Pourtant l'utilisation de ces outils biométriques avec Linux reste problématique. Souvent le scanneur ne prend tout simplement pas en charge Linux. Quand, par chance, ce support existe c'est souvent sous la forme d'un module propriétaire qui implémente sa propre API sans aucune mutualisation du code.
C'est pourquoi l'initiative Fprint, lancée par Daniel Drake, est si importante pour le monde du libre.
Vous trouverez plus de détails sur Fprint dans la suite de cette dépêche. Ce projet a été annoncé il y a seulement quelques semaines mais il est développé depuis plusieurs mois en tant que projet universitaire par Daniel Drake qui est étudiant à l'université de Manchester.
Son objectif est de rendre le support sous Linux des scanneurs d'empreintes digitales aussi simple que possible. Pour cela, il faut absolument faciliter le travail aux auteurs de logiciels afin qu'ils puissent fournir des outils aux utilisateurs.
Comme l'énumère le mail d'annonce du projet :
- Les développeurs d'application ne devraient pas se soucier du type de scanneur d'empreintes que l'utilisateur utilise ;
- Les développeurs d'application ne devraient pas se soucier du fait que le scanneur A se contente de prendre des images alors que le scanneur B réalise tout le traitement en interne ;
- Les développeurs d'application ne devraient pas se soucier d'écrire du code pour supporter un nouveau scanneur.
Pour arriver à cette simplification drastique le projet Fprint propose la bibliothèque libfprint (sous licence LGPL) qui permet aux auteurs d'écrire pour cette seule interface de programmation et d'obtenir ainsi le support de tous les scanneurs d'un seul coup.
Cette bibliothèque contient le code de reconnaissance d'image mis a disposition par l'Institut National des Standards et de la Technologie (le NIST). Ces divers algorithmes sont optimisés et permettent d'analyser les points d'intérêt d'une image d'empreinte digitale au format 384x289 en seulement 0.15 secondes sur un laptop (en utilisant un seul coeur cadencé à 2 GHz).
Outre cette bibliothèque, il existe un module d'authentification nommé pam_fprint qui permet de passer l'étape du login sur une machine en utilisant uniquement le scanneur d'empreintes.
Actuellement quatre pilotes utilisent la bibliothèque libfprint :
- uru4000 (utilisé dans les scanneurs Microsoft et DigitalPersona).
- aes4000 (utilisé dans les scanneurs Authentec AES4000).
- aes2501 (utilisé dans les scanneurs Authentec AES2501).
- upekts (utilisé dans les scanneurs UPEK TouchStrip).
On voit toute la force du projet Fprint dans le support de ces quatre pilotes. En effet, ces scanneurs d'empreintes digitales sont très différents techniquement et pourtant la couche d'abstraction de libfprint joue son rôle et cache ces différences matérielles.
Par exemple le scanneur DigitalPersonna se contente d'envoyer une image à l'ordinateur et ne réalise aucun traitement, c'est le processeur central qui doit se charger d'interpréter l'image pour accorder ou pas l'accès. Par opposition, le scanneur UPEK TouchStrip traite tout en interne. L'empreinte digitale est examinée par un microcontrôleur intégré et le pilote ne renvoie à l'ordinateur hôte qu'un résultat booléen (OK ou NON OK).
La couche d'abstraction libfprint est d'un niveau suffisamment haut pour masquer au développeur d'une application utilisant un scanneur d'empreintes tous ces détails techniques. Une mutualisation du code devient alors possible et évite de dupliquer inutilement les efforts.
Daniel Drake a également développé une application de démonstration graphique qui utilise GTK afin de permettre de tester les fonctions de la bibliothèque libfprint. Des copies d'écran sont disponibles sur la page dédiée du site.
Du côté de la concurrence le projet BioAPI ne peut réellement convenir aux utilisateurs de logiciel libre. La FAQ du projet Fprint explique pourquoi. En résumé BioAPI est très complexe, le consortium est fermé et le standard non-libre. En outre BioAPI ne semble pas avoir déclenché un enthousiasme délirant chez les développeurs et les pilotes basés dessus semblent rares.
Fprint est donc le projet fédérateur que le monde du libre attendait pour pouvoir utiliser facilement les scanneurs d'empreintes digitales sous l'environnement GNU/Linux.
