Journal Microsoft voudrait de la biométrie

Posté par  . Licence CC By‑SA.
Étiquettes :
17
8
jan.
2018

On m'a mis le nez dessus : https://news.microsoft.com/features/whats-solution-growing-problem-passwords-says-microsoft/

Donc, en gros, Microsoft voudrait que tout le monde utilise la biométrie, parce que c'est mieux que les mots de passe.

Je pense que beaucoup de gens ici savent que « oui mais non », mais j'aime bien rajouter du contenu qui pourra peut-être un jour finir dans la page 1 de votre moteur de recherche favori.

Ça commence par :

Quick: Change your password again. Make sure it has a combination of capital letters, numbers and special characters. Wait, no. Instead, come up with a long random phrase that you should be able to remember. Wait, no. Stop. Stop the madness! It’s time to kill the password.

À part la dernière phrase, c'est une excellente publicité pour les gestionnaires de mot de passe.

Il y a aussi un truc marrant :

The standard approach to passwords – change them frequently, and make sure they include a combination of capital letters, numbers and special characters – is based on guidance issued in 2003 by the National Institute of Standards and Technology (NIST).

Quelqu'un peut appeler Microsoft pour leur parler de la mise-à-jour du NIST ? Car, comme le rappelle Troy Hunt :

Verifiers SHOULD NOT impose other composition rules (e.g., requiring mixtures of different character types or prohibiting consecutively repeated characters) for memorized secrets

Oui, c'est une citation extraite des documents du NIST. Le même.

Et donc, la question à 100 Bitcoins : qu'est-ce que Microsoft a à gagner dans cette affaire ? Un marché non couvert actuellement ? La main-mise sur nos secrets les plus intimes ? Ou bien c'est un complot mondial d'incompétents qui prennent les autres pour plus bêtes qu'eux ?

  • # Vendre des appareils photo

    Posté par  (site web personnel) . Évalué à 8.

    qu'est-ce que Microsoft a à gagner dans cette affaire ?

    Ils veulent vendre des appareils photo ?
    http://www.tomshardware.fr/articles/microsoft-hello-photo-reconnaissance-faciale,1-66280.html

    Adhérer à l'April, ça vous tente ?

  • # Et sur le fond?

    Posté par  . Évalué à 6. Dernière modification le 08 janvier 2018 à 15:33.

    Non, parce que c'est rigolo de taper sur Microsoft, et c'est évident que Microsoft ne communique que pour vendre ses solutions, légitimes ou non.

    Mais sur le fond, je ne vois pas le problème avec l'argument. L'identification par mot de passe est une solution inventée par les informaticiens, c'est une solution à un problème complexe, et elle n'y répond que (très) partiellement. Parmi les problèmes majeurs:

    • Ergonomie : on impose à l'utilisateur une démarche d'identification qui prend un certain temps et qui occuppe son cerveau pendant de précieuses secondes. La démarche n'a rien de naturel, elle demande d'inventer et de mémoriser des mots de passes, éventuellement complexes, de les changer régulièrement, etc.
    • Coût : Pour une entreprise, quel est le coût de l'identification par mot de passe (éventuellement, récupération des mdp perdus, stockage au coffre fort, temps perdu par tout ça, etc).
    • Fiabilité : qui n'a pas perdu un vieux mdp pour accéder à une archive ou à un ordinateur? (ex: mot de passe du BIOS), avec à la clé des pertes de données ou d'argent? (mdp d'un portefeuille BitCoin?).
    • Sécurité : utiliser un mdp faible ou un protocole trouvé met en danger les données qu'on manipule. Utiliser un mdp fort et un protocole non-trouvé met en danger la confidentialité future des données, puisqu'il est probable que dans un avenir plus ou moins proche, la puissance de calcul ou des failles découvertes permettront d'accéder au contenu.

    Bref, les mdp, c'est un peu pourri. C'est un outil technique, compliqué à utiliser, qui demande à l'utilisateur un investissement totalement inutile, et qui donne surtout l'apparence de la sécurité. On peut toujours prétendre que c'est une solution «faute de mieux», mais en réalité, c'est une solution qui n'est fiable que dans les powerpoints théoriques où on parle d'Alice et Bob. En réalité, pour la plupart des gens, c'est une galère, et il y a tellement de manières de mal les utiliser qu'au final, leur sécurité est bien plus douteuse que ce qu'il pourrait paraitre.

    En gros, l'idée de chercher des systèmes d'authentification plus fiables que le mdp ne semble pas du tout débile. Après, comment le faire est un autre problème (j'ai toujours pensé que l'utilisation d'un gadget, du type des clés qui ouvrent les voitures à distance, semble beaucoup plus simple et fiable que la biométrie, mais la sécurité reste loin d'être parfaite).

    • [^] # Re: Et sur le fond?

      Posté par  (Mastodon) . Évalué à 10. Dernière modification le 08 janvier 2018 à 15:41.

      Le truc c'est que la biométrie c'est de l'identification (comparable à donner son login), pas de l'authentification (donner son mot de passe).

      Utiliser la biométrie, et d'autant plus la reconnaissance faciale c'est comme si tu te loggais sur linuxfr en donnant amaudus comme login et amaudus comme mot de passe puisqu'il n'y a rien de secret. D'autant plus que pour que ce soit fiable et que l'utilisateur puisse se logger à tous les coups on est obligé de la rendre la plus perfectible possible sinon c'est mort à chaque changement de maquillage, coiffure, et cie.

      Autant ne plus mettre de mot de passe.

      Jami: beabb2b063da0a2f0a2acaddcd9cc1421245d5de

      • [^] # Re: Et sur le fond?

        Posté par  . Évalué à -1.

        puisqu'il n'y a rien de secret.

        Je pense que personne n'a jamais demandé qu'il y ait quoi que ce soit de secret. Ce qu'on veut, c'est être sûr que la personne qui accède au service soit la même que celle qui a créé le compte.

        Autant ne plus mettre de mot de passe.

        Bah c'est ce que j'ai l'impression de dire depuis le début, non? L'objectif est de ne plus mettre de mot de passe.

        Il y a plein de domaines où l'authentification et l'identification reviennent au même, voire pire, qu'on utilise l'authentification à la place de l'identification. Typiquement, pour avoir accès à ton compte en banque ou au site des impôts, c'est bien une identification qu'il faut. Passer par un processus d'authentification, avec quelque part une sorte de procédure pour mimer l'identification (envoi du login par voie postale…), c'est absurde.

        Ensuite, on peut très bien authentifier par la biométrie sans identifier. Par exemple, un lecteur d'empreintes digitales peut très bien t'authentifier, et ne peut t'identifier que s'il a accès à une base de données de noms. Tu pourrais même imaginer tout un tas de systèmes de hash d'une empreinte pour être certain qu'on ne puisse pas croiser les infos entre les sites.

        Bref, oui, je suis d'accord : autant ne plus mettre de mot de passe.

        • [^] # Re: Et sur le fond?

          Posté par  (Mastodon) . Évalué à 7. Dernière modification le 08 janvier 2018 à 17:10.

          remplace "mot de passe" par "sécurité".

          Il y a plein de domaines où l'authentification et l'identification reviennent au même, voire pire, qu'on utilise l'authentification à la place de l'identification. Typiquement, pour avoir accès à ton compte en banque ou au site des impôts, c'est bien une identification qu'il faut. Passer par un processus d'authentification, avec quelque part une sorte de procédure pour mimer l'identification (envoi du login par voie postale…), c'est absurde.

          Non parce que n'importe qui peut t'identifier à ta place.

          Jami: beabb2b063da0a2f0a2acaddcd9cc1421245d5de

        • [^] # Re: Et sur le fond?

          Posté par  . Évalué à 10.

          Je pense que personne n'a jamais demandé qu'il y ait quoi que ce soit de secret. Ce qu'on veut, c'est être sûr que la personne qui accède au service soit la même que celle qui a créé le compte.

          OK, j'abandonne par KO au nombre de réponses. On ne se convaincra pas mutuellement. Allez, juste une dernière.

