Des lunettes et du ruban adhésif permettent de tromper Face ID, Réactions à la publication du 13/08/2019

[Lionel]

Lors de la conférence Black Hat, des chercheurs en sécurité ont fait la démonstration d'une limite du système Face ID.

Cette démonstration est plus une preuve de concept qu'autre chose car il y a peu de chances qu'une victime potentielle se prête au jeu de mettre ces lunettes pour apprendre à son iPhone à être dupé.
Cela serait possible sur une personne inconsciente. En effet, Face ID apprend sans cesse à mieux reconnaitre son utilisateur et si vous vous êtes enregistré sans lunettes, en porter n'aura que peu de chances de bloquer la détection. Donc au bout de plusieurs tests prudents, il serait possible de duper le système sans rentrer de mot de passe.

Les chercheurs utilisent cette démonstration pour inciter les fabricants comme Apple à améliorer leur système.

Lien vers le billet original

[broitman]

Erreur LIONEL

Constate, de VISU, que les porteurs habituels de lunettes ne les enlevent jamais pour utiliser leur iBidule avec FaceApp

Ca fait oartie des actes spontanes reflexes

Ont les voit meme etre obliges de repeter l'pêration d'identification si FaceApp n'a pas deverouille au premier look

[maclinuxG4]

l’identification est une probabilité pour:
-être reconnu
-pas être reconnu

IA est probabiliste, il y a toujours une erreur de se trompe ou qu'il se trompe...
malgré l'amélioration

j'ajoute, que me si IA apprend, il est important que:
-le jeu de test soit représentatif
-le modèle reste correcte et on ne constate pas de dégradation

il faut des disposition de sécurité interne pour éviter des dérives ( intégrité de IA)

conclusion:
aucune garanti n'est possible

[Cekter]

Ça montre surtout que la course à l'innovation sans réflexion autre que "le nouveau super truc" ne sert pas à grand chose. On avait une technologie plutôt pas trop mal foutue, toute récente pour le grand public et assez efficace (le touch ID), quel était le besoin de la remplacer par une autre ? Ah si ! Pouvoir dire "olala du nouveau en direct du turfu". Donc un besoin purement "marketing" qui au final génère plus d'emmerdes qu'il en résout.
Comme le "nouveau clavier papillon" qui n'a apporté que des emmerdes pour 1mm de moins...

Ce message a été modifié par Cekter - 13 Aug 2019, 07:57.

[downanotch]

La brève est inexacte. FaceID est prévu pour ne s'activer que s'il détecte l'attention de la personne. C'est ce système (détection de l'attention) qui peut être trompé avec ces lunettes spéciales. Une fois que FaceID pense — à tort ou à raison — avoir détecté l'attention de la personne, il va logiquement reconnaître l'utilisateur si c'est effectivement lui qui porte ces lunettes.

[Cekter]

C'est bien ce que j'avais compris. Je mets ces lunettes et je ferme les yeux pourtant faceID croit que j'ai les yeux ouverts. Après il reconnait ma tête évidement.

[downanotch]

Si l'on s'amuse à enregistrer un visage avec une paire de lunettes sur laquelle on a collé à la place des yeux un adhésif noir doté d'un point blanc en son centre, le système se focalisera là dessus.Il sera alors possible à n'importe qui, portant ces lunettes de débloquer le système.

Sur quelle source se base ce passage ? Je n'ai rien trouvé qui mentionne un tel comportement…

[maclinuxG4]

La brève est inexacte. FaceID est prévu pour ne s'activer que s'il détecte l'attention de la personne. C'est ce système (détection de l'attention) qui peut être trompé avec ces lunettes spéciales. Une fois que FaceID pense — à tort ou à raison — avoir détecté l'attention de la personne, il va logiquement reconnaître l'utilisateur si c'est effectivement lui qui porte ces lunettes.

ben non

c'est une probabilité, tu n'as qu'à comprendre ce que une IA.

c'est le même principe qu'un radar:
-une probabilité de détection
-une probabilité de non détection
-une probabilité de vraisemblance fausse détection (n-> se tromper)
-une probabilité de vraisemblance détection non valide ( ie-> refuser le vrai)


Hélas pour toi, la théorie des probabilités, quelque soit l'algorithme à toujours:
-erreurs
-des bias du algorithme
-un taux difficile à diminuer (99.95 % c'est pas évident ...)

sauf qu'ici tu fais une détection au sens identification

le radar pour ne pas se tromper, il fait plusieurs coup au but (moyenne)

bref, tu n'aura jamais 100 % !!!!


va te renseigner sur tensoflor , scikeat learn avec python ....