Aller plus loin
- Le projet Fprint (530 clics)
- Le mail d'annonce du projet (18 clics)
- Un screenshot de l'application de démonstration (165 clics)
- La FAQ de libfprint (32 clics)
- Les détails de l'API libfprint (59 clics)
- La FingerForce de Debian (111 clics)
# Bravo.
Posté par Zorro (site web personnel) . Évalué à 10.
[^] # Re: Bravo.
Posté par patrick_g (site web personnel) . Évalué à 7.
A noter que j'ai découvert ce projet en lisant un article sur le site LWN => http://lwn.net/Articles/259363/
(il est pour l'instant réservé aux souscripteurs et ne sera accessible à tous que jeudi prochain).
[^] # Re: Bravo.
Posté par ribwund . Évalué à -9.
http://lwn.net/SubscriberLink/259363/542c6336e639d7c0/
(n'hésitez pas a souscrire si vous voulez aider lwn.net à payer leurs factures et salaires :)
[^] # Re: Bravo.
Posté par Colin Leroy (site web personnel) . Évalué à 3.
[^] # Re: Bravo.
Posté par ribwund . Évalué à 3.
La dernière fois que je l'ai fait (sur programming.reddit.com) j'ai eu la confirmation de Jonathan Corbet qu'on pouvait le faire.
Il faut aussi faire du teasing pour que des gens souscrivent.
(jcorbet poste regulieremen des subscriber links sur p.reddit.com)
[^] # Re: Bravo.
Posté par Putifuto . Évalué à 2.
En plus, c'est fait par Daniel Drake, ca fait du bien de voir que Mandrakeiva contribue au libre /o\
[^] # Re: Bravo.
Posté par ribwund . Évalué à 1.
[^] # Re: Bravo.
Posté par Aldoo . Évalué à 2.
Bon alors, ne serait-il pas plutôt un dev d'Ubuntu ? Au moins à l'époque de la 6.06 LTS ?
[^] # Re: Bravo.
Posté par François . Évalué à 2.
Cela maintenant quelques temps qu'il parle de ce projet.
Voici d'ailleurs le lien direct vers son blog : http://www.reactivated.net/weblog/
[^] # Re: Bravo.
Posté par patrick_g (site web personnel) . Évalué à 4.
Il ne peut comprendre la dépêche qu'en se servant de Google translate et il cherche un volontaire pour faire une traduction vers l'anglais.
Moi je suis pas assez doué pour écrire en anglais mais ce serait cool si quelqu'un pouvait traduire la news pour la donner à Daniel.
Un volontaire ?
[^] # Re: Bravo.
Posté par Epy . Évalué à 3.
[^] # Re: Bravo.
Posté par patrick_g (site web personnel) . Évalué à 3.
[^] # Re: Bravo.
Posté par Epy . Évalué à 3.
Je vais voir
[^] # Re: Bravo.
Posté par patrick_g (site web personnel) . Évalué à 4.
[^] # Re: Bravo.
Posté par Epy . Évalué à 2.
j'étais en plein dedans pendant mes cours d'anglais..
tant pis, merci de me l'avoir signalé
[^] # Re: Bravo.
Posté par BAud (site web personnel) . Évalué à 3.
[^] # Re: Bravo.
Posté par NickNolte . Évalué à 9.
"Bravo" l'artiste
# on s'en passerait bien
Posté par alice . Évalué à 1.
[^] # Re: on s'en passerait bien
Posté par patrick_g (site web personnel) . Évalué à 7.
Bah si c'est TON scanneur à toi je ne vois pas ou est le problème.
Cela peut être pratique pour s'authentifier sur une machine sans avoir à se souvenir d'un password.
Et je préfère largement que le driver soir ouvert et libres plutôt qu'un ignoble blob binaire qui fait ce qu'il veut dans mon dos.
[^] # Re: on s'en passerait bien
Posté par fleny68 . Évalué à 9.
Si tu te fais pirater ton empreinte (une méthode se balade sur le net mais je ne l'ai pas testée), et bien il n'est pas aussi simple de changer d'empreinte que de mot de passe.
[^] # Re: on s'en passerait bien
Posté par Putifuto . Évalué à 8.
Tu change de doigt :) donc, tu passe de l'index au majeur par exemple.
Ca laisse 20 possibilités de changement plus le nez et éventuellement les oreilles.
[^] # Re: on s'en passerait bien
Posté par octane . Évalué à 10.
Surtout pas, malheureux!
Il a été maintes fois démontré que les données biometriques ne peuvent servir qu'a t'identifier et non t'authentifier.
Une donnée essentielle des PKI tient compte de la révocation.
Le jour ou ton empreinte digitale est contrefaite, on fait quoi? On te coupe le doigt et on t'en greffe un autre?
Ensuite, une empreinte digitale, ça n'a pas vocation à être secret.. D'où l'idée de faciliter le login, mais pas le password.
Voir pour référence:
http://sid.rstack.org/blog/index.php/9-au-doigt-et-a-l-oeil
[^] # Re: on s'en passerait bien
Posté par RB . Évalué à 3.
En bref, je suis d'accord avec toi sur la globalité de la chose, mais le fait est que l'on veut rendre les choses extrémement faciles pour le grand public (et à tort) il croit que ce genre de système est la panacée et même plus sûr qu'un mot de passe.
[^] # Re: on s'en passerait bien
Posté par patrick_g (site web personnel) . Évalué à 4.
Et il oublie de chiffrer son disque dur ce qui rend ce système facilement contournable en extrayant le disque de l'ordinateur et en le montant sur une autre machine.
[^] # Re: on s'en passerait bien
Posté par outs . Évalué à 2.
--> N'oubliez pas de mettre des mot de passe sur le bios et grub
[^] # Re: on s'en passerait bien
Posté par Thomas Douillard . Évalué à 3.
[^] # Re: on s'en passerait bien
Posté par arnaudus . Évalué à 2.
Ça c'est de la belle idée à la con. Je me permets de dire ça, parce que JE l'ai fait sur mon portable. Et qu'évidemment j'ai oublié le mot de passe. Plus qu'à prier pour ne jamais avoir à rebooter sur le cd. Grandiose, hein?
[^] # Re: on s'en passerait bien
Posté par MrLapinot (site web personnel) . Évalué à 3.
Cela dit, dans le dernier HS Misc, il y a un article qui dit que ça ne sert à rien les mots de passe BIOS et disque dur (mais que chiffrer le disque, ça c'est utile).
[^] # Re: on s'en passerait bien
Posté par FreeB5D . Évalué à 0.
Plus de mot de passe sur le BIOS .
[^] # Re: on s'en passerait bien
Posté par arnaudus . Évalué à 3.
Apparemment, les concepteurs de portable ont vraiment pensé au coup de la pile. étonnant, non? :-)
[^] # Re: on s'en passerait bien
Posté par Fabien Engels . Évalué à 2.
[^] # Re: on s'en passerait bien
Posté par M . Évalué à 1.
J'avais vu un reportage que certains lecteurs etait facilement abusable en "décalquant" une emprunte laissé sur un autre support.
Cela était du entre autre au fait que la résolution était assez pourri.
[^] # Re: on s'en passerait bien
Posté par Maclag . Évalué à 5.
Ben si avant de passer à la biométrie il laissait un post-it sur l'ordi avec le mot de passe écrit dessus, c'est clair que c'est la panacée: le post-it est désormais totalement intégré à son doigt, il ne se décollera plus, il restera lisible malgré la tâche de café, et plus personne ne le lira par dessus son épaule.
J'ai un pull et une veste, je ne crains pas le froid!! --->[ ]
[^] # Re: on s'en passerait bien
Posté par bubar🦥 (Mastodon) . Évalué à 3.
au lieu de scanner ton empreinte digitale seule (ou avec une reco de la température et du pouls), ce qui est le cas des scanneurs d' aujourdhui, les scanneurs de demain vérifieront en fait la carte de l' irrigation du doigt.
C' est une empreinte tout aussi fiable que l' empreinte digitale. Elle a en plus pour elle le fait d' être "secrête" (ce n' est pas une empreinte qu' on laisse trainer partout) du fait même qu' elle soit "l' intérieur du doigt"
Merci pour l' information claire bien sûre.
Et bravo à Mr Drake
[^] # Re: on s'en passerait bien
Posté par Thomas Douillard . Évalué à 4.
Sympa, comme ça tu peux plus bosser après t'être engueulé avec ton patron.
[^] # Re: on s'en passerait bien
Posté par z a . Évalué à 3.
si on la laisse sur le pendant d'un keylogger mais pour les empreintes digitales, contrairement aux méthodes non-biométriques, tu n'as aucun moyen de révocation (et dès qu'on aura un moyen de refaire de telles empreintes, ton doigt ne te servira plus qu'à te l'enfoncer bien profond)
[^] # Re: on s'en passerait bien
Posté par bubar🦥 (Mastodon) . Évalué à 6.
le simple fait d' avoir subi une entaille en faisant la cuisine remet en cause l' utilisation immédiate du système !
[^] # Re: on s'en passerait bien
Posté par fleny68 . Évalué à 3.
[^] # Re: on s'en passerait bien
Posté par nodens . Évalué à 3.
Ca a déjà été précisé, mais j'en rajoute une couche : ce n'est pas du tout le cas des lecteurs d'empreinte grand public actuels.
De plus, il ne s'agit pas de repérer des caractéristiques personnelles uniques, mais simplement de différentier un doigt coupé d'un doit toujours relié à la main... Les capteurs ne sont pas assez précis pour différencier les caractéristiques cutanées de personnes différentes, qui peuvent en plus varier d'un moment à un autre.
Mes informations datent un peu (la conférence à laquelle j'avais assisté là dessus date d'un an), mais pour ce que j'en sais, la grande majorité des lecteurs d'empreinte digitale est facile à abuser.
Une fois l'empreinte récupérée (sur un verre, une feuille de papier...) et numérisée (un bête appareil photo numérique fait souvent l'affaire, selon la résolution du lecteur d'empreinte évidemment), il suffit d'une imprimante laser et d'un transparent à présentation pour se fabriquer un "dummy finger", autrement dit une fausse empreinte qu'on glisse sur son doigt. Les caractéristiques de température (sinon de conductivité) sont conservées.
Il existe de nombreuses méthodes pour obtenir des pseudo doigts plus fiables (glu, graphite pour rendre le tracé plus précis...).
Un bon lecteur d'empreintes digitales, ce n'est pas demain qu'on le verra dans un équipement grand public.
Les anglophones peuvent chercher "hacking fingerprinting recognition" dans leur moteur de recherche de prédilection pour avoir quelques slides sur la question.
(Bon, en plus, je suis contre la biométrie comme méthode d'authentification seule... Comme cela a été dit plus haut, on a que dix doigts et c'est difficile à révoquer).
Pour en revenir à la dépêche, une api qui gomme un peu les différences sous-jacentes, par contre, ça ne peut qu'être une bonne chose pour l'interopérabilité (ben oui, je suis contre, mais je pourrais être amené à devoir me plier à des procédures qui l'imposent :) )
[^] # Re: on s'en passerait bien
Posté par beagf (site web personnel) . Évalué à 4.
Et au final en local c'est aussi fiable car si quelqu'un me vole mon portable, il va pas me couper un doigt pour le démarrer il va sortir le disque dur et le mettre dans un autre portable. Pour ce qui est de la révocation, pour ce logger en local non plus ça pose pas trop de problèmes.
Par contre j'ai des mots de passe pour mes clés ssh et pour une partition criptée qui contiennent les données importantes, mais qui au finale sont loin de servir a chaque fois que j'utilise mon portable.
J'ai même hésité a mes l'empreinte aussi dessus. En effet l'empreinte n'est pas révocable mais la clé ssh criptée par l'empreinte est révocable, donc au cas ou il n'y a pas de problèmes.
Donc je suis tout à fait d'accord : les empreintes sont de faites pour l'indentification pour les éléments à haute sécuritée, mais par contre si c'est juste pour éviter que n'importe qui s'ammuse avec mon portable, ou lise mes mails lorsque mon portable traine sur mon bureau, on peut tout à fait s'en servir pour l'authentification.
Pour la sécurité il y a différents niveau et les solutions disponibles dépendent de l'importance des données à protéger. Dans mon cas ce qui n'est pas super important (ce qui est le cas des données de beaucoup de monde) est protégé par empreinte, mais ce n'est pas le cas d'éléments plus critique, tels que les clés ssh d'acces au grappe de calcul ou autre trucs pour mon boulot qui ont besoin d'un peu plus de protection.