          Comment être sûr que c'est la même personne ? En lui demandant quelque chose qu'elle a inventé. Et pas quelque chose qu'elle n'a pas choisi, comme ses empreintes digitales. Car la biométrie pose également le problème de l'identification (justement) : en admettant que le lecteur ne transmette qu'une version non réversible de l'identificateur biométrique choisi, une fois qu'on le possède, on peut accéder à TOUS les services, sans distinction. Et identifier la personne sur TOUS les services.

          La procédure d'accès en cas de décès, en cas de perte fait forcément intervenir un facteur humain. Une machine ne sait pas le faire. C'est un gros défaut de l'informatique d'aujourd'hui, et la biométrie ne le résoudra pas. Parce que si je meurs noyé dans un accident d'avion, personne ne va aller chercher ma main ou ma tête pour déverrouiller mon compte. On a la même problématique qu'avec les mots de passe.

          • [^] # Re: Et sur le fond?

            Posté par  . Évalué à 6.

            en admettant que le lecteur ne transmette qu'une version non réversible de l'identificateur biométrique choisi, une fois qu'on le possède, on peut accéder à TOUS les services, sans distinction. Et identifier la personne sur TOUS les services.

            En pratique, avec les mots de passes, c’esr pareil.
            Tout le monde réutilise le même password, ou 2-3 différents + variantes. Les gestionnaires de mot de passes ne marche pas toujours et sont au final assez peu utilisé.
            Un mot de passe fort? Cool, et quand t’as besoin de le taper 50 fois par jour, tu finit par te lasser. Ça finit écrit sur un post it, ou envoyé par IM.
            Un mot de passe, c’est facile à brute forcer, c’est chiant à retenir pour l’utilisateur. Une fois perdu, c’est une catastrophe.

            Sans compter que dire « le mot de passe, c’est bien, le biométrique c’est à chier », sans contexte ni rien, c’est un peu con.
            Le biométrique a la apple (e.g. le biométrique sert à chiffrer le mot de passe une fois tapé, et se désactive après 48 heures/premier reboot), ça marche tres bien en local (unlocker le device localement, ou donner accès a un secret localement. En gros, touchid avec Secure Enclave quoi). C’est pas plus utile qu’un mot de passe en remote par contre (service web).

            Si tu veux mon avis, le seul truc qui tienne la route en ligne, c’est le 2fa, potentiellement couple a un whitelisting de devices pour éviter la fatigue.

            En lui demandant quelque chose qu'elle a inventé.

            Oui, et en pratique, elle est pas super créative, et invente des choses triviales à réinventer.

            Linuxfr, le portail francais du logiciel libre et du neo nazisme.

        • [^] # Re: Et sur le fond?

          Posté par  (site web personnel) . Évalué à 7.

          Moi je pense surtout que tu n'as absolument pas compris ce qu'il voulait dire!

          De la biométrie, c'est de l'identification, ça ne veut absolument pas dire que c'est toi parce que tout simplement, n'importe qui peut récupérer ces informations, un mot de passe que tu es le seul à le connaître (dans la théorie certes mais reste plus sécurisé que de la biométrie).

          • [^] # Re: Et sur le fond?

            Posté par  . Évalué à 5. Dernière modification le 08 janvier 2018 à 23:15.

            Je me faisais cette réflexion : Avec la reconnaissance faciale, même si on peut générer et comparer une image 3D, obtenue par différentes prises, pour ne pas être leurré par une simple photographie, ça me semble plus compliqué de pas se laisser berner par une reproduction en 3D du visage de la victime. Alors certes, ça se fait pas en claquant des doigts mais à partir du moment où un attaquant peut photographier le visage de la victime au péalable, réaliser une « marotte » pour ensuite déverrouiller le système ciblé doit être envisageable. Et moins risqué que l’utilisation de drogue avec une clé à molette…

            À priori, Apple procède effectivement par reconstruction 3D, je me pose donc une question : Avec la précision des appareils photo qui équipent les smartphones, pourquoi n’utilise-t-on pas, au lieu ou en sus de la 3D, la reconnaissance rétinienne ? Cela semble plus sérieux si on tient à utiliser la biométrie. Comme ça été dit, les empreintes digitales peuvent disparaître sous certaines conditions médicales, l’aspect de l’iris ne serait-il pas « plus disponible » ?

            Oui mais du coup l’attaque par utilisation d’une photo redevient possible :) Par contre c’est plus dur de venir photographier l’iris de quelqu’un en mode macro… au télé-objectif c’est tendu…

            • [^] # Re: Et sur le fond?

              Posté par  . Évalué à 2.

              pourquoi n’utilise-t-on pas, au lieu ou en sus de la 3D, la reconnaissance rétinienne ?

              ça arrive : https://www.theguardian.com/technology/2017/may/23/samsung-galaxy-s8-iris-scanner-german-hackers-biometric-security

              Le problème de l'iris, c'est qu'il faut une photo de bonne qualité, avec le bon cadrage, c'est assez compliqué à faire bien avec un smartphone. En plus, pour les yeux clair, ça marche bien en lumière blanche mais pour les yeux foncés, c'est mieux avec un flash IR, et donc il faut pas que les IR soient filtrés par l'appareil, il faut avoir les deux flashs, etc.

              • [^] # Re: Et sur le fond?

                Posté par  (site web personnel, Mastodon) . Évalué à 8.

                Pour faire ça correctement ça devient vite assez compliqué.

                En gros, si tu prends juste une image de l'iris, n'importe qui avec une photo de tes yeux peut s'en sortir (bon c'est pas simple, mais…)

                Pour éviter ça, les "vrais" scanners d'iris envoient des impulsions lumineuses, et l'oeuil va réagir en ouvrant ou refermant l'iris. Du coup, on peut prendre plusieurs images et vérifier que c'est bien un oeuil vivant en face.

                Ensuite il ne reste plus qu'à faire la reconnaissance d'image.

                Et ça ne règle toujours pas le problème mentionné auparavant qu'il faut une solution de secours en cas de décès/je me suis crevé un oeuil dans un accident. Et aussi le fait que tu ne peut jamais changer d'identifiant, et on peut donc savoir que c'est la même personne qui se connecte à différents services (tu voulais juste t'authentifier, mais on en profite pour t'identifier et te tracer). Bon, à la limite, on a deux yeux, mais…

                • [^] # Re: Et sur le fond?

                  Posté par  . Évalué à 7.

                  On en revient à la la base : que protège-t-on et contre quoi ? Et à mon avis, la protection par mot de passe telle que nous la connaissons (ou variante améliorée) a encore de longs jours devant elle, car :

                  • c'est relativement simple et pas cher à implémenter
                  • le niveau de sécurité est largement suffisant pour beaucoup d'utilisation

                  C'est comme le système clé/serrure mécanique de tous les jours: ça reste suffisamment simple à utiliser et suffisamment sécurisé dans la plupart des cas.

        • [^] # Re: Et sur le fond?

          Posté par  . Évalué à 10.

          Il semble y avoir une grosse incompréhension sur les concepts d'identification et authentification là. Reprenons depuis le début…


          L'identification, c'est le fait de disposer d'un identifiant unique pour savoir à qui, à quoi on fait référence.
          Exemple d'identification : numéro de sécu, numéro de passeport, ton nom d'utilisateur sur LinuxFr (arnaudus), ton numéro de client chez ta banque.

          Comme on peut voir, un identifiant n'est souvent pas secret et peut parfois/souvent être deviné : si je connais le sexe, la date et commune de naissance d'une personne, j'ai presque tout son numéro de sécu ; les numéros de clients sont souvent incrémentés, les systèmes informatiques des mutuelles et assurances contiennent pleins de numéros de sécu, etc.

          La connaissance de l'identifiant n'est clairement pas suffisante pour donner accès à un système. Par exemple, si je me pointe dans une banque (ou sur le site web) avec un numéro de compte valide qui n'est pas le mien, on espère bien qu'ils ne vont pas me laisser de l'argent ou consulter les détails du compte !

          Idem sur un site, tout le monde connaît ton identifiant sur LinuxFr (arnaudus), il est évident que la seule possession de l'identifiant ne devrait pas permettre de poster des journaux avec le compte associé.

          Si je vais sur les sites des impôts avec le numéro d'imposition de mon voisin, je ne devrais pas y avoir accès.