Ce message a été modifié par maclinuxG4 - 13 Aug 2019, 09:47.

[downanotch]

La brève est inexacte. FaceID est prévu pour ne s'activer que s'il détecte l'attention de la personne. C'est ce système (détection de l'attention) qui peut être trompé avec ces lunettes spéciales. Une fois que FaceID pense — à tort ou à raison — avoir détecté l'attention de la personne, il va logiquement reconnaître l'utilisateur si c'est effectivement lui qui porte ces lunettes.

ben non [snip]

Et pourtant, c'est bien ce qui es expliqué dans l'article de threatpost : To launch the attack, researchers with Tencent tapped into a feature behind biometrics called “liveness” detection

[s_d]

Comme tous les sites qui ont repris la news, le titre est trompeur (alarmiste et simpliste pour attirer les clics).
Le pire étant ZDNet carrément mensonger.

Ça ne trompe qu’une partie de FaceID = la détection de l’attention. Il faut encore mettre les lunettes sur le propriétaire (endormi ou inconscient). Ça n’est pas un gros exploit.
Ça n’est pas pire qu’avec TouchId où il suffit de placer le doigt du propriétaire (endormi ou contre son gré) sur le capteur.

[iAPX]

Comme tous les sites qui ont repris la news, le titre est trompeur (alarmiste et simpliste pour attirer les clics).
Le pire étant ZDNet carrément mensonger.

Ça ne trompe qu’une partie de FaceID = la détection de l’attention. Il faut encore mettre les lunettes sur le propriétaire (endormi ou inconscient). Ça n’est pas un gros exploit.
Ça n’est pas pire qu’avec TouchId où il suffit de placer le doigt du propriétaire (endormi ou contre son gré) sur le capteur.

Je ne te souhaite pas d'être aux États-Unis, où ne pourra pas t'imposer de donner ton code PIN, mais t'imposer de porter ces lunettes pour alors déverrouiller ton iPhone et accéder à son contenu!

Les lunettes ne sont qu'une part de la solution, je m'attend maintenant à ce que ceux qui aient essayer de tromper FaceID y arrivent maintenant plus facilement en connaissant son talon d'Achille.

Ça met aussi en exergue les différences entre les IA et l'intelligence humaine qui fonctionnent de manière extrêmement différentes, et surtout les grossières erreurs des premières (très spécialisées voire trop) qui lorsqu'elles se trompent, ça peut être grandiose!

[amike]

Comme tous les sites qui ont repris la news, le titre est trompeur (alarmiste et simpliste pour attirer les clics).
Le pire étant ZDNet carrément mensonger.

Ça ne trompe qu’une partie de FaceID = la détection de l’attention. Il faut encore mettre les lunettes sur le propriétaire (endormi ou inconscient). Ça n’est pas un gros exploit.
Ça n’est pas pire qu’avec TouchId où il suffit de placer le doigt du propriétaire (endormi ou contre son gré) sur le capteur.

Je ne te souhaite pas d'être aux États-Unis, où ne pourra pas t'imposer de donner ton code PIN, mais t'imposer de porter ces lunettes pour alors déverrouiller ton iPhone et accéder à son contenu!

...

Ce n'est pas ce qui est dit dans l'article original : Pas besoin "d'imposer" dans ce cas, puisqu'il s'agit de flouer la détection s'assurant que la personne est éveillée !
Ou alors , il faut préalablement imposer un état d'inconscience, temporaire ou non ( ), ou avoir affaire à quelqu'un qui garde obstinément ses paupières baissées ...

[iAPX]

Comme tous les sites qui ont repris la news, le titre est trompeur (alarmiste et simpliste pour attirer les clics).
Le pire étant ZDNet carrément mensonger.

Ça ne trompe qu’une partie de FaceID = la détection de l’attention. Il faut encore mettre les lunettes sur le propriétaire (endormi ou inconscient). Ça n’est pas un gros exploit.
Ça n’est pas pire qu’avec TouchId où il suffit de placer le doigt du propriétaire (endormi ou contre son gré) sur le capteur.

