La technologie biométrique Face ID peut-il être piraté ?

Les fans d’Apple commenceront aujourd’hui à recevoir les premiers envois de l’iPhone X, qui présente la protection Face ID, la fonction de sécurité iPhone la plus controversée à ses débuts depuis des années.

La technologie de reconnaissance faciale soulève de sérieuses questions sur la vie privée. Cela remet également en question si l’authentification biométrique est utilisée en toute sécurité. Mais les experts disent que c’est un pas vers la bonne direction. Ce qui est dommage, car cette solution pourrait être à l’avenir une option pour débloquer un compte Facebook.

Face ID, disponible uniquement sur l’iPhone X, remplace le système d’authentification Touch ID d’Apple qui a débuté en 2013 sur l’iPhone 5S avec un scanner digital depuis l’appareil photo qui convertit le visage de l’utilisateur en une connexion biométrique. La physiologie unique du visage de l’utilisateur, que le système mappe sur le code d’accès de l’utilisateur, peut déverrouiller le téléphone.

Le Dr Joseph Atick, pionnier de la biométrie, prédit que la mise en œuvre par Apple des protocoles de reconnaissance faciale et de sécurité pour protéger la biométrie faciale améliorera la sécurité de l’utilisateur.

« Le niveau de sécurité fourni par le système biométrique sera-t-il proportionnel ou meilleur que le code d’accès ? La réponse est un oui retentissant », a déclaré Atick à The Parallax. Le fait qu’Apple garde les données biométriques dans une puce matérielle difficile à pirater sur l’iPhone appelée Secure Enclave, comme d’autres iPhones le font avec les données Touch ID, et les données biométriques ne quittent pas le téléphone, sont des parties essentielles de la sécurité du téléphone, dit-il.

Les gens utilisent des mots de passe ou des mots de passe «faciles à deviner ou qui ne changent pas au fil du temps». Du point de vue de la sécurité, il ne fait aucun doute que « Face ID rendra les utilisateurs plus sûrs, dit Atick, car les informations biométriques » ne quittent pas le téléphone ».

Apple, qui n’a pas répondu aux demandes de commentaires, explique comment fonctionne la technologie de reconnaissance faciale dans sa FAQ Face ID. La caméra propriétaire TrueDepth intégrée dans le téléphone tire une photo infrarouge du visage de l’utilisateur, puis applique plus de 30 000 points pour créer une carte de profondeur de visage. Le système utilise ensuite les entrées de la caméra ordinaire du téléphone, de l’illuminateur d’inondation et des capteurs de proximité et de lumière ambiante pour créer une carte 3D du visage de l’utilisateur.

Les informations biométriques d’une personne ou encore scan du visage, empreintes digitales ou même pulsations – peuvent essentiellement remplacer le nom d’utilisateur et le mot de passe traditionnels. Et de nombreuses entreprises technologiques de premier plan au-delà d’Apple, de Google à Samsung en passant par Toshiba, expérimentent l’authentification biométrique depuis une décennie, alors même que les experts en sécurité mettent en garde contre les forces de la biométrie.

En plus d’utiliser la chirurgie plastique pour changer l’apparence du visage d’une personne, il est presque impossible de changer les données biométriques dérivées de la physiologie d’une personne. Et bien que cela ne soit pas un souci maintenant, il pourrait devenir un risque de sécurité à un moment donné – de la même manière que les numéros de sécurité sociale sont devenus un moyen facilement piraté d’authentifier l’identité.

« Un numéro de sécurité sociale identifie de manière unique une personne, et la biométrie est un identifiant unique. Lorsque nous combinons les deux, cela nous met dans une mauvaise position «, explique Dustin Kirkland, vice-président du développement des produits chez Canonical, qui fabrique le système d’exploitation Linux basé sur Ubuntu. Un blog qu’il a écrit juste après le lancement de l’iPhone 5S et Touch ID sur les problèmes d’utilisation de la biométrie comme authentifiants a reçu plus de 3 millions de vues, dit-il.

