Windows Hello peut se faire berner par une photo infrarouge

Stéphane Moussie |

Les systèmes de reconnaissance faciale des ordinateurs et des smartphones se font duper les uns après les autres, mais chacun à leur façon, preuve que leurs fonctionnements diffèrent. Après le masque qui trompe Face ID, voici la photo infrarouge qui berne Windows Hello.

Les chercheurs en sécurité de SYSS ont montré que ce type de photo, qui n’est pas réalisable avec le premier appareil photo venu, peut tromper la technologie biométrique de Microsoft sur différents appareils et différentes versions de Windows. C’est le cas par exemple sur la Surface Pro 4 équipée de Windows 10 Anniversary Update, une version remontant à l’année dernière.

Si l’option avancée d’anti-usurpation d’identité, qui n’est pas prise en charge par tous les terminaux, est désactivée, la supercherie fonctionne même sur les deux dernières versions de Windows 10 (Creators Update et Fall Creators Update).

Et si vous aviez paramétré Windows Hello avec l’option avancée avant la Fall Creators Update sortie en octobre, les chercheurs en sécurité allemands recommandent de reconfigurer la reconnaissance car le système est toujours vulnérable.

avatar Johny Ive | 

La bonne nouvelle de la journée 😓

avatar Un Type Vrai | 

Ben oui, avant, il fallait couper un doigt ou arracher un oeil... Maintenant, il suffit de tirer le portrait...

avatar furaton | 

@Un Type Vrai

Maintenant avec Face ID, il faut décapiter la personne. Ça prend plus de temps que de lui couper son pouce. En un sens, c’est plus sécurisé 🤔

avatar frankm | 

@Johny Ive

C’est pour défendre windows mais dans ce cas c’est pas à jour, une fonction de sécurité est désactivée.
La prochaine fois on aura : regardez j’arrive à ouvrir cette session qui n’a pas de mot de passe !

avatar Bloodwave | 

Oui, le même titre racoleur que The Verge. Et puis quand on lit l'article, on s'aperçoit qu'il faut :

- Un appareil photo IR qui ne se trouve pas sous le sabot d'un cheval
- Une photo dans une résolution bien partiiculière
- mais surtout une version de Windows 10 pas à jour ou à jour mais avec une fonctionnalité de sécurité désactivée...

Mais bon, déjà presque 50 commentaires, ça fonctionne ;)

avatar bbtom007 | 

Ca commence à devenir compliquer c’est bon signe c’est que la sécurité biométrique actuelle couvre en gros 90-95% des cas

avatar C1rc3@0rc | 

@bbtom007

Non, au contraire cela indique que l'industrie se fout de plus en plus de la gueule du client.

Je l'ai dit et le repete et continuerai de le repeter: la biometrie n'est pas une systeme de securité et dire l'inverse c'est mentir.
Aucun systeme biometrique ne repond a la definition d'un systeme de securité, et la reconnaissance faciale est certainement de pire de tous.
Dans les cadre ou il est vraiment question de securité l'usage d'un systeme biometrique est un des composants d'une chaine de securisation. Jamais un seul systeme biometrique n'est utilisé.

Samsung a lancé la mode de l'usage de la "biometrie" de reconnaissance faciale et s'est ridiculisé. Apple, en bon suiveur, lance Fake ID et se fait ridiculiser. Microsoft lance la reconnaissance faciale avec un nom aussi ridicule que celui d'Apple, meme punition, ridiculisation...

Il faut comprendre que la biometrie c'est le nouveau joujou du marketing de vente qui enfume son monde a travers le novatisme. L'avantage, c'est que comme on (l'industrie) sait que ça marche pas, que c'est insecure au possible, on garde le truc 2-3 ans, on reconnait que ça fonctionne pas, les gens comprennent que leurs données ne sont pas proteges alors ils se jettent sur le systeme biometrique suivant - aussi mauvais, voire pire - mais vendu avec les meme arguments. C'est au choix de l'escroquerie, du plumage, de l'obsolescence programmée,... mais dans tous les cas du foutage de gueule du consommateur.

Pour info, faire une bonne video ou photo IR ne necessite rien d'autre qu'un Raspberry et camera a moins de $60...

avatar Kestar11 | 

@C1rc3@0rc

Tu me feras toujours rire avec ton « fake ID ».. 🤦🏻‍♂️
mais j’aimerais savoir quand est-ce qu’Apple à été ridiculisé avec Face ID ?? Parce que je vois pas en fait ?

avatar en ballade | 

@Kestar11

Tu ne lis pas régulièrement les news toi, jumeaux, mannequins....fakeid

avatar Kestar11 | 

@en ballade
Justement, c’est toi qui doit pas bien lire les news. Je te rappelle déjà de 1 que le 95% du temps, les jumeaux qui arrivaient à déverrouiller devait quand même taper le code avant (ce qui a pour effet comme le visage est très ressemblant, de mettre dans la base de données Face ID ) et donc il finit par pouvoir l’utiliser lui aussi.