Je ne te souhaite pas d'être aux États-Unis, où ne pourra pas t'imposer de donner ton code PIN, mais t'imposer de porter ces lunettes pour alors déverrouiller ton iPhone et accéder à son contenu!

...

Ce n'est pas ce qui est dit dans l'article original : Pas besoin "d'imposer" dans ce cas, puisqu'il s'agit de flouer la détection s'assurant que la personne est éveillée !
Ou alors , il faut préalablement imposer un état d'inconscience, temporaire ou non ( ), ou avoir affaire à quelqu'un qui garde obstinément ses paupières baissées ...

Ben justement, ça offre une option aux forces de police aux États-Unis, car on peut imposer une action à quelqu'un mais pas de révéler un secret (mot-de-passe /code PIN), à cause du 5ème Amendement.

Là tu peux fermer les paupières, regarder ailleurs, ton smartphone se déverrouillera...

[joe75]

Comme tous les sites qui ont repris la news, le titre est trompeur (alarmiste et simpliste pour attirer les clics).
Le pire étant ZDNet carrément mensonger.

Ça ne trompe qu’une partie de FaceID = la détection de l’attention. Il faut encore mettre les lunettes sur le propriétaire (endormi ou inconscient). Ça n’est pas un gros exploit.
Ça n’est pas pire qu’avec TouchId où il suffit de placer le doigt du propriétaire (endormi ou contre son gré) sur le capteur.

Je ne te souhaite pas d'être aux États-Unis, où ne pourra pas t'imposer de donner ton code PIN, mais t'imposer de porter ces lunettes pour alors déverrouiller ton iPhone et accéder à son contenu!

...

Ce n'est pas ce qui est dit dans l'article original : Pas besoin "d'imposer" dans ce cas, puisqu'il s'agit de flouer la détection s'assurant que la personne est éveillée !
Ou alors , il faut préalablement imposer un état d'inconscience, temporaire ou non ( ), ou avoir affaire à quelqu'un qui garde obstinément ses paupières baissées ...

Ben justement, ça offre une option aux forces de police aux États-Unis, car on peut imposer une action à quelqu'un mais pas de révéler un secret (mot-de-passe /code PIN), à cause du 5ème Amendement.

Là tu peux fermer les paupières, regarder ailleurs, ton smartphone se déverrouillera...

Sinon redémarrer le téléphone ne bloque pas Face ID? au profit de la saisie du code pin obligatoire?

[iAPX]

Comme tous les sites qui ont repris la news, le titre est trompeur (alarmiste et simpliste pour attirer les clics).
Le pire étant ZDNet carrément mensonger.

Ça ne trompe qu’une partie de FaceID = la détection de l’attention. Il faut encore mettre les lunettes sur le propriétaire (endormi ou inconscient). Ça n’est pas un gros exploit.
Ça n’est pas pire qu’avec TouchId où il suffit de placer le doigt du propriétaire (endormi ou contre son gré) sur le capteur.

Je ne te souhaite pas d'être aux États-Unis, où ne pourra pas t'imposer de donner ton code PIN, mais t'imposer de porter ces lunettes pour alors déverrouiller ton iPhone et accéder à son contenu!

...

Ce n'est pas ce qui est dit dans l'article original : Pas besoin "d'imposer" dans ce cas, puisqu'il s'agit de flouer la détection s'assurant que la personne est éveillée !
Ou alors , il faut préalablement imposer un état d'inconscience, temporaire ou non ( ), ou avoir affaire à quelqu'un qui garde obstinément ses paupières baissées ...

Ben justement, ça offre une option aux forces de police aux États-Unis, car on peut imposer une action à quelqu'un mais pas de révéler un secret (mot-de-passe /code PIN), à cause du 5ème Amendement.

Là tu peux fermer les paupières, regarder ailleurs, ton smartphone se déverrouillera...

Sinon redémarrer le téléphone ne bloque pas Face ID? au profit de la saisie du code pin obligatoire?

Si, bien sûr, mais en cas d'arrestation inopinée ou de fouille à la frontière...

Mettons que ça donne trop de pouvoir qui devrait pour moi être entre les mains d'un juge (pas nécessaire là!!!) et surtout d'un accès qui viole l'esprit du 5ème Amendement aux États-Unis.
C'est surtout cela le point de FaceID et même de TouchID, le second ayant déjà été utilisé pour violer des droits constitutionnels, y-compris sur des personnes décédées.

