L’iPhone X n’était pas encore officiellement disponible que déjà des jumeaux montraient que Face ID pouvait se faire avoir. Depuis, des frères n’ayant pas le même âge ont montré qu’ils pouvaient eux aussi tromper le système de reconnaissance faciale dans des cas particuliers. Si Face ID s’est montré indubitablement moins fiable que Touch ID dans ces cas de figure, on attend toujours une usurpation réussie par un hacker.
Le Chaos Computer Club avait réussi à tromper Touch ID dès le lendemain de la sortie de l’iPhone 5s, et ce, sans grand effort. Le groupe de hackers avait utilisé la technique habituelle qui consiste à créer un moule du doigt enregistré à l’aide d’une photo haute résolution de son empreinte.
Pour autant que l’on sache, Face ID, qui capture des données faciales en projetant et en analysant plus de 30 000 points invisibles, n’a encore jamais été berné par une photo ou une vidéo. « Apple a vraiment pensé aux attaques classiques [contre Face ID], estime Marc Rogers, un des premiers hackers à avoir dupé Touch ID en 2013. Ils ont clairement mis au point un système assez robuste pour résister à des attaques assez convaincantes. »
Des journalistes du Wall Street Journal et de Wired ont poussé l’expérience jusqu’à créer un masque de leur visage, une réplique assurément plus coûteuse, longue et complexe que celle d’un doigt.
Même posé sur son visage et maquillé, le masque de la reporter Joanna Stern n’est parvenu à déverrouiller son iPhone X. David Pierce a fait réaliser quant à lui pas moins de cinq masques à son effigie, chacun avec un matériau différent. Malgré d’innombrables tentatives, le cadenas de l’iPhone ne s’est pas ouvert non plus.
À noter que contrairement à la journaliste du Wall Street Journal, les masques du rédacteur de Wired n’ont pas été portés par lui-même, mais par un de ses collègues au visage identiquement proportionné, mais n’ayant pas la même couleur d’yeux.
En dépit de ces échecs, Marc Rogers est sûr à 90 % qu’il est possible de tromper Face ID (sans faire appel à un jumeau ou un frère, s’entend). Le hacker fonde son opinion sur des conversations qu’il a eues avec des ingénieurs d’Apple, mais n’en dit pas plus sur le contenu de ces échanges.
En tout cas, il ne pense pas que créer un vrai masque soit la méthode la plus habile pour berner le système. De la même manière que les hackers ont peaufiné leurs techniques pour prendre à défaut Touch ID — au point qu’une banale photo suffise pour reproduire l’empreinte enregistrée —, des méthodes nécessitant peu de ressources, comme des images 3D du visage, arriveront peut-être à tromper Face ID. Mais on n'en est pas encore là, et Apple ne restera sans doute pas les bras croisés.
