Certaines applications dotées d'un système de reconnaissance faciale pourraient être trompées en utilisant de simples Live Photos, rapporte cette semaine Meaghan Johnson, qui dirige les recherches pour une société de conseils.
Cette faille concernerait au moins deux établissements bancaires, et permettrait de tromper facilement le système d'authentification en présentant une photo animée montrant l'utilisateur en train de cligner des yeux.
Tout ce que vous avez à faire est de vous connecter en choisissant l'identification biométrique. Pendant que vous vous identifiez dans la partie sécurisée de l'application clignez des yeux quelques fois et l'app vous enregistrera. Nous avions une photo de moi en train de cligner des yeux, il s'agissait d'une Live Photo. Nous avons placé la Live Photo face à l'écran de reconnaissance faciale sur le téléphone. Après cinq secondes ça a fonctionné et nous a connecté à l'application.
Cette méthode fonctionnerait dans les applications bancaires utilisant la reconnaissance faciale comme méthode d'authentification. Pour le moment, les chercheurs auraient réussi à exploiter cette faille avec les apps de deux banques, dont le nom n'a pas été divulgué, mais dont l'une serait un important établissement des États-Unis et la seconde une banque relativement jeune, située au Royaume-Uni.
Un représentant de la banque britannique Atom a par ailleurs reconnu qu'une Live Photo pouvait parfois permettre de duper le système de reconnaissance biométrique, mais précise que cette méthode ne représente qu'une étape dans l'authentification de l'utilisateur. Par ailleurs l'établissement bancaire vérifie lors de chaque connexion que celle-ci provient bien du smartphone du propriétaire du compte, et demande pour plus de sécurité de saisir un code secret à 4 chiffres. Pour plus de sécurité, l'app refuse même tout accès depuis un appareil déplombé.
D'ici la fin de l'année, MasterCard devrait enfin proposer à ses clients de sécuriser leurs transactions à l'aide de selfies, cependant cette méthode sera appliquée en sus des systèmes d'authentification traditionnels (code secret ou bande magnétique).