PS: je défends un point de principe mais quand je suis aux États (notre petit voisin du sud ), si on me demandait je donnerais pour m'éviter toutes les emmerdes qui viennent avec étant étranger et il est évident qu'il y a nettoyage de certaines choses à l'avance dans mes appareils et ordinateurs.

Ce message a été modifié par iAPX - 13 Aug 2019, 22:39.

[otto87]

Avant d'aller au USA, la consigne c'est de formater le PC/Mac avec juste le PDF de la présentation sur la machine!

[downanotch]

Je ne te souhaite pas d'être aux États-Unis, où ne pourra pas t'imposer de donner ton code PIN, mais t'imposer de porter ces lunettes pour alors déverrouiller ton iPhone et accéder à son contenu!

La question n'est pas tranchée il me semble… Un juge fédéral avait considéré il y a quelques mois qu'il était illégal de forcer un suspect à déverrouiller son téléphone avec Face ID ou Touch ID.

Sinon redémarrer le téléphone ne bloque pas Face ID? au profit de la saisie du code pin obligatoire?

Ou : [Face ID est désactivé] après avoir initié une mise hors tension ou un appel d’urgence en maintenant un bouton de volume et le bouton latéral simultanément enfoncés pendant deux secondes.

https://support.apple.com/fr-fr/HT208108

[ungars]

Comme tous les sites qui ont repris la news, le titre est trompeur (alarmiste et simpliste pour attirer les clics).
Le pire étant ZDNet carrément mensonger.

Ça ne trompe qu’une partie de FaceID = la détection de l’attention. Il faut encore mettre les lunettes sur le propriétaire (endormi ou inconscient). Ça n’est pas un gros exploit.
Ça n’est pas pire qu’avec TouchId où il suffit de placer le doigt du propriétaire (endormi ou contre son gré) sur le capteur.

Je ne te souhaite pas d'être aux États-Unis, où ne pourra pas t'imposer de donner ton code PIN, mais t'imposer de porter ces lunettes pour alors déverrouiller ton iPhone et accéder à son contenu!

Les lunettes ne sont qu'une part de la solution, je m'attend maintenant à ce que ceux qui aient essayer de tromper FaceID y arrivent maintenant plus facilement en connaissant son talon d'Achille.

Ça met aussi en exergue les différences entre les IA et l'intelligence humaine qui fonctionnent de manière extrêmement différentes, et surtout les grossières erreurs des premières (très spécialisées voire trop) qui lorsqu'elles se trompent, ça peut être grandiose!

Laurent Alexandre, que tout le monde connait ici, dit d'ailleurs des IA qu'elles sont connes une bite !

Avant d'aller au USA, la consigne c'est de formater le PC/Mac avec juste le PDF de la présentation sur la machine!

Y aller sans son Mac c'est encore mieux...

[iAPX]

...

Avant d'aller au USA, la consigne c'est de formater le PC/Mac avec juste le PDF de la présentation sur la machine!

Y aller sans son Mac c'est encore mieux...

Mettons que je suis dans une situation différente, puisque les États-Unis sont à une heure de route (ou de bus, de train, etc.).

Et qu'en plus quand j'expliquais ma position de principe mais aussi ma position pragmatique si on me demandait de déverrouiller ou de donner mon mot-de-passe, et qu'il fallait un peu de "ménage" avant, je l'écrivais justement de New-York City (un coin sympa de Brooklyn): ça n'est pas de la théorie, du possible, j'était totalement concerné, et je le suis couramment puisque travaillant pour une startup Montréalaise qui a d'énormes clients aux États-Unis mais aussi en faisant parti d'un groupe qui y est basé.

Je ne me déplace jamais sans un Mac, qu'il soit personnel ou professionnel.
Et je doute que beaucoup de gens travaillant dans l'informatique se déplacent sans un ordinateur (voir deux!) aujourd'hui, où qu'ils aillent, surtout dans le milieu des startups.
Et évidemment personne ne se déplace sans son smartphone (ou deux!).

La problématique amenée par le sujet est bien plus profonde que juste tromper une IA, c'est aussi une question constitutionnelle aux États-Unis, et la protection du 5ème Amendement de la Constitution qui peut être bafouée.
Quoique le sujet puisse être élargie à la sécurité aux frontières US où justement les protections constitutionnelles ne s'appliquent pas nécessairement (un sujet complexe).

Ce message a été modifié par iAPX - 15 Aug 2019, 03:49.