          D'où le deuxième concept, l'authentification : le fait de prouver qu'un identifiant appartient bien à la personne qui souhaite l'utiliser.

          Plusieurs façons de faire, qui peuvent se combiner (les fameux 2/3/4 factor authentication) :

          • quelque chose que je sais, par exemple un mot de passe, que personne que moi ne sait ou ne peut deviner;
          • quelque chose que je possède, par exemple un clé ou un générateur de token, et que personne d'autre ne possède;

          On pourrait étendre à :

          • un autre système qui m'a authentifié et auquel je fais (relativement) confiance, par exemple ma boite mail ou mon téléphone.
          • quelque chose que je "suis", c'est-à-dire la biométrie, comme facteur supplémentaire (!!!) et j'y reviendrai.

          Donc, typiquement pour les impôts, la banque, et autres, c'est bien de l'authentification qu'il faut, et non une simple identification qui pourrait être devinée, lue par dessus ton épaule ou dans une lettre égarée par la poste, entendue au détour d'une conversation téléphonique. Il faut prouver que l'identifiant qui représente le compte que l'on veut accéder nous appartient bien. C'est l'authentification.

          Si le "ce que je sais" n'est pas secret, toute autre personne qui le "sait" peut prétendre être le détenteur légitime de l'identifiant. Si ton mot de passe n'est pas secret, il n'a aucun valeur en tant que moyen d'authentification.

          Idem pour "ce que je suis". C'est là que réside le problème de la biométrie : ça n'a rien de secret ! Il a probablement des centaines de photos du visage de chacun sur Facebook/Twitter/Dispora, prises à des soirées, des dîners d'entreprise, pendant les vacances, par des caméras de surveillance vidéoprotection au supermarché, dans la rue, partout. Le visage de quelqu'un n'est pas secret.
          Pareil pour les empreintes, elles sont sur le téléphone, sur ton bureau, sur la verre d'eau au resto, la bière au bistrot du coin, la rampe d'escalier.

          Les facteurs biométriques seuls ne constituent pas un moyen suffisant d'authentification.


          Ceci dit, une approche intéressante est de les utiliser comme moyens d'authentification supplémentaires (un mot de passe + empreinte digitale), ou bien pour réactiver une session. Par exemple, j'ai un mot de passe à rallonge (~30 caractères) et je verrouille systématiquement ma session quand je m'absente. Je pourrais utiliser une empreinte digitale pour déverrouiller ma session après une absence de moins de 5 minutes (typiquement quand je vais aux toilettes). Je juge que le risque qu'une personne malintentionnée en possession de mon empreinte digitale profite de l'opportunité est acceptable pour moi.

          Pour compléter, un article (de Microsoft) qui explique justement ça. L'identification c'est "Qui es-tu ?", l'authentification c'est "Comment est-ce que tu peux me le prouver ?".

          • [^] # Re: Et sur le fond?

            Posté par  . Évalué à 4.

            un autre système qui m'a authentifié et auquel je fais (relativement) confiance, par exemple ma boite mail ou mon téléphone.

            Bah, quand je lis ce genre d'article, ou ça, j'éviterais de mettre mes secrets dans mon téléphone.

            • [^] # Re: Et sur le fond?

              Posté par  (site web personnel) . Évalué à 3.

              Moui, ça n'a pas forcément de rapport. Oui si tu donnes à Candy Crush accès au micro il pourra t'écouter, mais il n'aura pas pour autant accès à la BDD de ton appli de SMS par exemple.

    • [^] # Re: Et sur le fond?

      Posté par  . Évalué à 6.

      une solution inventée par les informaticiens

      Non, ça vient plutôt du cadena à code.

      « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

      • [^] # Re: Et sur le fond?

        Posté par  . Évalué à 1.

        Je pense que ça vient plutôt des méthodes de chiffrage utilisées par les militaires depuis longtemps. Le cadenas à code, c'est un procédé mécanique qui ressemble plus à une serrure qu'à du chiffrage, et il faut être présent physiquement pour ouvrir un cadenas à code (l'équivalent moderne serait les lecteurs biométriques qui servent de serrure. Est-ce que tu as jamais eu à taper un mot de passe pour rentrer dans un bâtiment sécurisé? Les mdp ne sont en général pas utilisés pour le contrôle d'accès à des lieux physiques).

        • [^] # Re: Et sur le fond?

          Posté par  . Évalué à 10.

          Est-ce que tu as jamais eu à taper un mot de passe pour rentrer dans un bâtiment sécurisé?

          Oui, sur un digicode (si par bâtiment sécurisé, tu entends local poubelle).

          « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

          • [^] # Re: Et sur le fond?

            Posté par  . Évalué à 3.

            Les digicodes sont assez courant de nos jours pour accéder à des copropriétés ou à des immeubles.

        • [^] # Re: Et sur le fond?

          Posté par  (site web personnel) . Évalué à 5.

          Est-ce que tu as jamais eu à taper un mot de passe pour rentrer dans un bâtiment sécurisé?

          Oui, tous les jours. Dans mon labo, l’accès est contrôlé par badge et digicode (le code étant propre à chaque badge).

    • [^] # Re: Et sur le fond?

      Posté par  . Évalué à 3.

      Fiabilité : qui n'a pas perdu un vieux mdp pour accéder à une archive ou à un ordinateur? (ex: mot de passe du BIOS), avec à la clé des pertes de données ou d'argent? (mdp d'un portefeuille BitCoin?).

      C'est exactement ce que je demande à un mot de passe. Si le l'ai perdu, c'est tant pis.

      Coût : Pour une entreprise, quel est le coût de l'identification par mot de passe (éventuellement, récupération des mdp perdus, stockage au coffre fort, temps perdu par tout ça, etc).
      Le coût sera le même quel que soit la méthode d'authentification, puisqu'il faut stocker un secret côté serveur. Le coût de récupération est autrement plus élevé quand il s'agit d'autre chose que d'un mot de passe puisque ça nécessite des étapes supplémentaire (envoi d'un jeton physique, vérification de l'identité par un humain, …).

      Ergonomie : on impose à l'utilisateur une démarche d'identification qui prend un certain temps et qui occuppe son cerveau pendant de précieuses secondes. La démarche n'a rien de naturel, elle demande d'inventer et de mémoriser des mots de passes, éventuellement complexes, de les changer régulièrement, etc.

      Gestionnaire de mots de passe. Gestionnaire de mots de passe. Gestionnaire de mots de passe.

      Sécurité : utiliser un mdp faible ou un protocole trouvé met en danger les données qu'on manipule. Utiliser un mdp fort et un protocole non-trouvé met en danger la confidentialité future des données, puisqu'il est probable que dans un avenir plus ou moins proche, la puissance de calcul ou des failles découvertes permettront d'accéder au contenu.

      Une dernière pour la route : gestionnaire de mots de passe.

      • [^] # Re: Et sur le fond?

        Posté par  (site web personnel) . Évalué à 4.

        Gestionnaire de mot de passe qui, pour éviter de les disséminer à tous vents, les protègera derrière un… mot de passe :-)

        • [^] # Re: Et sur le fond?

          Posté par  . Évalué à 10.

          Tu peux prendre un autre gestionnaire de mots de passe pour gérer celui-là !

        • [^] # Re: Et sur le fond?

          Posté par  (site web personnel, Mastodon) . Évalué à 6.

          Protégé par un mot de passe ET une clé privée (qu'on ne stockera bien sur pas au même endroit!)

          Moi j'aimerais bien m'authentifier auprès de sites internets en utilisant des certificats SSL. HTTPS le permet, de la même façon qu'il permet d'authentifier le site auquel on se connecte. Mais l'interface utilisateur dans tous les navigateurs est inutilisable voire inexistante.

          Je crois que les impôts en France ont utilisé ce système quelques temps, mais ont vite laissé tomber face à la complexité et au nombre de personnes qui revenaient pleurer tous les ans qu'ils avaient perdu leur certificat.

          • [^] # Re: Et sur le fond?

            Posté par  (site web personnel) . Évalué à 5.

            Je crois que les impôts en France ont utilisé ce système quelques temps, mais ont vite laissé tomber face à la complexité et au nombre de personnes qui revenaient pleurer tous les ans qu'ils avaient perdu leur certificat.

