Une démonstration spectaculaire a marqué l’édition 2019 de la Black Hat Conference. Une équipe de chercheurs en cybersécurité est parvenu à pirater Face ID en moins de deux minutes. Grâce à des lunettes recouvertes de ruban adhésif !
Déverrouiller un iPhone ? Simple comme une paire de lunettes ! C’est du moins ce qui ressort d’une spectaculaire démonstration durant la conférence Black Hat 2019, cette rencontre dédiée à la cybersécurité. Chaque année, des groupes de chercheurs montrent leurs techniques les plus impressionnantes pour casser les systèmes de défense d’outils électroniques.
Face ID : une détection de vitalité plus laxiste avec les lunettes
Cette année, c’est donc Face ID qui a concentré l’attention. Une équipe de Tencent, un spécialiste chinois de la cybersécurité, s’est attaqué au système de déverrouillage d’Apple utilisant la reconnaissance faciale.
Ils ont découvert que la faiblesse de ce système résidait dans sa détection de vitalité. Face ID vérifie en effet qu’il est bien en face d’une personne vivante et réveillée en détectant le bruit de fond, la distorsion de réponse ou le flou de mise au point. Cela permet d’éviter que des voleurs déverrouille un iPhone grâce au visage endormi ou inconscient (voire mort) de son propriétaire.
Or, ce système de détection de vitalité n’extrait pas toutes les données s’il identifie que le propriétaire porte des lunettes. Une zone noire pour l’oeil et un point blanc pour l’iris lui suffissent.
Idéal pour hacker un iPhone dont le propriétaire dort…
Utilisant ces informations, les chercheurs de Tencent ont placé des lunettes partiellement occultées par un morceau d’adhésif percé au centre sur le visage supposément endormi du propriétaire de l’iPhone. Et, en moins de deux minutes, l’iPhone était déverrouillé.
Certes, pour être mise en œuvre, cette technique nécessite d’endormir, d’assommer ou de tuer le propriétaire de l’iPhone. Ce qui en limite la portée. Mais elle montre qu’une faille béante existe. Faille que les ingénieurs d’Apple vont se faire un plaisir de combler…