[^] # Re: on s'en passerait bien
Posté par emanjo . Évalué à 2.
La technologie n'est pas obligatoirement utilisée pour nuire à l'homme, la biométrie pas plus qu'une autre.
[^] # Re: on s'en passerait bien
Posté par JB. Giraudeau . Évalué à 3.
Quel chercheur ne s'imagine pas les applications des technologies qu'il développe ?
[^] # Re: on s'en passerait bien
Posté par emanjo . Évalué à 3.
Je ne vois tout simplement pas en quoi le fait de développer des logiciels libres pour des applications biométriques est contraire à l'éthique (laquelle d'ailleurs?)
[^] # Re: on s'en passerait bien
Posté par alice . Évalué à 1.
*: c'est la mode chez les paranoïaques de voir des anti-technos primaires partout ou quoi?
[^] # Re: on s'en passerait bien
Posté par emanjo . Évalué à 3.
Par contre, le fait que le logiciel permettant l'utilisation de la biométrie soit libre ou pas n'a absolument aucun rapport avec une quelconque interrogation éthique. Ou alors tu te fais une idée me semble-t-il un peu disproportionnée du logiciel libre.
Tous les jours des logiciels libres servent à voler, espionner, concevoir ou fabriquer des armes et donc tuer, qu'ils aient ou non été conçu pour cela. Est-ce à l'auteur de s'auto censurer ? Et hop, à la trappe GCC !
Quant à ma paranoïa supposée, je ne me sens absolument pas ni agressé ni mis en danger par tes doutes éthiques, comme je n'ai pas particulièrement peur du monde qui m'entoure. Mais c'est gentil de t'en inquiéter, comme je m'inquiète pour toi de ta tendance à voir SURTOUT les dérives possibles.
[^] # Re: on s'en passerait bien
Posté par Tonton Benoit . Évalué à 4.
[^] # Re: on s'en passerait bien
Posté par alice . Évalué à 2.
La différence ici, c'est qu'à part les enquêtes criminelles, je ne vois pas aucun domaine d'application qui ne soit pas une dérive.
[^] # Re: on s'en passerait bien
Posté par Sylvain Sauvage . Évalué à 2.
[^] # Re: on s'en passerait bien
Posté par z a . Évalué à 2.
# Mauvaise expérience sous windows...
Posté par Christophe Merlet (site web personnel) . Évalué à 1.
J'en ai bavé.
Portable acheté en russie avec clavier russe et Windows en russe... (je rapelle que Windows ne connait qu'une seule langue à la fois...)
Sous Windows, le logiciel fournit avait un énorme BUG.
Après l'installation de windows il propose de saisir son enpreinte digital. malheureusement,impossible d'ouvrir la session après avoir enregistré son empreinte.
Après avoir longuement cherché où était le problème, réinstallé windows, retombé sur le bug... et avec un windows en russe, c'est vraiment sportif tout ça... j'ai fini par comprendre que le lecteur d'enpreinte digital ne fonctionnait que si on avait PRÉALABLEMENT saisi un mot de passe textuel. Autrement impossible d'ouvrir la session...
Sous linux, c'est l'appli ThinkFinger http://thinkfinger.sourceforge.net/ qui gère l'authentification via un module pour PAM.
Malheureusement, ayant passé un temps monstrueux à déplanter Windows, j'en suis arrivé à la conclusion que le lecteur d'empreinte n'était pas pret pour le desktop. J'ai fait l'impasse sur la config de ThinkFinger sous Linux.
Cela dit, ce projet est une excellente initiative que j'encourage.
Par contre connaissez vous des modules PAM de reconnaissance vocale ? J'ai eu une bien meilleure expérience de ce type de connexion avec Mac OS 9...
[^] # Re: Mauvaise expérience sous windows...
Posté par bubar🦥 (Mastodon) . Évalué à 1.
;)
et puis, comme le dit la dépêche, il y a des blobs fournis et fonctionnels pour linux, mais des blobs... Sur un thinkpad IBM qui en ai pourvu il est fonctionnel avec Fedora 7. (et qui n' a pas essayé d' autres parties de son corps que le doigt ? lol)
[^] # Re: Mauvaise expérience sous windows...
