Apple affirme que les identités faciales et tactiles sont sécurisées, etpour la plupart, c’est vrai. Il est extrêmement improbable qu'une personne au hasard puisse déverrouiller votre téléphone. Mais ce n’est pas le seul type d’attaque à s’inquiéter. Creusons un peu plus loin.
Bien qu'ils utilisent différents biométriquesles méthodes d'authentification, Face ID et Touch ID sont très similaires sous le capot. Lorsque vous essayez de vous connecter à votre iPhone - en regardant l'appareil photo à l'avant ou en mettant le doigt sur le capteur tactile - le téléphone compare les données biométriques détectées aux données enregistrées dans l'Enclave sécurisé: un processeur séparé Le but principal est de garder votre téléphone en sécurité. Si le visage ou les empreintes digitales correspondent, votre iPhone se déverrouille. Sinon, vous êtes invité à entrer votre code secret. Bien que tout cela semble bien sur papier, est-ce sécurisé?
Les identifiants de visage et de contact sont généralement sécurisés
En général, Touch ID et Face ID sont sécurisés. Apple affirme qu’il ya 1 chance sur 505 que l’empreinte digitale d’une autre personne déverrouille faussement votre iPhone et 1 chance sur 1 000 000 que le visage d’une autre personne le fasse. Une personne sur 1 000 sait deviner un code d’authentification à quatre chiffres et une chance sur 1 000 000 de deviner votre code d’accès à six chiffres (et ils ont trois essais avant d’être verrouillés). Cela devrait mettre les choses en perspective.
Le risque que quelqu'un puisse prendre ou voler votre téléphone au hasard, puis le déverrouiller à l'aide de son empreinte digitale, de son visage ou même en devinant que son code secret est incroyablement mince.
APPARENTÉ, RELIÉ, CONNEXE: Comment utiliser un mot de passe iPhone plus sécurisé
La seule mise en garde à cela est les jumeaux identiques oules frères et soeurs qui se ressemblent beaucoup sont plus susceptibles de créer un faux positif. Dans ce cas, votre frère ou votre soeur pourrait peut-être déverrouiller votre téléphone avec l'identification de visage. Cependant, les jumeaux identiques ne représentent que 0,003% de la population, ce qui ne représente donc pas un risque pour beaucoup. Si cela vous préoccupe, vous pouvez désactiver l’identité faciale et simplement utiliser un code secret.
Mais se prémunir contre ce genre d’intrusion occasionnelle n’est pas la seule chose à laquelle il faut s’inquiéter.
Les identités faciale et tactile peuvent être vulnérables aux attaques ciblées
Bien qu'il soit presque certain qu'aucun étranger aléatoire ne pourra entrer dans votre téléphone, si vous êtes victime d'une attaque ciblée, les choses pourraient être un peu différentes.
Touch ID et Face ID sont complètementvulnérable si quelqu'un peut vous forcer à vous connecter, soit en plaçant votre doigt contre le capteur (même lorsque vous êtes endormi), soit en vous faisant regarder votre téléphone. Et ces deux types d’attaques sont bien plus faciles à maîtriser que d’obliger quelqu'un à donner son code secret.
Alors, qu'en est-il des simulations d'empreintes digitales? Eh bien, Touch ID a été piraté avec succès. Les chercheurs ont pu utiliser de fausses empreintes digitales pour déverrouiller des appareils sécurisés avec Touch ID. Cependant, les mêmes chercheurs appellent cette technique «tout sauf triviale» et «encore un peu dans le domaine d'un roman de John Le Carré».
Fondamentalement, ce dont les assaillants ont besoin est un système completcopie de votre empreinte digitale non tachée en haute résolution, ainsi que des milliers de dollars en équipement. En théorie, une personne vraiment déterminée pourrait probablement entrer dans votre téléphone de cette façon, éventuellement même à partir d'une photo de votre empreinte digitale. Le fait est que les données sur les iPhones de la grande majorité des gens ne valent tout simplement pas le coût et les tracas de ce type d’attaque.
De plus, si vous disposez de données aussi sensibles que précieuses, vous devrez probablement prendre des mesures supplémentaires pour les sécuriser. Ce n'est pas le genre de chose que l'on peut faire rapidement à des inconnus au hasard.
L’identité faciale n’a pas encore été piratée, maisde manière réaliste, il sera probablement sujet au même type d'attaques que Touch ID. Wired a dépensé plusieurs milliers de dollars pour tenter de le faire et a échoué, mais cela ne signifie pas que cela ne peut pas être fait. Marc Rogers, un pirate informatique qui a conseillé Wired sur le film, est «toujours convaincu à 90% que les [hackers] peuvent tromper cela." .
Tout se résume à l’un des truismesde sécurité. Aucune méthode d'authentification ne pourra jamais résister à un attaquant suffisamment déterminé. Il y a toujours des défauts qui peuvent être utilisés; il s’agit simplement de la facilité avec laquelle ils peuvent en tirer parti.
Rien ne vous protège du gouvernement
Aucune sécurité ne peut réellement vous protégerprovenant d'un organisme gouvernemental déterminé - américain ou autre - disposant de ressources essentiellement illimitées et souhaitant accéder à votre téléphone. Ils peuvent non seulement légalement vous obliger à utiliser Touch ID ou Face ID pour déverrouiller votre téléphone, mais ils ont également accès à des outils tels que la GreyKey. GreyKey peut soi-disant déchiffrer n'importe quel code d'authentification de périphérique iOS, ce qui rend Touch ID et Face ID inutiles. Apple s'efforce de fermer les vulnérabilités que ce type d'exploitation exploite, mais les personnes qui espèrent avoir une journée de paiement travaillent tout aussi dur pour en ouvrir de nouvelles.
Touch ID et Face ID sont incroyablement pratiqueset, s’ils sont sauvegardés avec un mot de passe fort, sécurisés pour une utilisation quotidienne par presque tout le monde. Si vous êtes la cible d'un pirate informatique ou d'un organisme gouvernemental déterminé, ils ne vous protégeront peut-être pas longtemps.
Crédits d'image: XKCD.
