Version imprimable du sujet

Écrit par : Lionel 13 Aug 2019, 06:21

Lors de la conférence Black Hat, des chercheurs en sécurité ont fait la démonstration d'une limite du système Face ID.

Cette démonstration est plus une preuve de concept qu'autre chose car il y a peu de chances qu'une victime potentielle se prête au jeu de mettre ces lunettes pour apprendre à son iPhone à être dupé.
Cela serait possible sur une personne inconsciente. En effet, Face ID apprend sans cesse à mieux reconnaitre son utilisateur et si vous vous êtes enregistré sans lunettes, en porter n'aura que peu de chances de bloquer la détection. Donc au bout de plusieurs tests prudents, il serait possible de duper le système sans rentrer de mot de passe.

Les chercheurs utilisent cette démonstration pour inciter les fabricants comme Apple à améliorer leur système.

http://macbidouille.com/news/2019/08/13/des-lunettes-et-du-ruban-adhesif-permettent-de-tromper-face-id

Écrit par : broitman 13 Aug 2019, 07:07

Erreur LIONEL

Constate, de VISU, que les porteurs habituels de lunettes ne les enlevent jamais pour utiliser leur iBidule avec FaceApp

Ca fait oartie des actes spontanes reflexes

Ont les voit meme etre obliges de repeter l'pêration d'identification si FaceApp n'a pas deverouille au premier look

Écrit par : maclinuxG4 13 Aug 2019, 07:50

l’identification est une probabilité pour:
-être reconnu
-pas être reconnu

IA est probabiliste, il y a toujours une erreur de se trompe ou qu'il se trompe...
malgré l'amélioration

j'ajoute, que me si IA apprend, il est important que:
-le jeu de test soit représentatif
-le modèle reste correcte et on ne constate pas de dégradation

il faut des disposition de sécurité interne pour éviter des dérives ( intégrité de IA)

conclusion:
aucune garanti n'est possible

Écrit par : Cekter 13 Aug 2019, 07:57

Ça montre surtout que la course à l'innovation sans réflexion autre que "le nouveau super truc" ne sert pas à grand chose. On avait une technologie plutôt pas trop mal foutue, toute récente pour le grand public et assez efficace (le touch ID), quel était le besoin de la remplacer par une autre ? Ah si ! Pouvoir dire "olala du nouveau en direct du turfu". Donc un besoin purement "marketing" qui au final génère plus d'emmerdes qu'il en résout.
Comme le "nouveau clavier papillon" qui n'a apporté que des emmerdes pour 1mm de moins...

Écrit par : downanotch 13 Aug 2019, 08:44

La brève est inexacte. FaceID est prévu pour ne s'activer que s'il détecte l'attention de la personne. C'est ce système (détection de l'attention) qui peut être trompé avec ces lunettes spéciales. Une fois que FaceID pense — à tort ou à raison — avoir détecté l'attention de la personne, il va logiquement reconnaître l'utilisateur si c'est effectivement lui qui porte ces lunettes.

Écrit par : Cekter 13 Aug 2019, 09:14

C'est bien ce que j'avais compris. Je mets ces lunettes et je ferme les yeux pourtant faceID croit que j'ai les yeux ouverts. Après il reconnait ma tête évidement.

Écrit par : downanotch 13 Aug 2019, 09:35

Sur quelle source se base ce passage ? Je n'ai rien trouvé qui mentionne un tel comportement…

Écrit par : maclinuxG4 13 Aug 2019, 09:45

ben non

c'est une probabilité, tu n'as qu'à comprendre ce que une IA.

c'est le même principe qu'un radar:
-une probabilité de détection
-une probabilité de non détection
-une probabilité de vraisemblance fausse détection (n-> se tromper)
-une probabilité de vraisemblance détection non valide ( ie-> refuser le vrai)


Hélas pour toi, la théorie des probabilités, quelque soit l'algorithme à toujours:
-erreurs
-des bias du algorithme
-un taux difficile à diminuer (99.95 % c'est pas évident ...)

sauf qu'ici tu fais une détection au sens identification

le radar pour ne pas se tromper, il fait plusieurs coup au but (moyenne)

bref, tu n'aura jamais 100 % !!!!


va te renseigner sur tensoflor , scikeat learn avec python ....

Écrit par : downanotch 13 Aug 2019, 09:58

Et pourtant, c'est bien ce qui es expliqué dans l'article de threatpost : To launch the attack, researchers with Tencent tapped into a feature behind biometrics called “liveness” detection

Écrit par : s_d 13 Aug 2019, 10:34

Comme tous les sites qui ont repris la news, le titre est trompeur (alarmiste et simpliste pour attirer les clics).
Le pire étant ZDNet carrément mensonger.

Ça ne trompe qu’une partie de FaceID = la détection de l’attention. Il faut encore mettre les lunettes sur le propriétaire (endormi ou inconscient). Ça n’est pas un gros exploit.
Ça n’est pas pire qu’avec TouchId où il suffit de placer le doigt du propriétaire (endormi ou contre son gré) sur le capteur.