Une étude prédit que les smartphones équipés de lecteurs d’empreintes digitales devraient représenter 67 % des smartphones utilisés l’année prochaine, contre 19 % en 2014. Une étude de Gigya réalisée en 2016 a révélé que 52% des 4 000 consommateurs interrogés aux États-Unis et au Royaume-Uni En 2016, nous souhaitons utiliser des lecteurs biométriques plutôt que des combinaisons nom d’utilisateur / mot de passe traditionnelles.

Avec l’iPhone X et son identification de visage atteignant des consommateurs juste aujourd’hui, il n’y a aucune évidence encore d’être piraté. Mais d’autres technologies d’authentification biométrique ont, selon Justin Fier, le directeur de Cyber Intelligence and Analysis de la société britannique de cybersécurité Darktrace, dont Touch ID dans ses premières 48 heures sur le marché.

«Un grand nombre d’installations sécurisées à travers les États-Unis ne permettront pas la biométrie, car il a été prouvé qu’elles peuvent être violées», explique Fier. « La biométrie est un excellent outil, lorsqu’elle est associée à une authentification à deux facteurs », qui utilise deux éléments d’information pour prouver l’identité de l’utilisateur. « Mais en tant qu’authentification à un seul facteur, je ne ferais pas confiance à lui-même. »

La biométrie est « tragiquement défectueuse et piratable« , affirme Kirkland. « La biométrie n’est pas un secret, et elle ne peut pas être changée au fil du temps. Ils font d’excellents identifiants, mais cela ne fonctionne pas comme deuxième facteur d’authentification: «Le visage, les empreintes digitales et même l’ADN d’un utilisateur sont nécessairement des pièces partagées publiquement de votre identité, dit-il, même après avoir été compromis.

Il est également possible, du moins aux États-Unis, que les organismes d’application de la loi forcent les suspects à déverrouiller des dispositifs protégés par l’authentification biométrique. Les empreintes digitales et les scintigraphies faciales sont considérées comme des propriétés physiques pouvant être obtenues; la connaissance d’un mot de passe ne l’est pas. Et le vol de données biométriques est loin d’être théorique, comme en témoigne le piratage en 2015 du Bureau de la gestion du personnel du gouvernement américain.

Cela ne signifie pas que toutes les implémentations de la biométrie pour l’authentification sont mauvaises, voire doivent être utilisées. Dans la plupart des cas, comme avec l’iPhone X, les utilisateurs peuvent contourner ou désactiver la connexion biométrique et utiliser seulement un mot de passe. Au moins pour Apple, cependant, la relation semble être symbiotique. Apple a déclaré lors de la conférence des développeurs en 2016 que l’utilisation des codes d’accès est passée de 49 % de tous les utilisateurs à 89 % de tous les utilisateurs dans les années suivant l’introduction de Touch ID.

Atkins soutient que la biométrie n’est pas intrinsèquement dangereuse. »Il y a des comportements dangereux », dit-il, comme ne pas protéger le modèle biométrique qui permet de convertir un visage en code informatique, ou ne pas protéger le code résultant avec un hachage difficile à déchiffrer. « Ce n’est pas la mise en œuvre que Apple Pay ou l’un des paiements utilisent », dit-il.

« Nous ne devrions pas traiter la biométrie comme une panacée », déclare Al Pascual, vice-président senior et responsable de la fraude et de la sécurité chez Javelin Strategy and Research, société de conseil financier.

« Comme toute autre authentification, elle peut être piratée« , dit-il. « Le point important avec la biométrie est que pour l’instant, il est plus difficile pour les criminels de faire des piratages. Donc, si vous n’avez pas d’alternative viable, personnellement, je considère cela comme un non-sens alarmant. Au moins avec la biométrie, la barre est plus élevée pour en abuser. Même lorsque vous contrôlez toutes les préoccupations commerciales, la biométrie est plus sûre. »

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage