Powered By Blogger

Rechercher sur ce blogue

Aucun message portant le libellé Face ID. Afficher tous les messages
Aucun message portant le libellé Face ID. Afficher tous les messages

lundi 13 septembre 2021

Windows Hello : la reconnaissance faciale un peu trop facile à berner ?

 

 

Windows Hello : la reconnaissance faciale un peu trop facile à berner ?

Microsoft

Par Remi Lou le

Le système de reconnaissance faciale mis au point par Microsoft pourrait être contourné assez facilement, d’après des chercheurs en cybersécurité.

La sécurité biométrique continue de se généraliser peu à peu et de remplacer l’ancestral mot de passe. Les smartphones ont été parmi les premiers à généraliser le capteur d’empreinte digitale ou la reconnaissance faciale, mais les ordinateurs ne sont pas en reste.

C’est ainsi que Microsoft avait fait l’éloge de Windows Hello, une sécurité biométrique reposant sur la reconnaissance faciale. Néanmoins, puisque Windows est amené à tourner sur de très nombreuses configurations différentes, ce système ne serait pas si sécurisé que cela.

Une image infrarouge suffit à tromper le système

Pour faire fonctionner Windows Hello, votre ordinateur doit impérativement être équipé d’une webcam embarquant un capteur infrarouge en plus de son capteur principal, et cela afin de fournir des informations fiables au système permettant de déverrouiller l’ordinateur. Néanmoins, il semblerait que Windows ne soit pas trop regardant quant aux données infrarouges récoltées.

Comme l’explique Omer Tsarfati, chercheur en cybersécurité pour CyberArk auprès de Ars Technica, le système mis au point par Microsoft ne serait pas aussi sécurisé qu’il l’entend. « Nous avons cherché à trouver le point faible de la reconnaissance faciale » explique-t-il, en visant spécifiquement le système infrarouge.

Puisque Windows doit s’accommoder de nombreuses configurations différentes, il suffirait en réalité de remplacer les données fournies en temps réel par le capteur infrarouge par une image infrarouge du propriétaire de l’appareil. « Le plus simple pour un attaquant serait de prétendre être la caméra, parce que tout le système repose sur ses informations » précise le chercheur.

Néanmoins, ce type d’attaque n’est pas aussi simple que cela à mettre en place. L’assaillant doit en effet avoir accès à l’ordinateur ciblé et disposer d’une image infrarouge correcte du propriétaire de l’appareil. Cela n’empêche pas Microsoft de s’en inquiéter et d’avoir qualifié ce problème de « vulnérabilité de contournement de la fonction de sécurité Windows Hello » tout en publiant un énième patch de sécurité afin de colmater la faille.

 

REF.:

jeudi 14 septembre 2017

Face ID : Souriez, vous êtes authentifiés, comment Apple se paye-t-il votre tête ?


Pas de bras, pas de chocolat. Pas d'iPhone X, pas de Face ID. Pour l'heure, cette nouvelle méthode d'authentification ne sera disponible que sur le smartphone le plus haut de gamme d'Apple — et ce, que votre iTerminal actuel bascule sous iOS 11 ou non, ou que vous optiez pour l'iPhone 8/8 Plus ou non. La limitation ici n'est pas logicielle, pas plus qu'elle ne résulte d'une histoire de puissance de calcul, étant donné que les trois prochains iPhone partageront tous le même processeur A11. La limitation, pour une fois, est justifiée de manière matérielle. C'est que, pour faire de la reconnaissance faciale, il faut un peu plus qu'un "simple" module photographique en façade. La recette complète nous est donnée à travers la vidéo de démonstration ci-dessus, commentée par la douce voix de Jon "Johnny" Ive, et ce sont tout particulièrement les détails donnés à 1 minute 14 secondes qui nous intéressent :
Apple_iPhoneX_FaceID_FrontCamera.jpg
Beaucoup de monde dans si peu d'espace : les composants qui ne sont pas soulignés en vert ne participent pas à Face ID.
Pour faire fonctionner Face ID, le module photographique frontal ne fonctionne pas seul : il collabore avec le module infrarouge et un projecteur de point. Chacun a son rôle. Le module principal joue au chef d'orchestre, le module infrarouge prend le relais lorsque la lumière est insuffisante et le projecteur de point assure la détection volumétrique. Mais reprenons en détail.

L'intérêt d'un module infrarouge est qu'il permet de s'affranchir de la quantité et de la qualité de lumière qui éclaire votre visage. Même dans l'obscurité, il continue à vous voir. S'il avait fallu passer par le module photographique principal, en mauvaises conditions de luminosité, il aurait fallu augmenter la sensibilité, ce qui aurait faussé la détection. Néanmoins, Apple ne fournit pas plus de détails sur le fonctionnement de l'infrarouge : a-t-il recours à un projecteur infrarouge ou passe-t-il par une détection thermique du visage, selon un processus utilisé depuis quelques années ? Pour l'heure, mystère.

