Bien qu'ils utilisent différentes méthodes d'authentification biométrique, Face ID et Touch ID sont très similaires sous le capot. Lorsque vous essayez de vous connecter à votre iPhone - en regardant l'appareil photo à l'avant ou en mettant le doigt sur le capteur tactile - le téléphone compare les données biométriques détectées aux données enregistrées dans l'Enclave sécurisé: un processeur séparé Le but principal est de garder votre téléphone en sécurité. Si le visage ou les empreintes digitales correspondent, votre iPhone se déverrouille. Sinon, vous êtes invité à entrer votre code secret. Bien que tout cela semble bien sur papier, est-ce sécurisé?
Les identifiants de visage et de contact sont généralement sécurisés
En général, Touch ID et Face ID sont sécurisés. Apple affirme qu’il ya 1 chance sur 505 que l’empreinte digitale d’une autre personne déverrouille faussement votre iPhone et 1 chance sur 1 000 000 que le visage d’une autre personne le fasse. Une personne sur 1 000 sait deviner un code d’authentification à quatre chiffres et une chance sur 1 000 000 de deviner votre code d’accès à six chiffres (et obtient trois essais avant d’être verrouillée). Cela devrait mettre les choses en perspective.
Le risque que quelqu'un puisse prendre votre téléphone au hasard, ou le voler, puis le déverrouiller à l'aide de son empreinte digitale, de son visage ou même en devinant que son code secret est incroyablement mince.
Le seul inconvénient est que des jumeaux identiques ou des frères et soeurs qui se ressemblent beaucoup sont plus susceptibles de créer un faux positif. Dans ce cas, il est possible que votre frère ou votre soeur puisse déverrouiller votre téléphone avec l'identification de visage. Cependant, les jumeaux identiques ne représentent que 0,003% de la population, ce qui ne représente donc pas un risque pour beaucoup. Si cela vous préoccupe, vous pouvez désactiver l’identité faciale et simplement utiliser un code secret.
Mais se prémunir contre ce genre d’intrusion occasionnelle n’est pas la seule chose à laquelle il faut s’inquiéter.
Les identités faciale et tactile peuvent être vulnérables aux attaques ciblées
Bien qu'il soit presque certain qu'aucun étranger aléatoire ne pourra entrer dans votre téléphone, si vous êtes victime d'une attaque ciblée, les choses pourraient être un peu différentes.
Les deux Touch ID et Face ID sont complètement vulnérables si quelqu'un peut vous forcer à vous connecter, en maintenant votre doigt contre le capteur (même lorsque vous êtes endormi) ou en vous faisant regarder votre téléphone. Et ces deux types d’attaques sont bien plus faciles à maîtriser que d’obliger quelqu'un à donner son code secret.
Alors, qu'en est-il des simulations d'empreintes digitales? Eh bien, Touch ID a été piraté avec succès. Les chercheurs ont pu utiliser de fausses empreintes digitales pour déverrouiller des appareils sécurisés avec Touch ID. Cependant, les mêmes chercheurs appellent cette technique «tout sauf triviale» et «encore un peu dans le domaine d'un roman de John Le Carré».
Ce dont les assaillants ont besoin, c’est essentiellement une copie intégrale de votre empreinte digitale, à haute résolution et sans bavures, ainsi que des milliers de dollars d’équipement. En théorie, une personne vraiment déterminée pourrait probablement entrer dans votre téléphone de cette façon, éventuellement même à partir d'une photo de votre empreinte digitale. Le problème, c’est que les données sur les iPhones de la grande majorité des gens ne valent tout simplement pas le coût et les tracas de ce type d’attaque.
De plus, si vous disposez de données aussi sensibles que précieuses, vous devrez probablement prendre des mesures supplémentaires pour les sécuriser. Ce n'est pas le genre de chose que l'on peut faire rapidement à des inconnus au hasard.
![L'identité faciale n'a pas encore été piratée, mais de manière réaliste, elle sera probablement exposée au même type d'attaque que Touch ID. Wired a dépensé plusieurs milliers de dollars pour tenter de le faire et a échoué, mais cela ne signifie pas que cela ne peut pas être fait. Marc Rogers, un pirate informatique qui a conseillé Wired sur le film, est «toujours convaincu à 90% que les [hackers] peuvent tromper cela." L'iPhone X n'est sorti que depuis quelques mois, nous verrons donc quelle sera la situation dans un an..](https://i.technology-news-hub.com/images/blog/how-secure-are-face-id-and-touch-id-1-p.webp "L'identité faciale n'a pas encore été piratée, mais de manière réaliste, elle sera probablement exposée au même type d'attaque que Touch ID. Wired a dépensé plusieurs milliers de dollars pour tenter de le faire et a échoué, mais cela ne signifie pas que cela ne peut pas être fait. Marc Rogers, un pirate informatique qui a conseillé Wired sur le film, est «toujours convaincu à 90% que les [hackers] peuvent tromper cela.\" L'iPhone X n'est sorti que depuis quelques mois, nous verrons donc quelle sera la situation dans un an..")
Tout se résume à l’un des truismes de la sécurité. Aucune méthode d'authentification ne pourra jamais résister à un attaquant suffisamment déterminé. Il y a toujours des défauts qui peuvent être utilisés; il s’agit simplement de la facilité avec laquelle ils peuvent en tirer parti.
Rien ne vous protège du gouvernement
Aucune mesure de sécurité ne peut réellement vous protéger contre une agence gouvernementale déterminée - américaine ou autre - avec des ressources essentiellement illimitées et le désir d'accéder à votre téléphone. Ils peuvent non seulement légalement vous obliger à utiliser Touch ID ou Face ID pour déverrouiller votre téléphone, mais ils ont également accès à des outils tels que la GreyKey. GreyKey peut soi-disant déchiffrer n'importe quel code d'authentification de périphérique iOS, ce qui rend Touch ID et Face ID inutiles. Apple s'efforce de fermer les vulnérabilités que ce type d'exploitation exploite, mais les personnes qui espèrent avoir une journée de paiement travaillent tout aussi dur pour en ouvrir de nouvelles.
Les Touch ID et les ID de visage sont extrêmement pratiques et, s'ils sont sauvegardés avec un code d'authentification puissant, sécurisés pour une utilisation quotidienne par presque tout le monde. Si vous êtes la cible d'un pirate informatique ou d'un organisme gouvernemental déterminé, ils ne vous protégeront peut-être pas longtemps.
Crédits d'image: XKCD.
