Apple a corrigé une vulnérabilité de sécurité dans le système d’authentification biométrique Face ID avec iOS et iPadOS 15 : Un attaquant disposant d’un modèle 3D du visage du propriétaire pourrait être en mesure de se connecter avec Face ID, a annoncé Apple après avoir publié les mises à jour du système d’exploitation. Le problème a été éliminé en améliorant la technologie anti-spoofing, qui est censée détecter et prévenir précisément de telles tentatives de fraude.
Sommaire
Peu d’attaques connues sur Face ID
Les détails supplémentaires concernant la vulnérabilité de Face ID ne sont pas encore connus. Par conséquent, la complexité de la création d’un tel masque n’est pas claire et on ignore s’il pourrait également être utilisé pour tromper le « contrôle d’attention » d’Apple, qui vérifie si l’appareil est également regardé par une personne aux yeux ouverts lors de la connexion. Selon Apple, la vulnérabilité a été découverte par le chercheur en sécurité chinois Wish Wu, du laboratoire de sécurité Ant-financial Light-Year.
Wu travaille apparemment depuis un certain temps à tromper les systèmes d’authentification biométrique comme Face ID. En 2019, le hacker avait annoncé une intervention à la conférence Black Hat qui était censée montrer comment Face ID peut être trompé – mais l’a soudainement retirée, déclenchant des spéculations. Il n’aurait utilisé qu’une photo en noir et blanc et du ruban adhésif pour son piratage, mais cela n’a peut-être pas fonctionné de manière fiable non plus. En 2017, des chercheurs en sécurité vietnamiens ont fait sensation avec un masque jumeau qui aurait pu être utilisé pour déverrouiller les iPhones Face ID – mais les questions sont restées sans réponse.
iOS 14.8 corrige (encore) des vulnérabilités
iOS et iPadOS 15 corrigent un total de 22 vulnérabilités, selon les déclarations d’Apple jusqu’à présent, dont de graves lacunes dans le noyau et WebKit qui permettent l’exécution de codes malveillants. L’Office fédéral allemand de la sécurité de l’information (BSI) classe les failles au niveau de risque 5, le plus élevé, et conseille une mise à jour dès que possible. Cette fois, Apple a également déjà éliminé de nombreuses vulnérabilités avec iOS 14.8, comme on ne le sait que maintenant – les utilisateurs ont la possibilité de rester sur iOS 14 sans avoir à se passer des mises à jour de sécurité. Cependant, selon Apple, la vulnérabilité de Face ID n’a été corrigée que dans iOS 15.
[lbe)