Déverrouillage par reconnaissance faciale : une mauvaise idée ?

26 Mar 2018

Utiliser la reconnaissance faciale semble logique lorsque l’on parle de smartphones. C’est très pratique puisque vous alliez regarder votre téléphone de toute façon, n’est-ce-pas ?

L’ensemble de l’industrie des smartphones semble être d’accord. Apple ne fut pas la première entreprise à avoir pensé au déverrouillage par reconnaissance faciale. Cependant, après qu’Apple l’ait utilisée pour l’iPhone X, toute l’industrie des smartphones a suivi cette idée, comme d’habitude. Presque tous les téléphones présentés au Mobile World Congress 2018 disposaient de cette fonction. Cette tendance est très dangereuse, et nous allons vous expliquer pourquoi.

En réalité, je ne pense pas que la reconnaissance faciale soit mauvaise en soi. Au contraire, si elle est correctement utilisée, elle est sûrement meilleure que l’identification par empreintes digitales ou par code PIN. Le danger se cache dans les détails.

Lorsque nous avons décrit le fonctionnement de la technologie Face ID, nous avons mentionné la complexité du système de reconnaissance. Il comprend une caméra normale, une caméra infrarouge, la projection de points ainsi que l’apprentissage automatique, un stockage sécurisé et le traitement de données. Apple a investi beaucoup de temps et d’argent pour que le système soit rapide, sûr et fiable. Apple demande le prix fort pour cela, et vend l’iPhone X à partir de 1159€.

À cause de ce prix, les autres fabricants de smartphones ont dû faire face à un dilemme. En général ils vendent leurs appareils à un prix inférieur, mais ils doivent également fournir les mêmes caractéristiques. Ils commencent par retirer des éléments qui ne vont pas immédiatement manquer aux utilisateurs : un haut-parleur plus économique par-ci et un stockage réduit par-là. Peut-être qu’ils pourraient retirer la caméra infrarouge et la projection de points du module de déverrouillage par reconnaissance faciale, mais ils doivent surtout garder cette fonctionnalité. Après tout, c’est leur argument de vente.

La capacité à utiliser votre visage pour déverrouiller votre téléphone est une caractéristique mise en avant dans les documents marketing, mais le texte publicitaire ne donne pas vraiment plus d’informations sur son fonctionnement. Peut-être que ces entreprises ne veulent pas expliquer clairement comment elles ont fait pour que l’authentification par visage soit moins avancée, moins fiable et moins sécurisée.

Dans la plupart des cas, la reconnaissance faciale d’un téléphone premier prix n’utilise qu’une caméra frontale, voire le flash pour prendre de meilleures photos, et quelques algorithmes pas si avancés que cela. Une caméra 2D normale, sans capteur infrarouge ou sans projection de points, peut facilement être trompée en utilisant des photos. Celles-ci peuvent être trouvées sur les réseaux sociaux, par exemple, puis imprimées sur papier ou affichées sur un écran. Même certaines des meilleures caméras peuvent être dupées à l’aide de masques imprimés en 3D. Le Face ID d’Apple a été trompé par l’utilisation d’un masque devenant ainsi un jumeau maléfique de l’utilisateur. Les téléphones qui n’utilisent que de simples photos sont de simples gardiens.

Pas si mauvais, mais également vulnérable

L’utilisation courante du déverrouillage par reconnaissance faciale sans le hardware adéquat va provoquer une baisse générale de la sécurité des téléphones modernes. Heureusement, ce n’est pas actuellement la méthode d’authentification par défaut ; les codes et les empreintes digitales sont plus souvent utilisées. Certains fabricants utilisent des systèmes plus sûrs tels que la reconnaissance de l’iris, plus difficile à tromper.

Cependant, la reconnaissance faciale est à la mode, et je m’attends à ce que de plus en plus d’utilisateurs des téléphones Android bon marché commencent à l’utiliser. Mon téléphone peut faire exactement pareil qu’un iPhone, et je l’ai payé dix fois moins cher !

Nous vous recommandons fortement de lire minutieusement les détails de la méthode de reconnaissance faciale de votre téléphone avant de l’activer. Elle doit être réellement sûre et ne pas pouvoir être trompée par des photos ou des masques, ne pas laisser fuir vos données et ne pas traiter vos données sans aucune sécurité. L’authentification par empreintes digitales n’est pas infaillible, mais au point où nous en sommes, elle est plus sûre. Un code PIN de six chiffres est probablement votre meilleure option pour le moment.