            J’ai commencé à payer des impôts en France pile au moment où ce système était en vigueur (2008), je m’en souviens très bien.

            Il y avait principalement deux problèmes :

            • Lors de la première connexion d’un nouveau télédéclarant, son certificat devait être généré localement via une applet Java (qui se chargeait de générer une paire de clefs et une CSR, et d’envoyer la CSR se faire signer par l’autorité fiscale), et le moins qu’on puisse dire est que cet applet fonctionnait pas out-of-the-box chez tout le monde (autant pour le Write once, run everywhere …).

            • Une fois le certificat et la paire de clefs générés, il fallait comprendre que c’était cet obscur fichier .p12 qui allait désormais servir à s’authentifier sur le site des impôts, ce que beaucoup d’utilisateurs n’ont pas compris.¹ Dans le cas idéal (l’utilisateur qui n’a pas changé de machine ou de navigateur d’une année sur l’autre), ça se passe de manière transparente (le navigateur a conservé le certificat dans son magasin interne et le présente automatiquement au serveur des impôts), mais dès qu’on s’écarte de ce cas… « c’est quoi cette histoire de certificat qu’on me demande, là ? »


            ¹ À la décharge des utilisateurs je ne crois pas que ça ait jamais été convenablement expliqué sur le site des impôts.

          • [^] # Re: Et sur le fond?

            Posté par  (site web personnel) . Évalué à 10.

            Je crois que les impôts en France ont utilisé ce système quelques temps, mais ont vite laissé tomber face à la complexité et au nombre de personnes qui revenaient pleurer tous les ans qu'ils avaient perdu leur certificat.

            C'est compliqué parce que c'était mal foutu, soyons honnêtes. En plus il y avait une dépendance à la dernière version de Java officielle, etc.

            En Belgique par exemple toutes les cartes d'identité ont une puce numérique contenant bien entendu de quoi authentifier par clé numérique qu'une action numérique est faite par l'utilisateur. Du coup en Belgique les sites officiels sont accessibles par ce biais, ça fonctionne très bien. C'est très simple, pas très cher, pas besoins de nouveaux identifiants ou de demander quelque chose à l'État (contrairement à aujourd'hui en France où l'État t'envoie l'identifiant).

            • [^] # Re: Et sur le fond?

              Posté par  (site web personnel, Mastodon) . Évalué à 2.

              En Belgique par exemple toutes les cartes d'identité ont une puce numérique contenant bien entendu de quoi authentifier par clé numérique qu'une action numérique est faite par l'utilisateur. Du coup en Belgique les sites officiels sont accessibles par ce biais, ça fonctionne très bien. C'est très simple, pas très cher, pas besoins de nouveaux identifiants ou de demander quelque chose à l'État (contrairement à aujourd'hui en France où l'État t'envoie l'identifiant).

              C'est une solution très intéressante. Peux-tu détailler un peu comment ça fonctionne ? En particulier, je me pose ces deux questions :

              • en cas de perte ou vol de ta carte d'identité, la personne qui l'a trouvée ou volée peut-elle s'en servir pour se connecter aux sites du service public avec ton identité ? j'espère que c'est une authentification à deux facteurs, sinon c'est bien trop simple de voler une identité…
              • techniquement, comment ça fonctionne ? si je veux m'identifier/authentifier sur le site des impôts avec ma carte d'identité à puce, est-ce qu'il me faut un équipement particulier ? (lecteur de carte, récepteur NFC ?).
              • [^] # Re: Et sur le fond?

                Posté par  (site web personnel) . Évalué à 9.

                en cas de perte ou vol de ta carte d'identité, la personne qui l'a trouvée ou volée peut-elle s'en servir pour se connecter aux sites du service public avec ton identité ?

                Faut entrer le code pin de la carte, comme pour ta carte bancaire pour l'utiliser. Et comme pour la CB, 3 échecs successifs et il faut le code PUK ou refaire la carte.

                Ce n'est pas infaillible mais c'est pas mal. Et en cas de perte ou de vol tu le signales aux autorités pour l'invalider et en faire une nouvelle. Cela me semble suffisant.

                techniquement, comment ça fonctionne ? si je veux m'identifier/authentifier sur le site des impôts avec ma carte d'identité à puce, est-ce qu'il me faut un équipement particulier ? (lecteur de carte, récepteur NFC ?).

                Il faut un lecteur de carte et un logiciel adapté sur ton ordinateur.
                Le lecteur de carte est peu cher (le mien a coûté 10€) et le site officiel de l'État propose un middleware libre (pour Windows / MacOS / Linux) et des extensions pour Firefox, Chrome, etc. Bref c'est plutôt bien géré de ce côté.

                Quand tu te connectes au site des impôts donc, le plugin du navigateur va demander de saisir le code pin pour que l'authentification se fasse.

                • [^] # Re: Et sur le fond?

                  Posté par  . Évalué à 3.

                  J'aime bien le prioncipe, ça me paraît un bon compromis: pas trop compliqué, et plutôt bien sécurisé. mais certains vont encore trouvé ça trop compliqué et demander un truc sans contact qui fait tout tout seul.

                • [^] # Re: Et sur le fond?

                  Posté par  (site web personnel) . Évalué à 3.

                  le site officiel de l'État propose un middleware libre (pour Windows / MacOS / Linux) et des extensions pour Firefox, Chrome, etc. Bref c'est plutôt bien géré de ce côté.

                  Quand tu te connectes au site des impôts donc, le plugin du navigateur va demander de saisir le code pin pour que l'authentification se fasse.

                  Intéressant mais pourquoi faut-il un middleware spécifique et des plugins qui vont avec ? Il existe des standards pour ce genre de choses (PKCS#11 notamment).

                  • [^] # Re: Et sur le fond?

                    Posté par  (site web personnel) . Évalué à 5.

                    Euh au hasard parce que si tu dis au premier citoyen venu "boah c'est facile vous avez juste besoin d'un lecteur de carte à puce norme ISO5632 et une implémentation de PKCS11 c'est facile non ?" ça va moyen marcher ? Qui te dis que c'est "spécifique" et pas juste un moyen simple de télécharger un truc libre standard, mais accessible en un clic et qui configure tout bien ?

                  • [^] # Re: Et sur le fond?

                    Posté par  . Évalué à 2.

                    Le middleware en question, c'est précisément la lib PKCS#11, de mémoire. PKCS#11 c'est une API C qui abstrait les appels à un token crypto, mais faut coder les appels cartes.

                    À ma connaissance, il n'existe rien de standardisé pour les appels cartes et/ou PKCS#11 depuis une page web, sur aucun navigateur.

                    • [^] # Re: Et sur le fond?

                      Posté par  (site web personnel) . Évalué à 2.

                      Mais pourquoi la page web devrait-elle « faire des appels cartes » ?

                      Je m’authentifie auprès de mon propre site via un certificat client. Ledit certificat est stocké sur une carte à puce, mais le serveur n’a jamais besoin de le savoir. Ma carte (et le certificat qu’elle contient) est rendue disponible au navigateur via PKCS#11, et lorsque je tente de me connecter à mon site mon navigateur présente le certificat au serveur. Jamais le site n’a besoin de « faire des appels cartes. »

                      Je veux bien croire qu’il y a des raisons précises qui justifient le recours à un middleware spécifique permettant aux sites gouvernementaux de parler directement à la carte, mais précisément j’aimerais savoir quelles sont ces raisons…

                      • [^] # Re: Et sur le fond?

                        Posté par  . Évalué à 3. Dernière modification le 15 janvier 2018 à 11:57.

                        Mais pourquoi la page web devrait-elle « faire des appels cartes » ?

                        Pas spécialiste des limitations des navigateurs web avec PKCS#truc ni des choix d'architecture sécu faits par la Belgique dans le cas précis, mais j'imagine que conceptuellement un "appel carte" pourrait être souhaitable pour signer une transaction spécifique (genre une déclaration de revenus) indépendamment de l'authentification dans le tunnel ssl lui même ?

                        • [^] # Re: Et sur le fond?

                          Posté par  (site web personnel) . Évalué à 3.