MAIS sachant que Face ID APPREND au fur et a mesure le visage de l’utilisateur, c’est à dire que plus le temps passe, plus ça devient difficile de tromper Face ID. Mais ces tests ont toujours été testés deux minutes après une configuration donc forcément c’est plus facile.

Forcément ça fait du clic lorsque l’on peut « prouver » que Face ID est deverrouillable, mais ces tests là sont tous presque biaisés car ils prennent pas en compte ce facteur et ils le précisent même pas

Donc stop la désinformation 🤫

avatar Benitochoco | 

Je pense que tu as loupé pas mal de news. FaceID est tombé comme les autres, avec une imprimante 3D et du papier. Néanmoins, FaceID reste assez fiable. Pour quelque chose vraiment sécurisé, le mot de passe.

Bonne fête.

avatar Kestar11 | 

@Benitochoco
Bien sûr que j’ai suivis. Il y a des failles oui
Mais dire qu’il est « tombé » c’est mettre Face ID dans le même sac que la reconnaissance faciale du S8 ou du note 8 😒

Comme je l’ai dis, les capteur sont pas encore assez précis et rapide pour différencier deux vrai jumeaux mais ça reste vraiment fiable pour le grand public

Après c’est pas encore avec ça que tu vas cacher des codes nucléaires on d’accord.

Mais faut juste arrêter de tout critiquer et de toujours jeter les nouvelles choses par la fenêtre sinon bein désactive tout et continue avec le mot de passe seulement ou pire encore avec un téléphone normal avec un clavier physique ( vu comment ça avait été critiqué a la sortie du premier iPhone..)

Soyez un minimum indulgent et essayer de comprendre le pourquoi du comment avant de critiquer et de tirer a vue de nez chaque petit soucis 🤦🏻‍♂️

avatar C1rc3@0rc | 

@Kestar11

Je comprends que tu sois décontenancé, car comme beaucoup tu t'es fait avoir par le discours marketing utilisant le procédé du novatisme et qui pseudo-justifiait l'abandon de Touch ID en affirmant fallacieusement que Fake ID etait plus securisé et offrait la meme fonction alors que c'est archi-faux.

Le probleme c'est que par definition la reconnaissance faciale ne peut pas etre un systeme de securité.
La raison n'est pas la presence de faille ou un manque de precision: le probleme c'est le principe meme.

La precision des capteurs n'a rien a voir avec la faillibilité du systeme, de meme que la methode employée.
Tu n'as pas l'air de comprendre de ce dont tu parles et parler de precision des capteurs n'a aucun sens.

Donc non seulement Apple a menti dans son discours marketing de presentation, mais ses affirmations ont ete demonté et tourné en ridicule de maniere ineluctable et magistrale.

Dans les faits, le remplacement de Touch ID par Fake ID c'est juste du novatisme et de l'obsolescence programmée.
Le procede marketing est le meme que celui qui regulierement pousse au rachat de TV avec la "nouvelle" realisation de la 3D...

«Mais faut juste arrêter de tout critiquer et de toujours jeter les nouvelles choses par la fenêtre sinon bein désactive tout et continue avec le mot de passe seulement ou pire encore avec un téléphone normal avec un clavier physique»

Ce qui est critiqué c'est pas la nouveauté, d'ailleurs la biometrie est ancienne et l'approche d'Apple est a la fois connue depuis un moment et tres inadaptée.
Ce qui est critiqué c'est qu'Apple presente un systeme totalement et fondamentalement insécure comme un systeme sécurisant.

Pourquoi a ton avis Apple conserver le code a taper en plus de Fake ID?
Parce que le code est le seul systeme de securité et que sans Apple serait en proces pour non protection de l'acces au fonctionnement de l'appareil.

Si Apple avait presenté Fake ID comme un gadget fun pour amuser la galerie (ce qu'il est) et un exemple de realistation de ce qui est possible de faire avec le seul plus de l'iPhone X - le dispositif TrueDepth - il n'y aurait pas eu autant de critiques....

