Une vulnérabilité dans Face ID a été révélée lors de la conférence sur la sécurité Black Hat. Vous aurez besoin de lunettes avec du ruban adhésif noir pour les casser.
Un cas particulier concerne Face ID avec la fonction attention requise. Ceux-ci ne permettront pas de déverrouiller l’appareil les yeux fermés ou plissés. Toutefois, cette limitation peut évidemment être contournée assez facilement.
Les experts de Tencent ont montré que des lunettes ordinaires et quelques morceaux de ruban adhésif noir suffisent. Ils ont découvert que Face ID ne peut pas scanner correctement le visage en 3D aux endroits où se trouvent des lunettes.
Chez Tencet, ils se sont concentrés sur la façon dont comment Face ID fonctionne avec les données biométriques. Ils ont notamment étudié le processus permettant de distinguer les vrais et les faux attributs sur un visage humain. La fonctionnalité tente de détecter le bruit de fond, la distorsion ou le flou.
Ils ont remarqué une chose très intéressante à propos de la fonctionnalité « Exiger une attention pour Face ID ». Ils ont constaté qu’une zone noire (œil) avec un point blanc (lentille) est rendue sur l’arrière-plan. Cependant, une fois qu’une personne porte des lunettes sur le visage, la fonction de détection de l’attention fonctionne complètement différemment.
Les lunettes X tromperont la détection d'attention de Face ID
Les experts ont alors pensé à prendre des verres ordinaires et à découper deux rectangles dans du ruban adhésif noir. Ils ont ensuite découpé des petits carrés dans le ruban blanc, qui ont ensuite été collés au milieu. Ces « lunettes X » confondent facilement la fonction qui veille sur les yeux d'une personne. Et ils ont réussi à déverrouiller l'appareil.
Bien entendu, il est peu probable qu’une telle attaque soit courante. D’un autre côté, ce n’est pas totalement irréaliste. Vous avez toujours besoin du visage physique de la victime, mais vous pouvez contourner la détection de l'attention. Ainsi, un scénario est tout à fait possible dans lequel la personne sera obligée de porter des « Lunettes X » et les attaquants pourront facilement contourner la protection Face ID.
La conférence Black Hat sur la sécurité se poursuit. Sont également présents des représentants d'Apple lui-même, qui ont annoncé un soutien supplémentaire aux programmes de recherche d'erreurs. Les nouvelles récompenses seront encore plus élevées et le programme sera étendu à macOS en plus d'iOS. Apple prévoit également de distribuer des appareils spéciaux dotés d'un système d'exploitation déverrouillé à des experts en sécurité afin qu'ils puissent tenter des attaques encore plus sophistiquées.
Petr Skuta 
David Hanak 
D'accord, il n'y a donc pas eu de piratage de Face ID, juste un piratage de suivi de l'attention. Vous feriez aussi sensation avec une merde. ?