                          j'imagine que conceptuellement un "appel carte" pourrait être souhaitable pour signer une transaction spécifique (genre une déclaration de revenus) indépendamment de l'authentification dans le tunnel ssl lui même ?

                          Pourquoi pas en effet, mais Renault parlait spécifiquement de l’authentification de l’usager auprès du serveur (« Quand tu te connectes au site des impôts donc, le plugin du navigateur va demander de saisir le code pin pour que l'authentification se fasse »), un cas de figure qui ne nécessite pas de « transaction spécifique » et peut se faire avec le support standard des navigateurs pour PKCS#11.

                          Si la carte doit permettre de faire plus que simplement permettre à son titulaire de s’authentifier ou de signer un message S/MIME, alors effectivement le recours à un middleware ad-hoc devient logique (et bravo aux services gouvernementaux belges pour développer et fournir un tel middleware libre et multi-plateforme). Sinon, c’est du NIH.

                          • [^] # Re: Et sur le fond?

                            Posté par  . Évalué à 2. Dernière modification le 15 janvier 2018 à 13:27.

                            Pourquoi pas en effet, mais Renault parlait spécifiquement de l’authentification de l’usager auprès du serveur (« Quand tu te connectes au site des impôts donc, le plugin du navigateur va demander de saisir le code pin pour que l'authentification se fasse »),

                            (le gras est de moi)
                            Non, il ne parle pas de l'auth. auprès du serveur mais de l'appli.

                            peut se faire avec le support standard des navigateurs pour PKCS#11.

                            Oui, mais l'implémentation de PKCS#11 est spécifique à la carte ! Le middleware en question, c'est PKCS#11 !

                      • [^] # Re: Et sur le fond?

                        Posté par  . Évalué à 3. Dernière modification le 15 janvier 2018 à 12:08.

                        OK, je crois que je vois ce que tu veux dire. En gros, ce que tu veux, c'est possible en faisant l'authentification au niveau transport directement par TLS (le connecteur PKCS#11, il n'est que là, les certificats aussi).

                        Ça répond au besoin d'authentification, mais au niveau de l'applicatif, tu as surtout un besoin de l'identification. Et dans ce cas, il faut que le serveur web transfert l'identification à l'applicatif. Ce n'est pas impossible, mais c'est pas quelque chose de très répandu. En plus, ça fait mélanger la logique dans les couches réseau plus basse ; ce n'est pas forcement souhaitable.

      • [^] # Re: Et sur le fond?

        Posté par  . Évalué à 3.

        C'est exactement ce que je demande à un mot de passe. Si le l'ai perdu, c'est tant pis.

        J'ai l'impression qu'on est un peu décalés. C'est ce que tu demandes à un mot de passe si tu veux, mais justement, j'essaye d'argumenter que les mdp sont une mauvaise méthode d'authentification à cause de plusieurs facteurs, dont celui de la perte.

        Quand tu mets un mot de passe, tu ne le fais pas pour le plaisir de mettre un mot de passe. Ce que tu veux, c'est mettre en place un système d'authentification afin de t'assurer que toi et toi seul puisse dans le futur accéder à un service. Tu t'en fous que la méthode passe par un mdp ou par une autre technologie, ou alors, tu es un fétichiste du mot de passe ou un truc comme ça. Bref, quand tu viens 10 ans après, que tu essayes d'accéder à un service où un tel accès est légitime (par exemple un PC qui t'appartient), et que tu ne peux plus y accéder (parce que tu as perdu ton mdp par exemple), alors le problème vient de la méthode d'authentification, qui est faillible, et pas de toi!

        Imagine que tu te pointes à la banque pour récupérer tes sous, qu'on te demande ton code de carte, et que tu l'aies oublié. Tu serais content si on te disait "ah bah mon brave, vos sous sont perdus"? Non, tu dirais que tes sous sont à toi, et que leur méthode d'authentification/identification est merdique. C'est exatcement la même chose pour un mot de passe. Le fait que la méthode ait de gros inconvénients prouve que ça n'est pas un bon moyen d'authentification ou d'identification.

        gestionnaire de mots de passe.

        C'est mettre un coffre fort dans un coffre fort. Ça n'est pas du tout une solution réelle pour régler le problème. Pour plein de raisons ; si tu ne veux pas perdre ta base de données, il faut la mettre à l'abri, la mettre sur le cloud ou sur des supports physique, ce qui multiplie le risque qu'un tiers y accède… et craque ton mdp maitre. Le reste des problèmes est exactement identique à l'identification par mdp : possibilité de craquer le mdp (et donc d'accéder illégitimement aux services), possibilité de perdre le mdp (et donc de ne plus pouvoir accéder à des services auquel on aurait le droit d'accéder), logistique du stockage, de la sauvegarde, etc. du gestionnaire de mdp ; problème quand on a plusieurs appareils à connecter… Bref, ça n'est pas une solution du tout, c'est plutôt une rustine sur une jambe de bois.

        Il y a un autre problème que je n'ai pas mentionné également, le fait qu'un mdp sur un système sécurisé n'autorise pas un accès légitime par un tiers (décès, absence imprévue, licenciement, enquête de justice…). Toute la difficulté est de définir ce qu'est un accès légitime, mais le chiffrage par mot de passe de fait aucune subtilité et s'il est bien fait bloque tout accès, qu'il soit légitime ou non. Encore une fois, heureusement que dans la vraie vie, les situations peuvent se débloquer parce qu'il existe des moyens de le faire.

        • [^] # Re: Et sur le fond?

          Posté par  . Évalué à 10.

          J'ai l'impression qu'on est un peu décalés. C'est ce que tu demandes à un mot de passe si tu veux, mais justement, j'essaye d'argumenter que les mdp sont une mauvaise méthode d'authentification à cause de plusieurs facteurs, dont celui de la perte.

          Bah, je dirais que tu généralises : tout dépend de ce que tu protèges. Il y a des cas ou tu préfèreras perdre l'information en cas de perte de mot de passe, et d'autre cas ou tu préfèreras trouver un moyen de récupération.

          Ce que tu veux, c'est mettre en place un système d'authentification afin de t'assurer que toi et toi seul puisse dans le futur accéder à un service.

          oui …

          Bref, quand tu viens 10 ans après, que tu essayes d'accéder à un service où un tel accès est légitime (par exemple un PC qui t'appartient), et que tu ne peux plus y accéder (parce que tu as perdu ton mdp par exemple), alors le problème vient de la méthode d'authentification, qui est faillible, et pas de toi!

          Non, le problème vient de toi. Ce que tu dis, c'est remettre en cause le système de clé et de serrure parce que tu n'es pas en mesure d'ouvrir ta porte lorsque tu as perdu ta clé. Si tu veux pouvoir rentrer chez toi sans casser ta porte, tu dépose un double de tes cléés chez une personne de confiance. Qu'est-ce qui t'empêche de faire pareil pour un mot de passe ?

          Je ne suis pas un fanatique des mots de passe, mais pour moi le réel problème des mots de passe, c'est que tout le monde ne sait pas exactement comment ça marche (c'est comme ta clé de maison : si tu le perds tu perds accès à tes données, si tu le diffuses, c'est comme si tu donnais un double de ta clé de maison. Si tu utilises le même mot de passe partout, c'est comme si tu utilisais la même clé pour ta voiture, ton appart, ton garage, ta résidence secondaire, etc …, etc …). Mais parce que c'est de l'informatique, on voudrait que ce soit magique et que ça fasse n'importe quoi.

        • [^] # Re: Et sur le fond?

          Posté par  . Évalué à 7.

          Bizarre que personne ne l'ait fait. Je me dévoue :

          s'il est bien fait bloque tout accès, qu'il soit légitime ou non.

          xkcd
          https://xkcd.com/538/

          Mais ça marche aussi (encore plus facilement) pour les empreintes ou l'iris ou tout caractère biométrique…

      • [^] # Re: Et sur le fond?

        Posté par  . Évalué à 6. Dernière modification le 08 janvier 2018 à 16:56.

        Une dernière pour la route : gestionnaire de mots de passe.

        Qui n'est qu'un pis-aller car l'authentification par mdp c'est pourri : soit c'est par fiable, soit c'est une machine qui le retient, donc fait l'authentification. Et dans ce cas autant utiliser des solutions plus fortes (type OTP / token crypto), AMHA.