Et tu ne peux pas comparer le cas du clavier avec le systeme de déverrouillage, on parle dans un cas de la même fonction avec une ergonomie qui change et dans l'autre cas de 2 choses totalement différentes... A la limite il faudrait comparer le clavier et la dictée vocale pour que ça ait le moindre sens.

avatar Lestat1886 | 

@C1rc3@0rc

Wow c’est loooong et assez vide de sens ce que tu dis, sans oublier que manque de sources. C’est du apple bashing de base mais travaillé

avatar Lestat1886 | 

@en ballade

Toi tu lis et tu ne gardes que ce qui te plaît quitte à tordre la vérité :)

avatar en ballade | 

@Lestat1886

Toi tu n’apportes rien

avatar Lestat1886 | 

@en ballade

Je ne me met qu’au niveau de ton commentaire

avatar frankm | 

@Kestar11

Il y a eu un coréen qui à fait un masque assez technologique de lui. Bla bla-bla-bla. Bref ça ne dit pas s’il a réussi à berner Face ID en moins de 5 essais et surtout il n’est pas parti d’une photo.
Et d’autres zigotos plus ou moins frères qui ont berné Face ID mais le tier disposait du code d’accès ce qui a permis à Face ID d’apprendre les 2 visages.
Sinon. Il a raison. Le problème de la biométrie c’est qu’on ne peut pas changer le mot de passe à moins de bien se faire péter la gueule pour le cas de Face ID ou brûler les doigts pour Touch ID ou crever les yeux pour Iris ID

avatar Kestar11 | 

@frankm
J’ai juste demandé en quoi Apple s’est fait ridiculiser avec Face Id ?
Parce que même toi tu le dis, les tests sont soit douteux ou alors ils prennent pas tous les aspect en compte.

Pour la biométrie est sûr, c’est juste que les capteur sont juste pas encore assez performant pour distinguer les mini différences (par exemple entre vrai jumeaux) car on est tous différents.

Faut vraiment pas oublier que c’est juste les capteur qui posent ces problèmes et non pas la biométrie (nous quoi)

avatar C1rc3@0rc | 

@ Kestar11

«J’ai juste demandé en quoi Apple s’est fait ridiculiser avec Face Id ?»

Dans le marketing, comme dans la mode y a des tendances et des maroniers, des trucs qui reviennenent cycliquement pour creer des relais de croissance quand un produit atteint le creux de la vague.
C'est le cas bien connu pour les TV avec la 3D.

Pour les smartphone les bureaux de marketing ont ressortie la biometrie, vieux serpent de mer qui fascine toujours autant les generations qui ont pas connu les debandades de la precedentes salve... tout comme la 3D.

Samsung a ouvert le bal de cette pantalonnade de la reconnaissance faciale. Discours sur la simplicité, la securité accrue,... classique donc, et patatra, ça n'a pas manqué le truc de fait demonter et Samsung se fait humilier par des video qui tournaient en boucles sur Youtube.

Apple qui suit la mode marketing arrive en second sur le marché et au lieu de se dire que ce qui est arrivé a Samsung est inevitable, ni une ni deux, Apple prenant le client pour un con, sert exactement le meme discours que Samsung, mais rajoute que son systeme a lui est plus mieux parce que pas pareil (meme si le principe est in fine le meme). Et comme pour Samsung, Apple se fait demonter, les video tournent en boucles sur youtube.
Bon Samsung etant le premier, son bureau de marketing peut avoir pensé que le consommateur aller se faire enfumer... Apple qui arrive derriere et fait le meme sketch, comment dire...

Et je parle meme pas des autres suiveurs qui vont lancer leur smartphone a reconnaissance faciale. S'il reprennent le discours d'Apple qui disait la meme chose que Samsung en affirmant qu'ils font mieux que Samsuing, ça va etre la curée et ce sera merité... Apres, ils ont pas trop le choix ils vont pas passer sous silence une techno qui est planifiée depuis 2 ans et dont ils ont payé des royalties... La tendance pour moins se faire humilier qu'Apple c'est de dire qu'ils ont eux gardé l'empreinte digitale en plus...

«Pour la biométrie est sûr, c’est juste que les capteur sont juste pas encore assez performant »

Mais avant de dire n'importe quoi renseignes toi un minimum sur le sujet.
Non c'est pas une question de performances.
La biometrie ça fait depuis les annees 80 qu'on l'utilise et la maitrise, les techno industrielles sont au point depuis belle lurette.
Les reseaux de camera de surveillance sont capables de suivre une personne ou un objet depuis des annees... C'est fiable.
Mais ce ne sont pas des systemes de securité et ils n'en seront jamais, parce que le probleme c'est que la biometrie ne peut pas entrer dans la definition de la securité!!!

Tu peut prendre le probleme dans tous les sens, si tu met sur un circuit un poireau et une voiture de course, tu pourra tenter de trouver toutes les explications du monde, le poireau ne sera jamais une voiture de course.

avatar Kestar11 | 

@C1rc3@0rc
Je veux bien que j’ai pas donné de bons exemples je l’admet. Par contre, tu propose quoi alors ? On laisse tomber Face ID et Touch ID vu que c’est biométrique aussi ?

