Quel est le degré de sécurité des identifiants de visage et de contact?
Apple affirme que les identificateurs de visage et les identifiants tactiles sont sécurisés, ce qui est généralement vrai. Il est extrêmement improbable qu'une personne au hasard puisse déverrouiller votre téléphone. Mais ce n'est pas le seul type d'attaque à s'en inquiéter. Creusons un peu plus loin.
Bien qu'ils utilisent différentes méthodes d'authentification biométrique, Face ID et Touch ID sont très similaires sous le capot. Lorsque vous essayez de vous connecter à votre iPhone (en regardant l'appareil photo situé à l'avant ou en mettant votre doigt sur le capteur tactile), le téléphone compare les données biométriques détectées aux données enregistrées dans Secure Enclave (processeur séparé). Tout le but est de garder votre téléphone en sécurité. Si le visage ou l'empreinte digitale correspond, votre iPhone se déverrouille. Sinon, vous êtes invité à entrer votre code. Alors que tout cela semble bien sur papier, est-ce sécurisé?
Les identifiants de visage et de contact sont généralement sécurisés
En général, Touch ID et Face ID sont sécurisés. Apple affirme qu'il y a 1 chance sur 50 000 que l'empreinte digitale d'une autre personne déverrouille faussement votre iPhone et 1 chance sur 1 000 000 que le visage de quelqu'un d'autre le fasse. Il y a une personne sur 1 000 sur 10 qui pourrait deviner un code d'authentification à quatre chiffres et sur une chance sur 1 000 000 de deviner votre code d'authentification à six chiffres (et ils ont trois essais avant d'être verrouillés). Cela devrait mettre les choses en perspective.
La possibilité que quelqu'un puisse prendre ou voler votre téléphone au hasard, puis pouvoir le déverrouiller en utilisant leur empreinte digitale, leur visage ou même en devinant que votre code secret est incroyablement mince.
Le seul inconvénient est que des jumeaux identiques ou des frères et soeurs qui se ressemblent beaucoup sont plus susceptibles de créer un faux positif. Dans ce cas, votre frère ou votre soeur pourrait peut-être déverrouiller votre téléphone avec l'identification de visage. Cependant, les jumeaux identiques ne représentent que 0,003% de la population, de sorte que ce n'est pas un risque qui s'applique à beaucoup. Si cela vous inquiète, vous pouvez désactiver l'identifiant de visage et simplement utiliser un code d'authentification sécurisé..
Mais se prémunir contre ce genre d’intrusion occasionnelle n’est pas la seule chose à laquelle il faut s’inquiéter.
Les identités faciale et tactile peuvent être vulnérables aux attaques ciblées
Bien qu'il soit presque certain qu'aucun étranger aléatoire ne pourra entrer dans votre téléphone, si vous êtes victime d'une attaque ciblée, les choses pourraient être un peu différentes.
Les deux Touch ID et Face ID sont complètement vulnérables si quelqu'un peut vous forcer à vous connecter, en plaçant votre doigt contre le capteur (même lorsque vous êtes endormi) ou en vous faisant regarder votre téléphone. Et ces deux types d’attaques sont beaucoup plus faciles à retirer que de forcer quelqu'un à donner son code secret..
Alors, qu'en est-il des simulations d'empreintes digitales? Eh bien, Touch ID a été piraté avec succès. Les chercheurs ont pu utiliser de fausses empreintes digitales pour déverrouiller des appareils sécurisés avec Touch ID. Cependant, les mêmes chercheurs appellent cette technique «tout sauf triviale» et «encore un peu dans le domaine d'un roman de John Le Carré».
Ce dont les assaillants ont besoin, c’est essentiellement une copie complète de votre empreinte digitale, à haute résolution et sans bavures, ainsi que des milliers de dollars en équipement. En théorie, quelqu'un qui était vraiment déterminé pourrait probablement entrer dans votre téléphone de cette façon, peut-être même à partir d'une photo de votre empreinte digitale. Le problème, c’est que les données sur les iPhones de la grande majorité des gens ne valent tout simplement pas le coût et les inconvénients de ce type d’attaque..
De plus, si vous avez des données aussi sensibles que précieuses, vous prenez probablement des mesures supplémentaires pour les sécuriser. Ce n'est pas le genre de chose que l'on peut faire rapidement à des inconnus au hasard.
Face ID n'a pas encore été piraté, mais de manière réaliste, il sera probablement sujet aux mêmes attaques que Touch ID. Wired a dépensé plusieurs milliers de dollars pour tenter de le faire et a échoué, mais cela ne signifie pas que cela ne peut pas être fait. Marc Rogers, un pirate informatique qui a conseillé Wired sur le film, est «toujours convaincu à 90% que les [hackers] peuvent tromper cela.".
Tout se résume à l’un des truismes de la sécurité. Aucune méthode d'authentification ne pourra jamais résister à un attaquant suffisamment déterminé. Il y a toujours des failles qui peuvent être utilisées; c'est juste une question de facilité avec laquelle ils peuvent profiter.
Rien ne vous protège du gouvernement
Aucune mesure de sécurité ne peut réellement vous protéger d'une agence gouvernementale déterminée - américaine ou autre - avec des ressources essentiellement illimitées et le désir d'accéder à votre téléphone. Ils peuvent non seulement légalement vous obliger à utiliser Touch ID ou Face ID pour déverrouiller votre téléphone, mais ils ont également accès à des outils tels que la GreyKey. GreyKey peut soi-disant déchiffrer le code d'authentification de n'importe quel périphérique iOS, ce qui rend les Touch ID et les Face ID inutiles. Apple s'efforce de fermer les vulnérabilités que possèdent cet appareil, mais les personnes qui espèrent avoir une journée de paiement travaillent tout aussi dur pour en ouvrir de nouvelles..
Touch ID et Face ID sont incroyablement pratiques et, s'ils sont sauvegardés avec un mot de passe sécurisé, pour une utilisation quotidienne par presque tout le monde. Si vous êtes la cible d’un pirate informatique ou d’un organisme gouvernemental déterminé, ils ne vous protégeront peut-être pas longtemps..
Crédits d'image: XKCD.