        Après, je ne suis pas sûr que la biométrie soit la bonne solution non plus. Pour avoir pas mal travaillé autour, je relève notamment les problèmes suivants :
        1. stockage des informations biométrique : autant que je sache, on ne sait pas1 stocker ces infos sous une forme qui serait équivalente à un haché-salé d'un mdp ; on stocke "en plain text", ce qui est pour moi très embêtant, notamment dans un système centralisé (comme en Inde, par exemple ou en France)2 ;
        2. non révocabilité / reproductibilité : comment on fait une fois qu'on a déjà utilisé ses 10 doigts ? Surtout si la DB qui les contenait a leaké (et que 1)
        3. non fiabilité : c'est une plaie de trouver des niveaux corrects de fausse acceptation, faux rejet qui permettent à des utilisateurs d'avoir des problèmes de santé (doigts qui pèlent, conjonctivite, etc.) sans rester à la porte.

        Ceci dit la biométrie continue offre une perspective intéressante d'un device qui collecte des indications d'identification et transmet une conviction sous forme de jeton d'authentification (un peu à la FIDO).

        1 Enfin, presque pas : voir https://hal.inria.fr/hal-01076676/document ou https://tel.archives-ouvertes.fr/GREYC-MONEBIOM/hal-01269208v1 , par exemple.
        2 Il existe des solutions plus respectueuses de la vie privé, comme par exemple le stockage sur carte à puce (supposée raisonnablement résistante) des infos bio et un algo de MOC (match-on-card), solution qui était recommandée par la CNIL pour les CNI biométriques.

        • [^] # Re: Et sur le fond?

          Posté par  . Évalué à 2.

          Du coup, toi qui connais le domaine, quels sont les problèmes liés à l'utilisation d'un "bidule" type télécommande de bagnole, éventuellement associé à un contrôle biométrique de base (empreinte du doigt qui active le dispositif?). L'idée serait d'avoir un appareil muni d'un interrupteur, suffisamment petit pour qu'on l'ait toujours sur soi… Le problème de la carte à puce, ça reste quand même la nécessité d'avoir un lecteur et de taper un code, mais par contre, l'existence d'un appareil physique sécurise quand même énormément le système…

          • [^] # Re: Et sur le fond?

            Posté par  (site web personnel) . Évalué à 2.

            Le problème de la carte à puce, ça reste quand même la nécessité d'avoir un lecteur et de taper un code

            Non justement si j'ai bien compris l'histoire de match-on-card, tu ne tapes pas de code, ton empreinte est justement le code. Et comme pour une carte à puce qui valide un PIN mais ne le révèlera pas, elle ne peut pas (raisonnablement) être sorti de la puce par un attaquant.

            • [^] # Re: Et sur le fond?

              Posté par  . Évalué à 1.

              C'est bien ça pour le Match-on-Card. Par contre, pour l'utiliser pour t'authentifier sur ton PC, il faut bien communiquer avec la carte.

              Ceci dit, on commence à trouver des PC avec lecteur NFC intégrés, http://euro.dell.com/fr/fr/corp/Portables/latitude-e6530/pd.aspx?refid=latitude-e6530&s=corp, par exemple, mais ça ne semble pas tout à fait out-of-the-box : https://blog.g3rt.nl/enable-dell-nfc-contactless-reader.html .

              • [^] # Re: Et sur le fond?

                Posté par  (site web personnel, Mastodon) . Évalué à 2.

                Il y a du NFC dans la plupart des téléphones aussi, non? On peut pas utiliser ça?

                Le mien est également équipé d'un lecteur d'empreintes digitales, que je peux utiliser pour déverrouiller mon compte Google associé au dit téléphone (y compris pour y accéder depuis d'autres machines).

                • [^] # Re: Et sur le fond?

                  Posté par  . Évalué à 2. Dernière modification le 11 janvier 2018 à 12:14.

                  Il y a du NFC dans la plupart des téléphones aussi, non? On peut pas utiliser ça?

                  Si si, c'est possible ; c'est par exemple ce qui est proposé par OpenKeyChain pour chiffrer/signer en PGP en utilisant une Yubikey.

                  En pratique, c'est vite relou (il faut coller la carte derrière le téléphone, au bon endroit). En plus, le NFC a plusieurs versions, il faut que la carte et le téléphone soient du même type.

        • [^] # Re: Et sur le fond?

          Posté par  (site web personnel) . Évalué à 2.

          1. stockage des informations biométrique : autant que je sache, on ne sait pas1 stocker ces infos sous une forme qui serait équivalente à un haché-salé d'un mdp ; on stocke "en plain text", ce qui est pour moi très embêtant, notamment dans un système centralisé (comme en Inde, par exemple ou en France)2 ;

          Mais ça n'est pas gênant que si on arrive à recréer un truc équivalent à ton empreinte et/ou ton oeil à partir de ces informations ?

          J'avais cru comprendre que justement, c'est une approximation de ton doigt qui est pris et qu'on regarde le positionnement des différents sillons, etc. Même si on arrive à refaire des empreintes sans trop de matos (cf demo du CCC y a longtemps) avec par exemple un verre, je suis pas sur qu'il existe de quoi refaire une empreinte sur la base des infos stockés dans une base (ça ou la même chose pour l'iris).

          • [^] # Re: Et sur le fond?

            Posté par  . Évalué à 5.

            Peu importe, théoriquement si tu arrives à générer n'importe quel "truc équivalent" validant les conditions stockées la porte est alors ouverte, c'est donc même plus facile car tu n'as aucunement besoin d'avoir accès au "vrai truc".
            Sinon de l'IA qui crée une image à partir de sa description cela existe déjà, je t'invites à taper Generative Adversarial Networks sur google (avec un peu de temps en réserve car c'est captivant) :)

            • [^] # Re: Et sur le fond?

              Posté par  (site web personnel, Mastodon) . Évalué à 4.

              (avec un peu de temps en réserve car c'est captivant) :)

              Vous voulez lire quelque chose de captivant sur la biométrie ? Essayez donc « La main froide » de Serge Brussolo !-)

            • [^] # Re: Et sur le fond?

              Posté par  (site web personnel) . Évalué à 2.

              Non, mais je parle du matériel pour refaire une fausse empreinte digital en pratique (ou d'une fausse iris).

              Parce que bien sur, un adversaire avec suffisament de pognon pourrait sans doute rentrer chez moi, et utiliser ça pour deverouiller mon appareil. mais ça requiert des préparations, une proximité physique, et sans doute du matos cher.

              Et si on parle d'un état, y a des chances que l'état est justement déjà une photos des empreintes. Mais quid justement d'un adversaire avec moins de ressources (exemple, un collégue malicieux, un stalker, un ex petit ami tourné sur la technique), quel investissement est requis ?

          • [^] # Re: Et sur le fond?

            Posté par  (Mastodon) . Évalué à 4.

            Comme dit plus haut si tu connais les conditions d'identification à partir de ce qui est stocké c'est d'autant plus facile de créer une empreinte "minimale" pour donner l'accès.

            Jami: beabb2b063da0a2f0a2acaddcd9cc1421245d5de

          • [^] # Re: Et sur le fond?

            Posté par  (site web personnel) . Évalué à 10.

            J'avais cru comprendre que justement, c'est une approximation de ton doigt qui est pris et qu'on regarde le positionnement des différents sillons, etc.

            Plus exactement, ce qui est stocké est normalement une liste de coordonnées avec une caractéristique du sillon pour une empreinte digitale (après de souvenir un capteur d'iris repose sur le même concept).

            C'est-à-dire qu'on stocke "au point X,Y nous avons une caractéristique de type Z et d'orientation A", une caractéristique pouvant être un embranchement du sillon de l'empreinte, un îlot ou un autre élément particulier.

            Le système est en général incapable de tout détecter à chaque mesure, donc on ne s'intéresse à la validité que d'un certain nombre de points en même temps.

