Une organisation néerlandaise à but non lucratif a testé la reconnaissance faciale sur un échantillon de 110 smartphones. Le but ? Déterminer à quel point l’implémentation de cette fonctionnalité d’authentification pouvait sécuriser les appareils. Malheureusement, les conclusions qui en résultent ne sont pas rassurantes.
Un bon portrait photo du visage du détenteur du smartphone : voilà ni plus, ni moins tout ce qui est nécessaire pour tromper la biométrie sur pas moins de 42 téléphones. Ce rapport, pointé par le logiciel “chien de garde” de l’organisation néerlandaise Consumertenbond (une association de protection des consommateurs), contient assez peu de détails sur les méthodes de l'audit ou concernant l’utilisation de la photo. Cependant une chose est sûre : aucune méthode sophistiquée n’a été utilisée (comme par exemple des visages imprimés en 3D ou des masques réalistes) pour duper ces nombreux smartphones.
La liste des téléphones qui ont failli au test sont principalement des produits peu coûteux et, dans une moindre mesure, quelques références de gammes intermédiaires en provenance de divers fabricants. Toutefois, quelques appareils vendus bien plus chers (tels que le Sony Xperia XZ2 Premium, le XZ3 ou encore le Huawei P20 Pro) ont, eux aussi, montré des failles lors du déverrouillage d’écran (pourtant peu sophistiqué) de la photo portrait.
Plusieurs marques, parmi lesquelles Asus, Huawei, Lenovo/Motorola, Nokia, Samsung, Sony et Xiaomi, avaient au moins deux mobiles à chaque fois parmi les appareils qui ont échoué au test. La liste complète de ces appareils est disponible ici (c’est en Néerlandais mais avec Google Chrome une traduction sera disponible en un clic).
Ceci étant dit, il convient de nuancer le propos : la majorité des appareils, principalement les modèles phares et/ou récents de Samsung, Honor, HTC, Huawei, Lenovo/Motorola et OnePlus, n’ont eux pas été trompés.
Sans grande surprise, les modèles d’iPhone XR et XS sont également sortis indemnes des tests. La fonctionnalité Face ID d’Apple est réputée pour être particulièrement résistante aux programmes de piratage d’authentification du visage, même si visiblement la perfection n’existe pas…
Tu m'as eu une fois, tu ne m'auras pas 2.
Enfin, un dernier et troisième groupe d’appareils - principalement conçus par LG - ont tous été dupés via leur outil de reconnaissance faciale avec une photo, mais sous certaines conditions. Plus précisément, tout s’est joué en fonction des paramètres de configuration de ces appareils sur l’option de déverrouillage à l’aide de l’authentification du visage.
La plupart des appareils testés sont disponibles aux Pays-Bas, quelques-uns étant spécifiques à d'autres marchés tels que les États-Unis, le Royaume-Uni et le Brésil. Les modèles simple et double SIM ont été testés séparément, de même que les mêmes modèles avec des capacités de stockage différentes, ce qui a légèrement augmenté le nombre de combinés testés.
Désormais, les fabricants de smartphones qui fonctionnent sous Android alertent les utilisateurs de la fiabilité limitée de l’outil de reconnaissance faciale parmi les différents types de sécurité biométriques disponibles. Ce sont plutôt le scan d’iris ou d’empreinte digitale qui s’avèrent beaucoup plus sûrs et, de fait, suffisamment sophistiqués pour décourager les pirates les plus habiles. Ces deux techniques s’avèrent également particulièrement utiles pour éviter le “shoulder surfing”, une autre attaque malveillante (considérée comme de l’ingénierie sociale) mais pourtant facile et très répandue, qui consiste à regarder par-dessus l’épaule de quelqu’un pour lui dérober une information.
Un bon vieux code PIN - comportant au moins 6 chiffres cependant - reste une excellente alternative de sécurité dans la plupart des cas. A moins, bien sûr, qu’un individu malveillant et qui a l’oeil (et le bon, enfin… façon de parler) ne vous espionne vous et votre écran au moment fatidique de taper vos codes…
Le code PIN s’est également révélé plus sûr que la méthode de verrouillage d’écran (non biométrique) la plus répandue : les schémas de verrouillage.
Ce type de dessin avec le doigt était l’option de choix de 40% des utilisateurs d’Android aux Etats-Unis il y a encore quelques années.