On utilise que des codes ?
J’aimerais bien savoir alors

avatar C1rc3@0rc | 

@Kestar11

Le probleme c'est que Fake ID et Touch ID ne sont pas des moyens de securité, il faut donc les exclure explicitement de ces usages, pour le reste ils peuvent etre utiles.

Donc on laisse tomber Fake ID et Touch ID pour tout ce qui releve des fonctions de securité (paiement, acces aux comptes et fonctions d'administration, installation de soft et achats, mots de passe, données sensibles ...), et on garde uniquement des codes pour ça,clairement oui!

On conserve Touch ID et Face ID, en tant qu'option, mais totalement desactivables (et desactives par defaut...) et au choix pour l'utilisateur en expliquant bien que ce ne sont pas des systemes de securité mais des raccourcis ou des gadgets.
A la limite un truc intelligent serait par exemple une activation automatique de Touch ID pour déverrouiller l'ecran en environnement securisé, genre maison ou bureau et un passage au code des qu'on est hors de ces lieux. mais il faut aussi se poser la question de pourquoi on a un ecran de verrouillage....

De mon point de vue Touch ID a beaucoup d'avantages sur Fake ID, deja en terme energetique mais aussi dans le fait qu'il demande une action explicite et simple. De plus avec l'integration sous l'ecran c'est une fonction particulièrement pertinente.

Fake ID a en fait tres peu d'interet sur un iPhone, pour la bonne raison que ce sont des appareils mono utilisateur. Dans le cas d'une machine multi utilisateurs (Mac) ça peut avoir des applications intéressantes (tant que ça remplace pas un moyen de securité)

avatar Kestar11 | 

@C1rc3@0rc
Ouais mais l’idée c’est d’avoir un écran de verrouillage mais qui soit limite transparent ce qui n’est jamais le cas avec touch id car on doit penser a mettre son doigt sur le capteur.
Avec Face ID c’est plus transparent, on peut presque oublier que l’on a un iPhone qui est verrouillé, on peut regarder les notif et y aller direct. On oublie presque qu’il est sécurisé.
Je trouve que Face ID fait le taff.

Dire que c’est gadget c’est vraiment être dur. Parce que Touch ID a ses limites aussi donc selon toi, faudrait abandonner les deux pour n’utiliser que le code.

Moi je suis pas d’accord mais chacun son avis.

avatar fifounet | 

@C1rc3@0rc

"Le probleme c'est que Fake ID et Touch ID ne sont pas des moyens de securité, il faut donc les exclure explicitement de ces usages, pour le reste ils peuvent etre utiles. Etc etc etc "

Oui bon en fait tu dialogues avec les gens uniquement si tu vois que tu vas pouvoir encore placer un bon pavé pour dire et redire la même chose. Quand on te demandes des précisions , tu aimes étaler sur la tartine ...

Par contre, dès qu’on te montre que tu racontes un peu n’importe quoi , oui ça t’arrive aussi , alors là y’a plus personne .
Quand tu inventes des modes de fonctionnement pour servir ta théorie et que tu t’en rend compte , pouf , plus personne .
Tu ignores , il n’y a pas de dialogue possible selon toi , ben oui tu sais que sinon tu vas droit dans le mur , t’es pas fou quand même 😎

Tu penses un peu trop détenir la vérité ultime alors que personne ici ne peut prétendre à ça. Et surtout tu ne te remets jamais en question.

avatar fifounet | 

@C1rc3@0rc

"Donc on laisse tomber Fake ID et Touch ID pour tout ce qui releve des fonctions de securité (paiement, acces aux comptes et fonctions d'administration, installation de soft et achats, mots de passe, données sensibles ...), et on garde uniquement des codes pour ça,clairement oui!"

100% des utilisateurs doivent faire ça ?
Pour quelle raison ?
On bosse tous au gouvernement ?
On a tous sur nos smartphones des documents secret défense ?

Je perd mon iPhone protégé avec touchID mais AUSSI avec un code donc , je tenais à te le rappeler , car c’est le cas pour tous , et tu le trouves : explique moi , en grand spécialiste de la sécurité comment tu vas t’y prendre pour faire un paiement à ma place après après avoir déverrouillé mon bidule (ce qui apparemment ne te pose aucun problème )

Car le fond du problème est la , tu théorises beaucoup , tu parles comme un livre , mais côté pratique c’est le vide inter sidéral .

Les entreprises conseils et expertes en sécurité d’entreprise, avant de dire que ton système est une passoire , tu sais ce qu’elle font , avec l’accord du client ?
Oui tu le sais mais tu veux pas le dire .
Ben oui elles commencent par percer la sécurité de la boîte en récupérant des documents jugés protégés .
Toi tu te contenterai de leur dire :
" changez tout , votre système c’est de la merde ! C’est moi qui vous le dit !"

Pages

CONNEXION UTILISATEUR