            Les capteurs ont beaucoup progressé sur la question, mais pour avoir travaillé dessus sur un petit projet, le capteur d'empreinte a les inconvénients suivant :

            • C'est sensible à la pression (si tu presses fortement, le doigt se dilate et certaines caractéristiques disparaissent), d'où le fait qu'à la configuration on demande de repositionner le doigt et de varier la pression pour avoir un bel échantillonnage ;
            • Un doigt ça se perd, par accident ;
            • Si tu te coupes sur l'empreinte, ça ne fonctionnera pas le temps de la cicatrisation, si la cicatrice disparaît ;
            • De même pour les brûlures ;
            • Reproduire une empreinte pour les capteurs usuels est facile, idéalement il faudrait vérifier avec de la chaleur ou de la pulsation cardiaque si c'est bien un corps humain derrière l'empreinte.

            Bref, aucune technologie n'est parfaite, et sans doute pas adapté à tous les usages. J'apprécie de pouvoir faire des choses administratifs de ma femme sans devoir demander son doigt pour accéder à un site surtout quand elle n'est pas avec moi.

            • [^] # Re: Et sur le fond?

              Posté par  (site web personnel) . Évalué à 10.

              J'apprécie de pouvoir faire des choses administratifs de ma femme sans devoir demander son doigt pour accéder à un site surtout quand elle n'est pas avec moi.

              Pourtant on t'a donné sa main, t'as foutu quoi, tu l'as paumée ?

          • [^] # Re: Et sur le fond?

            Posté par  . Évalué à 1.

            Mais ça n'est pas gênant que si on arrive à recréer un truc équivalent à ton empreinte et/ou ton oeil à partir de ces informations ?

            Bof, la plupart des matchers ne prennent pas en entrée une image, mais uniquement un template des empreintes (les coordonnées des minuties sous un format standardisé—ISO par exemple), pas directement l'image à partir desquels le template est extrait. Certains capteurs font directement pour toi l'extraction en ASIC ou sur un micro sécurisé embarqué et tu récupère directement le template…

    • [^] # Re: Et sur le fond?

      Posté par  . Évalué à 5.

      j'ai toujours pensé que l'utilisation d'un gadget, du type des clés qui ouvrent les voitures à distance, semble beaucoup plus simple et fiable que la biométrie, mais la sécurité reste loin d'être parfaite

      Le mot professionnel pour ce genre de "gadget" est carte à puce.

      • [^] # Re: Et sur le fond?

        Posté par  (Mastodon) . Évalué à 4.

        Carte à puce qui au passage est un excellent exemple de double authentification qu'on a depuis très longtemps puisque l'authentification repose sur des vérifications de nature différente :

        • qqchose que tu possèdes (l'objet)
        • qqchose que tu sais (le code)

        En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

  • # Déni plausible

    Posté par  . Évalué à 9.

    Certains pays d'Asie ou du moyen orient s'en frottent les mains !

    Plus besoin de torturer pour faire parler un opposant et obtenir son mot de passe,
    il suffira de lui poser (ou couper) la main, l'oeil, …

    • [^] # Re: Déni plausible

      Posté par  . Évalué à 6.

      Pas qu'en Asie. Par exemple aux USA, la police peut te forcer à donner ton empreinte pour déverrouiller ton smartphone mais ne peut pas te forcer à donner ton mot de passe.

      « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

  • # Et les « gestures » ?

    Posté par  . Évalué à 6.

    « Dessiner » son secret ça a l’air bien tentant aussi. Cependant certains y ont pas mal réfléchi et il y a grosso-modo trois problèmes : difficile de stocker les « mots de passe » de manière sécurisé (à cause de la complexité lié au besoin de gérer un degré de tolérance…), lecture par dessus l’épaule (mémorisation plus facile que pour du texte) et traces de doigts.

    Je trouve ça quand même bien qu’on continue de chercher un remplaçant au mot de passe texte comme support du secret. S’il était « presque aussi sûr » et « un peu plus ergonomique/pratique » il serait adopté largement très vite.

    Par contre, une suite de caractère ça reste la forme de base d’un secret (de n’importe quelle information numérique en fait…), donc le mot de passe tel qu’on le connaît continuera d’exister, comme la ligne de commandes continue d’exister malgré l’adoption du clickodrome (ou digidrome…) par le commun des mortels.

    • [^] # Re: Et les « gestures » ?

      Posté par  (site web personnel) . Évalué à 4.

      Je me demande aussi si il n'y a pas des problématiques d’accessibilité. L'informatique soit fait par et pour les gens en bonne santé en général, mais je me demande à quel point le fait de faire certains gestes peut être chiant pour certains.

      • [^] # Re: Et les « gestures » ?

        Posté par  (Mastodon) . Évalué à 5.

        Déjà faire son schéma d'une seule main (parce que la 2nde tiens un sac de courses par exemple) donne un vague idée des emmerdes possibles…

        En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

    • [^] # Re: Et les « gestures » ?

      Posté par  . Évalué à 3.

      Flemme de rechercher, mais des chercheurs avaient publié un algo permettant de trouver un geste de déverrouillage avec une bonne sensibilité, sans accès à l'écran, avec juste l'accéléromètre du téléphone.

      Bien sûr, ça suppose d'avoir déjà installé le code malicieux, donc déjà un accès à l'appareil.

      Ça, ce sont les sources. Le mouton que tu veux est dedans.

      • [^] # Re: Et les « gestures » ?

        Posté par  (site web personnel) . Évalué à 7. Dernière modification le 09 janvier 2018 à 13:15.

        Bien sûr, ça suppose d'avoir déjà installé le code malicieux, donc déjà un accès à l'appareil.

        Même pas. Il suffit de te filmer discrètement à distance, sans jamais toucher à ton téléphone.

        Une partie du problème avec les « gestes de déverrouillage » est que les gens ont apparemment encore moins d’imagination pour créer de tels gestes que pour créer des mots de passe.

        trouver un geste de déverrouillage avec une bonne sensibilité, sans accès à l'écran, avec juste l'accéléromètre du téléphone.

        Avec l’accès aux données des capteurs du téléphone (accéléromètre et autres), on peut craquer non seulement les « gestes de déverrouillage » mais aussi les PIN « classiques » (Aviv et al. 2012, Mehrnezhad et al. 2017).

        • [^] # Re: Et les « gestures » ?

          Posté par  (site web personnel) . Évalué à 9.

          Sans compter que la dernière fois que j'ai voulu mettre une photo de mes fesses en fond d'écran sur le smartphone d'un collègue, il a suffi de regarder les traces de gras sur l'écran pour deviner le motif.

  • # Bienvenue dans l’ère de la surveillance généralisée

    Posté par  . Évalué à 10.

    qu'est-ce que Microsoft a à gagner dans cette affaire ? Un marché non couvert actuellement ? La main-mise sur nos secrets les plus intimes ?

    Ce qui importe, c’est de tracer de manière certaine les comportements individuels. Le marquage biométrique est un identifiant qui te suivra partout, quoi que tu fasses. C’est le meilleur moyen de faire de la surveillance massive.

    Microsoft en a besoin.
    Les publicitaires en ont besoin.
    La NSA en a besoin.
    Les politiciens en ont besoin.

    De toute façon, le bétail n’a rien à cacher et ne réagira pas. Donc pourquoi n’en profiteraient-ils pas ?

  • # Individu surveillé

    Posté par  . Évalué à 7.

    La biométrie a vocation à identifier/authentifier un individu, et ce de manière unique. Or suivant le contexte on n'identifie pas la même chose/personne. Dans une entreprise on identifie une salariée, au domicile un membre de la famille, dans un hôpital une patiente. En d'autres termes on identifie une fonction, un usage, rarement un individu. C'est le propre des systèmes de surveillance de vouloir tout ramener à un individu unique.

    • [^] # Re: Individu surveillé

      Posté par  (site web personnel) . Évalué à 7.

      La biométrie a vocation à identifier/authentifier un individu, et ce de manière unique.

      if(twins) {
      throw DuplicateException();
      }

      Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

      • [^] # Re: Individu surveillé

        Posté par  . Évalué à 4.

        Tiens. Merci beaucoup d'avoir amené les jumeaux monozygotes sur la table du débat des marqueurs biométriques. On les avait oubliés. C'est peut-être la même chose qui nous fait oublier les différents handicaps lorsqu'on parle d'accessibilité, mais là, c'est encore plus marrant, parce que la biométrie marche vraiment rarement avec cette particularité.