L'autre élément clé du dispositif est le projecteur de points. Et qu'est-ce qu'un projecteur de points ? D'après la vidéo promotionnelle d'Apple, cela ressemble à ceci :
Apple_iPhoneX_FaceID_DotProjector.jpg
Avec Face ID, vous pourrez enfin décrocher votre téléphone sans le mouiller. Fini le syndrome Claude François.
Apple_iPhoneX_FaceID_FaceMapping.jpg
Les petits points façon Minority Report sont juste là pour l'illustration. Rassurez-vous, dans la vie, tout cela sera invisible.
Votre visage est cartographié selon 30 000 points de contrôle, cette carte étant ensuite envoyée vers le processeur pour analyse, lequel se chargera de reconstruire un modèle virtuel de votre visage. Si Apple met autant en avant l'aspect machine learning de sa puce A11 Bionic, c'est parce que le procédé trouve ainsi tout son intérêt. En effet, le modèle virtuel de votre visage n'est pas statique, mais dynamique. D'après Apple, il est capable de s'adapter à vos changements morphologiques, que vous grossissiez après avoir abusé de la raclette dominicale (la saison risque de commencer plus tôt cette année), que vous transpiriez ou ayez le visage tout fatigué d'avoir trop fait de sport (il faut bien l'éliminer, cette raclette), que vous changiez de coupe de cheveux, éventuellement de pilosité faciale, etc. Bon, forcément, si vous portez une cagoule ou remontez votre col jusqu'au yeux, ça risque de compliquer un peu l'affaire : Face ID ne voit pas encore derrière la matière. Cela dit, il sera intéressant, notamment pour les motards, de voir comment l'iPhone X se comporte lorsque son utilisateur porte un casque. Et tant que nous y sommes, que se passe-t-il lorsque vous avez une forte fièvre (certes, vous n'êtes alors pas censé consulter votre téléphone) ? Ou lorsque vous êtes frigorifié, disons, vous êtes un marcheur blanc, vous venez de faire le mur, et désirez faire un Snap pour partager la nouvelle avec vos amis ?

Les analystes de Yole Développement avaient, fin août 2017, très bien anticipé la technologie de cartographie utilisée dans l'iPhone X.
En passant par une triple confirmation en lumière visible, en lumière infrarouge et volumétrique, la vigilance du Face ID d'Apple risque d'être un peu plus compliquée à berner que celle purement visuelle des Samsung Galaxy (S8, S8+) et Note (7 et 8). Une simple photo ne suffira pas. Et une impression 3D de votre visage ? Là non plus, ça ne devrait pas fonctionner, car il manquera la confirmation thermique. Après, quelqu'un peut réellement avoir très, très envie de pirater votre téléphone et s'embêter à falsifier à la perfection votre tête, en trois dimensions et en température, mais les probabilités pour que cela arrive demeurent assez faible. Ce qui ne signifie pas que Face ID est inviolable. Mais là, dans l'immédiat, nous ne voyons pas comment — et même si nous le savions, nous ne l'expliquerions pas. Toutefois, une autre question se pose : Apple savait déjà tout de vous, stockait déjà jusqu'à cinq de vos empreintes digitales : Cupertino disposera désormais d'une cartographie dynamique de votre tête. En voilà une information dont la monétisation pourrait rapporter gros... Rassurons-nous toutefois, toutes ces informations sont pour le moment stockées en local sur les terminaux, sans qu'Apple puisse y accéder.

Face ID, donc, devrait permettre à Apple de se distinguer, au moins quelque temps, de ses concurrents sous Android. La marque à la pomme justifie ainsi ses nombreuses acquisitions récentes de start-ups ultra-spécialisées en imagerie : l'Israëlien LinX en avril 2015 (spécialiste des caméras multiples), l'Allemand Metaio en mai 2015 (spécialiste de la réalité augmentée et des interfaces thermiques), les Américains Perceptio et Emotiont (spécialistes de la reconnaissance faciale) ou encore le Suisse Facsehift, l'Américain Turi ainsi que l'Indien Tuplejump (spécialistes du machine learning), pour ne citer qu'eux. Le germano-américain pmd tech saura-t-il résister à la voracité de la pomme ? L'avenir nous le dira. En tous cas, cette start-up n'a pas hésité à présenter, un jour avant Apple, sa propre solution de reconnaissance faciale tridimensionnelle pour laquelle elle propose une plateforme de développement destinée aux développeurs pour smartphones Android. Tiens tiens...

REF.: