Apple affirme que Face ID et Touch ID sont sécurisés, et pour la plupart, c’est vrai. Il est extrêmement improbable qu’une personne aléatoire puisse déverrouiller votre téléphone. Mais ce n’est pas le seul type d’attaque à s’inquiéter. Creusons un peu plus loin.
Bien qu’ils utilisent des méthodes d’authentification biométrique différentes, Face ID et Touch ID sont très similaires sous le capot. Lorsque vous essayez de vous connecter à votre iPhone, que ce soit en regardant la caméra à l’avant ou en posant votre doigt sur le capteur tactile, le téléphone compare les données biométriques qu’il détecte aux données enregistrées dans Secure Enclave, un processeur distinct le but est de protéger votre téléphone. Si le visage ou l’empreinte digitale correspond, votre iPhone se déverrouille. Sinon, vous êtes invité à entrer votre code d’accès. Bien que tout cela sonne bien sur le papier, est-il sécurisé?
Face ID et Touch ID sont généralement sécurisés
En général, Touch ID et Face ID sont sécurisés. Réclamations Apple qu’il y a 1 chance sur 50 000 que l’empreinte digitale de quelqu’un d’autre déverrouille faussement votre iPhone et 1 chance sur 1 000 000 que le visage de quelqu’un d’autre le fasse. Il y a 1 personne sur 10 000 qui pourrait juste deviner un mot de passe à quatre chiffres et une chance sur 1 000 000 de deviner votre mot de passe à six chiffres (et il obtient trois essais avant d’être verrouillé). Cela devrait mettre les choses en perspective.
La chance que quelqu’un puisse prendre au hasard – ou voler – votre téléphone, puis être en mesure de le déverrouiller en utilisant son empreinte digitale, son visage ou même en devinant votre mot de passe est incroyablement mince.
La seule mise en garde à cela est que les jumeaux ou frères et sœurs identiques qui se ressemblent beaucoup sont plus susceptibles de créer un faux positif. Dans ce cas, il est possible que votre frère ou sœur puisse déverrouiller votre téléphone avec Face ID. Pourtant, les jumeaux identiques ne représentent que 0,003% de la population, ce n’est donc pas un risque qui s’applique à beaucoup. Si cela vous inquiète, vous pouvez désactiver Face ID et simplement utiliser un mot de passe sécurisé.
Mais se prémunir contre ce genre d’intrusion occasionnelle n’est pas la seule chose à craindre.
Face ID et Touch ID peuvent être vulnérables aux attaques ciblées
Bien qu’il soit presque certain qu’aucun inconnu au hasard ne pourra entrer dans votre téléphone, si vous êtes victime d’une attaque ciblée, les choses pourraient être un peu différentes.
Touch ID et Face ID sont complètement vulnérables si quelqu’un peut vous forcer à vous connecter, soit en tenant votre doigt contre le capteur (même lorsque vous êtes endormi) ou en vous faisant regarder votre téléphone. Et ces deux types d’attaques sont beaucoup plus faciles à réaliser que de forcer quelqu’un à donner son mot de passe.
Alors, qu’en est-il des fausses empreintes digitales? Eh bien, Touch ID a été piraté avec succès. Des chercheurs ont pu utiliser de fausses empreintes digitales pour déverrouiller des appareils sécurisés avec Touch ID. Cependant, les mêmes chercheurs appellent la technique «tout sauf triviale» et «encore un peu dans le domaine d’un roman de John le Carré».
Fondamentalement, les attaquants ont besoin d’une copie complète haute résolution et non tachée de votre empreinte digitale, ainsi que de milliers de dollars d’équipement. En théorie, une personne vraiment déterminée pourrait probablement entrer dans votre téléphone de cette façon –peut-être même à partir d’une photo de votre empreinte digitale. Le fait est que les données sur les iPhones de la grande majorité des gens ne valent tout simplement pas le coût et les tracas de ce type d’attaque.
De plus, si vous disposez de données sensibles ou précieuses, vous prenez probablement des mesures supplémentaires pour sécuriser ces informations. Ce n’est pas le genre de chose qui peut être faite rapidement à des inconnus au hasard.
Face ID n’a pas encore été piraté, mais en réalité, il sera probablement vulnérable au même type d’attaques que Touch ID. Wired a dépensé plusieurs milliers de dollars pour tenter de le faire et a échoué, mais cela ne veut pas dire que cela ne peut pas être fait. Marc Rogers, un hacker qui a conseillé Wired sur la pièce, est «toujours sûr à 90% [hackers] peut tromper ça. L’iPhone X n’est sorti que depuis quelques mois, nous verrons donc à quoi ressemblera la situation dans un an.
Tout cela se résume à l’un des truismes de la sécurité. Aucune méthode d’authentification ne résistera jamais à un attaquant suffisamment déterminé. Il y a toujours des défauts qui peuvent être utilisés; c’est juste une question de facilité à en tirer profit.
Rien ne vous protège du gouvernement
Aucun niveau de sécurité ne peut vraiment vous protéger d’une agence gouvernementale déterminée – américaine ou autre – avec des ressources essentiellement illimitées et le désir d’accéder à votre téléphone. Non seulement peuvent-ils vous obliger légalement à utiliser Touch ID ou Face ID pour déverrouiller votre téléphone, mais ils ont également accès à des outils comme GreyKey. GreyKey peut censément déchiffrer n’importe quel mot de passe d’appareil iOS, ce qui rend le Touch ID et le Face ID inutiles. Apple travaille dur pour fermer les vulnérabilités des appareils comme cet exploit, mais les gens qui espèrent un jour de paie travaillent tout aussi dur pour en ouvrir de nouveaux.
Touch ID et Face ID sont incroyablement pratiques et, s’ils sont sauvegardés avec un mot de passe fort, sécurisés pour une utilisation quotidienne par presque tout le monde. Cependant, si vous êtes la cible d’un pirate informatique ou d’une agence gouvernementale déterminé, il se peut qu’ils ne vous protègent pas longtemps.
Crédits d’image: XKCD.