Posté par Anonyme . Évalué à 6.
Je rappelle quand même que l'expression « mettre ses couilles sur la table » n'est à prendre qu'au premier degré !
# Thinkfinger
Posté par ploum (site web personnel, Mastodon) . Évalué à 2.
(pour info, Thinkfinger est un projet qui implémente le support d'un type de lecteur d'empreintes particulier qui fait tout le traitement en interne)
Mes livres CC By-SA : https://ploum.net/livres.html
[^] # Re: Thinkfinger
Posté par Paddle . Évalué à 2.
L'auteur est venu se presenter sur la mailing liste.
Par contre, son projet ne supporte pas encore la derniere version du lecteur qui equipe les derniers Thinkpad (usbid=147e:2016).
Les contributions sont donc bienvenues.
# Je suis sur le cul...
Posté par Meku (site web personnel) . Évalué à 4.
Jusqu'à présent je n'avais que quelques ébauches de drivers fonctionnelles pour mon lecteur d'emprunte intégré (un AES2501). Ça capturait des images, sans les traiter derrière pour ne pas avoir de portions dupliquées (quand on laisse le doigt sur le scanner par exemple). Certains drivers utilisaient des gros blobs obscurs en hexadécimal à envoyer au périphérique pour le piloter et la plupart de ces projets ne donnaient plus beaucoup de signes de vie depuis plusieurs mois...
Et là paf !, un projet qui supporte plusieurs lecteurs d'emprunte, qui fonctionne directement avec le miens (j'ai compilé et installé, rien eu à configurer...), avec un driver propre (par rapport aux autres...) et est capable de reconnaître quel doigt j'ai passé au scanner !
Bref que du bon. Ile ne me reste plus que ma webcam intégrée qui a un driver proprio, tout le reste tourne en libre (le démon ipw3945 devrait bientôt être remplacé)... mais j'ai ouï dire que Michel Xhaard travaillait dessus ;)
[^] # Re: Je suis sur le cul...
Posté par BAud (site web personnel) . Évalué à 3.
toi tu vas être bon pour un roman fleuve et changer - au minimum - de noyau pour bénéficier de iwl3945 qui est disponible depuis quelques temps, inclus au kernel-2.6.22 notamment.
Il a l'air de fonctionner correctement pour pas mal de matériels en plus : http://hardware4linux.info/module/iwl3945/
[^] # Re: Je suis sur le cul...
Posté par Meku (site web personnel) . Évalué à 1.
[^] # Re: Je suis sur le cul...
Posté par GeneralZod . Évalué à 0.
Donc ça fait environ 6 mois. :o)
# accès au bios
Posté par nadjyla . Évalué à 2.
Je penche plutôt pour le deuxième cas.
C' est un peu bizarre d' utiliser une vérification d empreinte pour sécuriser l accès à un ordinateur, si on a accès au bios normalement .
[^] # Re: accès au bios
Posté par Phil_S . Évalué à 2.
Evidemment le soft gérant le biniou ne fonctionne que sous Windows..
Ca marche très bien, on pose ses petits doigts (ceux de sa femme et des ses bambins, éventuellement, il y a de la place). On enregistre le tout et on demande d'activer la sécurité au boot.
Et c'est là que ca devient intéressant :
Les infos sont stockées dans la ROM du scanner !
Donc la vérification fonctionne dès le boot ! Et protège donc la linuxette qui tourne derrière..
Je suis donc content d'avoir gardé une (microscopique) partition windows pour configurer l'engin.
En ce qui concerne le disque, il existe sur ces dell (gamme pro) un système vérrouillant le disque sur la machine hôte.
C'est encore une fois configuré sous Windows,mais il semble (pas plus d'info) que le disque soit inutilisabel dans une autre machine.
En ce qui concerne, enfin la substitution de la biométrie au login/mdp..
Ben j'ai "perdu" un doigt dans l'histoire., enfin ses empreintes.
J'ai un pouce qui aurait aimé être tourjours au chaud dans des gants de protection lors des phases de bricolage...
[^] # Re: accès au bios
Posté par psychoslave__ (site web personnel) . Évalué à 1.
Les braves citoyens fichent leur famille tout entière tout seuls comme des grands!
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.