Écrit par : iAPX 13 Aug 2019, 13:34

Je ne te souhaite pas d'être aux États-Unis, où ne pourra pas t'imposer de donner ton code PIN, mais t'imposer de porter ces lunettes pour alors déverrouiller ton iPhone et accéder à son contenu!

Les lunettes ne sont qu'une part de la solution, je m'attend maintenant à ce que ceux qui aient essayer de tromper FaceID y arrivent maintenant plus facilement en connaissant son talon d'Achille.

Ça met aussi en exergue les différences entre les IA et l'intelligence humaine qui fonctionnent de manière extrêmement différentes, et surtout les grossières erreurs des premières (très spécialisées voire trop) qui lorsqu'elles se trompent, ça peut être grandiose!

Écrit par : amike 13 Aug 2019, 14:38

Ce n'est pas ce qui est dit dans l'article original : Pas besoin "d'imposer" dans ce cas, puisqu'il s'agit de flouer la détection s'assurant que la personne est éveillée !
Ou alors , il faut préalablement imposer un état d'inconscience, temporaire ou non ( ), ou avoir affaire à quelqu'un qui garde obstinément ses paupières baissées ...

Écrit par : iAPX 13 Aug 2019, 20:38

Ben justement, ça offre une option aux forces de police aux États-Unis, car on peut imposer une action à quelqu'un mais pas de révéler un secret (mot-de-passe /code PIN), à cause du 5ème Amendement.

Là tu peux fermer les paupières, regarder ailleurs, ton smartphone se déverrouillera...

Écrit par : joe75 13 Aug 2019, 22:17

Sinon redémarrer le téléphone ne bloque pas Face ID? au profit de la saisie du code pin obligatoire?

Écrit par : iAPX 13 Aug 2019, 22:32

Si, bien sûr, mais en cas d'arrestation inopinée ou de fouille à la frontière...

Mettons que ça donne trop de pouvoir qui devrait pour moi être entre les mains d'un juge (pas nécessaire là!!!) et surtout d'un accès qui viole l'esprit du 5ème Amendement aux États-Unis.
C'est surtout cela le point de FaceID et même de TouchID, le second ayant déjà été utilisé pour violer des droits constitutionnels, y-compris sur des personnes décédées.

PS: je défends un point de principe mais quand je suis aux États (notre petit voisin du sud ), si on me demandait je donnerais pour m'éviter toutes les emmerdes qui viennent avec étant étranger et il est évident qu'il y a nettoyage de certaines choses à l'avance dans mes appareils et ordinateurs.

Écrit par : otto87 13 Aug 2019, 23:24

Avant d'aller au USA, la consigne c'est de formater le PC/Mac avec juste le PDF de la présentation sur la machine!

Écrit par : downanotch 14 Aug 2019, 08:20

La question n'est pas tranchée il me semble… Un juge fédéral avait considéré il y a quelques mois qu'il était illégal de forcer un suspect à déverrouiller son téléphone avec Face ID ou Touch ID.



Ou : [Face ID est désactivé] après avoir initié une mise hors tension ou un appel d’urgence en maintenant un bouton de volume et le bouton latéral simultanément enfoncés pendant deux secondes.

https://support.apple.com/fr-fr/HT208108

Écrit par : ungars 14 Aug 2019, 16:03

Laurent Alexandre, que tout le monde connait ici, dit d'ailleurs des IA qu'elles sont connes une bite !


Y aller sans son Mac c'est encore mieux...

Écrit par : iAPX 15 Aug 2019, 03:44

Mettons que je suis dans une situation différente, puisque les États-Unis sont à une heure de route (ou de bus, de train, etc.).

Et qu'en plus quand j'expliquais ma position de principe mais aussi ma position pragmatique si on me demandait de déverrouiller ou de donner mon mot-de-passe, et qu'il fallait un peu de "ménage" avant, je l'écrivais justement de New-York City (un coin sympa de Brooklyn): ça n'est pas de la théorie, du possible, j'était totalement concerné, et je le suis couramment puisque travaillant pour une startup Montréalaise qui a d'énormes clients aux États-Unis mais aussi en faisant parti d'un groupe qui y est basé.

Je ne me déplace jamais sans un Mac, qu'il soit personnel ou professionnel.
Et je doute que beaucoup de gens travaillant dans l'informatique se déplacent sans un ordinateur (voir deux!) aujourd'hui, où qu'ils aillent, surtout dans le milieu des startups.
Et évidemment personne ne se déplace sans son smartphone (ou deux!).

La problématique amenée par le sujet est bien plus profonde que juste tromper une IA, c'est aussi une question constitutionnelle aux États-Unis, et la protection du 5ème Amendement de la Constitution qui peut être bafouée.
Quoique le sujet puisse être élargie à la sécurité aux frontières US où justement les protections constitutionnelles ne s'appliquent pas nécessairement (un sujet complexe).