Face ID a de nouveau été mis en échec avec un masque confectionné pour ressembler au visage de l'utilisateur d'un iPhone X. C'est toujours Ngo Tuan Anh, l'un des responsables de l'entreprise vietnamienne Bkav, spécialisée dans les questions de sécurité, qui prête ses traits et réalise la démonstration.
L'aspect du masque a été amélioré de façon à rendre plus systématique sa reconnaissance par Face ID. Plutôt qu'une bande adhésive, le nouveau masque a été recouvert d'une couche de poudre de pierre colorée. Les yeux sont faits à partir de l'impression d'une photo prise avec une lumière infra-rouge. Le démonstrateur insiste sur le fait que ce masque-ci a été bien plus rapide à fabriquer, contrairement aux 9 à 10 h nécessaires pour le précédent.
Ngo Tuan Anh montre d'abord qu'il réinitialise Face ID sur son iPhone puis il se fait reconnaître une première fois. Dans la foulée, il verrouille son téléphone et le présente au masque qui défait immédiatement la protection.
Bkav surnomme ce nouveau masque un "jumeau artificiel", en écho à l'une des faiblesses de Face ID qui ne sait pas distinguer de vrais jumeaux (lire Les échecs de Face ID se suivent et se ressemblent).
Il réitère le même conseil que la fois dernière. Si l'enjeu est important, en se donnant les moyens, on peut tromper plus aisément que prévu Face ID. Certaines personnes de premier plan — à défaut de l'utilisateur lambda — gagneraient à s'en méfier. Avec cet exemple façon Mission Impossible :
Une personne peut être prise en photo secrètement en quelques secondes lorsqu'elle entre dans une pièce contenant un système de caméras préinstallées selon différents angles. Ensuite, les photos seront traitées par des algorithmes pour créer un objet 3D.
Pour Ngo Tuan Anh, l'intelligence artificielle, comme celle qui est utilisée par Face ID, ne devrait pas être l'unique mesure de sécurité proposée. Elle devrait s'en tenir à compléter un dispositif plus sûr. Comme les empreintes, qui ne sont pas inviolables mais peut-être plus difficiles à recueillir, plus que des photos d'une personne prises à distance.
Lors de la présentation de Face ID, Phil Schiller avait assuré qu'Apple avait testé sa solution avec des masques réalisés par des professionnels du cinéma (des masques beaucoup plus sophistiqués à en juger par la photo montrée à ce moment-là). Wired avait tenté de tromper Face ID par ce biais, en recrutant là-aussi des spécialistes, mais en vain.
L'équipe de Bkav est la seule à assurer que l'on peut se reposer sur un masque pour franchir la protection de l'iPhone X et à en avoir fait la démonstration devant un journaliste de Reuters. Il s'agissait de lever toute ambiguïté sur la méthode utilisée.
À la suite de la première expérimentation, des banques sud-coréennes ont décidé de ne pas prendre en charge Face ID dans leurs apps.