        • [^] # Re: Individu surveillé

          Posté par  (site web personnel) . Évalué à 7.

          Les jumeaux partagent la même ADN, mais pas les mêmes empreintes oculaires, digitales ou le même faciès. En général on utilise pas l'ADN pour s'identifier quotidiennement (c'est utilisé pour le milieu médical ou judiciaire au mieux).

          • [^] # Re: Individu surveillé

            Posté par  (Mastodon) . Évalué à 4.

            A l'époque ou la série "Les Experts" avait un intérêt scientifique (c'est dire si c'est vieux), ils avaient même parlé des chimère : il est possible d'avoir 2 ADNs différents pour un même individu (si je te prends un cheveux et du sang par exemple).

            Donc l'ADN qui définit uniquement une personne… c'est vrai dans 99,99% des cas :)

            En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

            • [^] # Re: Individu surveillé

              Posté par  . Évalué à 5.

              Il y a eu plusieurs cas réels d'enfants nés avec un ADN qui n'était pas celui de leur parent biologique : Le parent a "absorbé" son jumeau in utero et possède des gamètes avec un ADN différent du reste du corps. Du coup, le jumeau non-né est le parent biologique génétique du bébé.

            • [^] # Re: Individu surveillé

              Posté par  (site web personnel) . Évalué à 5.

              Donc l'ADN qui définit uniquement une personne… c'est vrai dans 99,99% des cas :)

              Pas besoin d'aller si loin, même aujourd'hui il est possible d'avoir deux personnes totalement différentes qui vont partager le même résultat ADN.

              Car en biométrie, ce n'est jamais l'entièreté du segment analysé qui est stocké et comparé (ce serait trop long, coûteux et sujet aux erreurs). Typiquement pour une emprunte oculaire ou digitale, seuls un certains nombres de points qui correspondent suffisent. Même au niveau judiciaire. Ce qui diminue grandement la fiabilité du procédé (qui reste globalement valide bien entendu, mais la probabilité que cela coince n'est pas non nulle).

              De même pour l'ADN, toutes les nucléotides ne sont pas analysées puis comparées. Seules une faible portion de l'ADN l'est. De même que plus haut, tu peux avoir deux résultats d'analyse ADN qui collent alors que ce sont des personnes différentes non jumeaux monozygotes. C'est très rare, mais la probabilité n'est pas nulle.

              • [^] # Re: Individu surveillé

                Posté par  (Mastodon) . Évalué à 4. Dernière modification le 09 janvier 2018 à 16:32.

                Exact. D'ailleurs il me semble bien que le résultat d'un test ADN c'est pas "oui, les 2 échantillons proviennent de la même personne" mais plutôt "il y a 98,2% de chances que les 2 échantillons proviennent la même personne".

                EDIT : bon, selon Wikipedia c'est 1 personne sur 5 millions qui donne les mêmes résultats dans les tests ADN effectués par le FBI, donc la proba annoncée est un poil meilleure que 98,2% ;)

                En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

              • [^] # Re: Individu surveillé

                Posté par  . Évalué à 4.

                De même pour l'ADN, toutes les nucléotides ne sont pas analysées puis comparées. Seules une faible portion de l'ADN l'est. De même que plus haut, tu peux avoir deux résultats d'analyse ADN qui collent alors que ce sont des personnes différentes non jumeaux monozygotes. C'est très rare, mais la probabilité n'est pas nulle.

                On essaye néanmoins de réduire cette probabilité, en choisissant des portions d'ADN qui varient facilement d'un individu à l'autre : https://fr.wikipedia.org/wiki/Microsatellite_(biologie)

                • [^] # Re: Individu surveillé

                  Posté par  . Évalué à 2.

                  Oui, ou simplement en augmentant le nombre de marqueurs.

                  Tout dépend de ce qu'on veut faire, en fait. Si on veut comparer l'ADN de 3 suspects avec celui retrouvé sur les lieux du crime, quelques marqueurs suffisent. Par contre, si on veut rechercher dans une base de données de plusieurs millions de profils, alors il faut augmenter le nombre de marqueurs, parce que le taux de faux positif devient drôlement plus élevé.

                  Mais bon, il ne faut pas déconner, c'est une méthode qui est très, très, très fiable ; ses faiblesses sont plus liées aux fantasmes des avocats de la défense qu'à de réels problèmes techniques :-)

  • # Retour vers le futur

    Posté par  . Évalué à -4.

    J'utilise mon smartphone, avec capteur d'empreinte, pour tout ce qui nécessite authentification (login sur les sites web et paiements - empreinte&mdp pour ces derniers). D'un autre côté un p'tit WoL/SSH me permet le contrôle via le mobile (Gui&nfc), entre autre (PC monté à nu donc sans tour, sans interrupteur).

    Ce serait vraiment bien d'aller vers plus d'intégration (les smart avec capteur d'empreinte se démocratisent).

    • [^] # Re: Retour vers le futur

      Posté par  . Évalué à 5.

      Pour ma part, je ne veux pas tout concentrer sur le téléphone, j'aimerais bien que des solutions alternatives se développent.

      Le problème de tout mettre sur le téléphone, c'est que tous les téléphones ne sont pas égaux d'un point de vue sécurité. De plus si tu perds ton téléphone, tu perds tout. Une solution à base de puce intégrable à un téléphone (mais pouvant se passer de celui-ci) me paraîtrait plus judicieuse.

      • [^] # Re: Retour vers le futur

        Posté par  . Évalué à -5.

        Le téléphone reste pour moi le plus sécurisant. Parce qu'il est toujours sur moi, avec mes papiers. Comme dit par un autre commentateur c'est un élément de sécurité. Cependant, c'est un outil privé, donc pas d'informations sensibles. La carte SD est tout de même cryptée et, chose très importante, je n'utilise que très peu d'appli, aucune d'origine douteuse.

        Un ordinateur, sauf à partir sur du cryptage des stockages (ce qui serait lourdingue parce que pass phrase obligatoire tant que mon vœux d'intégration ne sera pas exaucé), ça ne permet pas de rivaliser avec un smart phone.

        Sinon un lecteur de carte à puce ça doit pas être bien cher. Je sais qu'on peut faire ça aussi avec une clef USB (sous linux une solution doit pouvoir se bidouiller, basée sur un système de clef asymétrique). Mais je suis vraiment pas fan du mdp nécessaire dans ce cas, parce que je sais trop bien comment ça finit.

        Il faut dire que j'ai une approche de la sécurité des données qui n'est pas celle du coin : que les GAFAM savent tout de ma vie privée je m'en tape, pour du ciblage marketing, ils peuvent toujours courir je bloque tout. Idem gouv. Au contraire mes données privées ne serait que du bruit pour eux. Je fais la distinction d'avec les données sensibles : avec ce qui s'est passé dernièrement je crois qu'il faut considérer dans ce cas que TOUT matériel informatisé et connecté est troué. Point barre. Si les données le justifie je crois que la seule solution sûre à l'heure actuelle est l'isolation complète et physique de l'appareil ou du réseau.

    • [^] # Re: Retour vers le futur

      Posté par  . Évalué à 6.

      PC monté à nu donc sans tour, sans interrupteur

      C’est quoi « à nu » ? Sans le boîtier ? Qu’est-ce qui empêche d’avoir un interrupteur ?

      Du coup tu fais comment pour l’éteindre ? Tu utilises l’interrupteur de l’alimentation ?

      (oui c’est la police)

      • [^] # Re: Retour vers le futur

        Posté par  . Évalué à -2.

        Carte mère montée à la verticale, sur un contreplaqué. Refroidissement passif. Alim passive (et sans interrupteur). Dans ces conditions la tour est plus un problème qu'une solution.

        Y'a bien un interrupteur récupéré d'une ancienne tour, mais sans fixation les manipulations ont eu raison de lui ; je laisse en l'état car ça me permet de faire le contact entre les deux fils en secours mais c'est rarement utile.

        Pour éteindre : shell bash directement, smartphone via ssh (je me suis mis à la prog Android faute de trouver mon bonheur, mais il y a quelques applis qui dépannent sur le store), touche du clavier en raccourci du WM.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.