News sécurité informatique


La société vietnamienne Bkav, spécialisée dans la sécurité mobile et réseau, a réussi à tromper le système de reconnaissance faciale de l'iPhone X avec un masque imprimé en 3D. 150 dollars et une poignée de jours ont été nécessaires pour sa production.

Une vidéo publiée par Bkav montre le déverrouillage d'un iPhone X avec un masque 3D. (crédit : Bkav)

Une vidéo publiée par Bkav montre le déverrouillage d'un iPhone X avec un masque 3D. (crédit : Bkav)

Le système de reconnaissance faciale de l'IPhone X peut être trompé. Bien que présenté par Apple comme étant beaucoup plus difficile à contourner que le système d'authentification par empreintes digitales, Face ID n'en demeure pas moins faillible. C'est en tout cas ce qu'a réussi à démontrer Bkav, société vietnamienne spécialisée dans la sécurisation des terminaux mobiles et des réseaux, et dont le résultat est visible dans une vidéo. « Peu importe si Apple Face ID apprend de nouvelles images du visage, car cela n'affectera pas la vérité qu'Apple Face ID n'est pas une mesure de sécurité efficace », a indiqué Bkav.

Face ID Détails de la création du masque 3D élaboré par Bkav pour tromper le Face ID de l'iPhone X. (crédit : Bkav)

Pour réussir à tromper Face ID, Bkav a élaboré grâce à une imprimante 3D un masque sachant qu'une attention particulière a été faite sur le nez, fait à la main en silicone par une artiste. Une partie du visage critique car constituant l'un des principaux éléments de reconnaissance faciale pris en compte par Face ID. « Le masque a été fabriqué en combinant de l'impression 3D avec du maquillage et des images 2D avec un processus de création particulier sur les joues et autour de la face où il y a des larges zones de peau, afin de tromper l'apprentissage machine de Face ID », a expliqué Ngo Tuan Anh, vice-président cybersécurité de Bkav.

Bkav évalue le coût de son masque à 150 dollars pour un temps de production de quelques jours. Si la société précise que son expérimentation reste limitée à un proof of concept, elle envisage de dévoiler d'autres problèmes liés à sa recherche.


Amazon muscle la sécurité de son stockage cloud S3

Après que plusieurs de ses clients, dont Deloitte et Accenture, ont été piratés à cause d'erreurs de configuration de buckets sur son service de stockage cloud S3, Amazon réagit. Chiffrement par défaut des instances S3 et remontée d'alertes de celles accessibles publiquement font partie des dernières fonctions de sécurité ajoutées.

Une des dernières fonctions de sécurité d'Amazon S3 permet de s'assurer via une alerte qu'un bucket est accessible en mode public. (crédit : AWS)

Une des dernières fonctions de sécurité d'Amazon S3 permet de s'assurer via une alerte qu'un bucket est accessible en mode public. (crédit : AWS)

Plus un mois ne passe - ou presque - sans que l'on apprenne que des données stockées sur le service de stockage cloud Amazon S3 ont été hackées. Non pas que ce service soit une passoire, bien au contraire, mais les administrateurs internes des entreprises concernées (Deloitte, Accenture...) font des erreurs de configurations d'instances. Des erreurs que des pirates n'hésitent pas à exploiter pour accéder à des informations confidentielles.

Afin de faciliter la tâche de ses clients, et éviter de continuer cette « mauvaise publicité » autour de son service de stockage cloud phare, AWS a pris des mesures. La société vient ainsi d'annoncer la mise en service de 5 nouvelles fonctions pour renforcer la sécurité de S3. Maintenant, les administrateurs ne sont plus contraints de construire des règles de sécurité pour rejeter les objets non chiffrés, mais peuvent instaurer un chiffrement par défaut de l'ensemble des objets contenus dans une instance ou bucket.


Inscrire les objets répliqués sur une nouvelle liste de contrôle d'accès


La console S3 permet également d'afficher un indicateur permettant de connaître les instances qui sont publiquement accessibles. De même, lorsque des objets sont répliqués entre plusieurs comptes AWS, on peut spécifier les objets à inscrire sur une nouvelle liste de contrôle d'accès (ACL) ou encore gérer leurs clés via le service Key Management d'Amazon. Enfin, le rapport d'inventaire S3 inclut à présent le statut de chiffrement pour chaque objet, et peut lui-même être chiffré.

Modifié le: mercredi 15 novembre 2017, 23:43