Tout savoir sur : Samsung Galaxy S8 : la reconnaissance faciale facilement contournable ?
Chaque système de sécurité connait ses propres limites. Un code PIN propose un nombre limité de combinaisons (10 000 pour un code PIN à 4 chiffres, un million pour un code de 6 chiffres). Un lecteur d’empreinte digitale, comme Touch ID d’Apple, a déjà été contourné avec des oursons en gélatine, des imprimantes 3D ou de la cire de bougie. Et il semble que la reconnaissance faciale soit tout aussi fragile en terme de sécurité.
Les limites des protections biométriques...
La semaine dernière, Samsung a organisé une conférence Unpacked à New York. Pour rappel, il s’agissait du lancement du Galaxy S8 et du Galaxy S8+, les nouveaux terminaux haut de gamme de Samsung. Ces deux téléphones embarquent de nombreuses technologies de pointe : l’Exynos 8895, gravé en 10 nm FinFET et doté de la seconde génération de coeurs Mangoose, un écran Super AMOLED QHD+ couvrant toute la façade avant du téléphone, Bixby, le nouvel assistant virtuel de Samsung développé à partir de Viv (une start-up rachetée par Samsung), un casque et un chipset créé avec Harman et AKG (propriétés de Samsung), etc.
Côté sécurité du système, le Galaxy S8 (et S8+) embarque trois capteurs biométriques. D’abord un lecteur d’empreinte digitale, lequel n’est plus en façade, mais a été déporté à l’arrière, aux côtés du bloc photo. Ensuite un lecteur d’empreinte rétinienne. Et enfin un logiciel de reconnaissance faciale similaire à Windows Hello de Microsoft, que vous retrouvez notamment dans les derniers Lumia haut de gamme. Ce dernier système fait l’objet d’une polémique depuis quelques jours parce qu’un blogueur américain a posté une vidéo sur YouTube montrant qu’il est possible de débloquer un smartphone en contournant la reconnaissance faciale avec une simple photo.
Débloqué avec une simple photo
Nous avons placé la vidéo en question à la fin de cet article. Allez jusqu’à 5 min 26 s pour voir comment il y arrive une première fois, et à 7 min 40 s pour une seconde fois. Ce blogueur, appelé Marcianos, a participé à la conférence Unpacked et a donc testé la fonctionnalité en se prenant en photo et en débloquant le mobile d’abord avec son visage, puis avec une photo. Notez qu’il lui faut de nombreux essais avant de parvenir à flouer le système. Mais il ne lui faut pas plus d’effort que cela.
Ce n’est pas un grand scandale. Certains appellent cela déjà le « FaceGate ». Pour nous il s’agit d’un faux débat. D’abord, parce que cela montre que cela reconnait plutôt bien les traits d’une personne. Ensuite, parce que la reconnaissance faciale est une protection secondaire qui aurait été implantée dans le Galaxy S8, selon les bruits de couloir, parce que la lecture de l’empreinte rétinienne n’est pas encore assez rapide. Enfin parce que les Galaxy S8 présents à la conférence de presse ne sont pas des modèles définitifs. Samsung pourrait donc pourvoir son smartphone d’une version plus aboutie. Reconnaissons cependant que cette protection n’en est pour l’instant pas une.