathématique qui sera comparé avec celui stocké dans la Secure Enclave lors de l’initialisation. S’il y a concordance, l’appareil se déverrouille. Même Edward Snowden semble impressionné. A première vue, il trouve que c’est un « design intelligent qui évite certaines failles usuelles ».
We won't know how secure it is til #34C3, but looks like a clever design that avoids some common flaws. Needs a TouchID-style panic disable. https://t.co/JTVv7t11Wo
— Edward Snowden (@Snowden) September 12, 2017
Selon Apple, le taux de fausses acceptations (False Accept Rate) du Face ID est seulement de 1 sur un million. Cela veut dire que la chance qu’une tierce personne puisse s’authentifier avec votre appareil est d’un millionième. Ce qui est vingt fois moins élevé que pour le Touch ID qui a un taux de fausses acceptations de 1/50000. Lors de la conférence, Phil Schiller, vice-président marketing d’Apple, a précisé que ses ingénieurs ont même réalisé des tests avec des masques réalisés par des maquilleurs hollywoodiens.
Jan Kissler et consorts vont donc avoir du mal à contourner ce nouveau système avec seulement un peu de colle à bois. Mais il ne faut jamais sous-estimer l’imagination et l’opiniâtreté des hackers. Suspense.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.