Ces empreintes digitales sont l'équivalent d'une clé passe-partout pour les portables, avec un peu moins de succès. Créées par des chercheurs en utilisant une intelligence artificielle, elles atteignent tout de même un taux de succès de 20%.
Nos applications mobilesFacebookTwitterFeeds16425 anecdotes - 344 lecteurs connectés
Ces empreintes digitales sont l'équivalent d'une clé passe-partout pour les portables, avec un peu moins de succès. Créées par des chercheurs en utilisant une intelligence artificielle, elles atteignent tout de même un taux de succès de 20%.
Commentaires préférés (3)
D'un point de vue sécurité, les empreintes digitales ne devraient pas remplacer les mots de passe (du moins pour les usages ou un mot de passe est réellement important, si c'est pour déverrouiller votre tablette dans laquelle il y a uniquement candy crush, c'est pas genant).
Ils peuvent être utile pour rajouter un nouveau facteur d'authentification, mais sont bien moins efficace que des mots de passes.
En effet, contrairement au mot de passe ou la décision est catégorique (soit c'est bien le mot de passe, soit ça ne l'est pas, il n'y a pas d'entre-deux), l'authentification biométrique nécessite une certaine tolérance, qui génère a la fois des faux positifs et des faux négatifs. On peut essayer de minimiser l'un, ou l'autre, mais on ne peux pas minimiser a la fois les faux positifs et les faux négatifs.
De plus, un mot de passe est un bon système, car il a deux avantages : il est secret, et peux être modifié.
Garder secret une empreinte digitale (ou autre élément biométrique, certains comme la reconnaissance faciales sont encore pire de ce point de vue), c'est compliqué. Une photo de qualité, la récupération d'un objet qu'on a touché, ou tout simplement une fuite de base de données non chiffré, et notre empreinte digitale se balade dans la nature, des personnes malveillantes pourront désormais l'utiliser. Et contrairement a un mot de passe qu'on peut modifier, invalidant l'ancien mot de passe ayant fuité, on peut plus difficilement changer ses empreintes digitale, sa voix, son visage ou tout autre données similaire.
Tu rajoute a ça le fait que certains constructeurs rajoutent dans leur surcouche d'android leur propre implémentation de reconnaissance faciale, et tu peux te retrouver avec un bon nombre de faux positifs.
De plus, avoir un capteur infrarouge sur son téléphone ne veut pas forcement dire que la reconnaissance faciale sera hautement sécurisé, car encore une fois, ça dépend de l'implémentation logicielle qui sera appliqué. Certaines implémentations utilisent les capteurs infrarouge, mais uniquement pour en faire une photo 2D. L'avantage est que cette photo en infrarouge et bien moins dépendante de la luminosité que la caméra classique, surtout pour les téléphones dotés d'une lumière infrarouge, éclairant la scène sans qu'on s'en aperçoive.
Je suis tout a fait d'accord, avec un téléphone se basant sur l'infrarouge, une simple photo en deux dimensions ne fonctionnera pas (même avec la simple photo 2D, car une photo est imprimé en couleur du spectre visible, mais vu qu'on se fait pas chie ra capter/imprimer dans l'infrarouge, la photo apparaîtra comme une simple feuille vide pour la caméra infrarouge).
Mais ça reste quand même une technologie faillible. Un frère jumeau, ou un masque suffisamment détaillé peut tromper les différents systèmes, y compris ceux réputés comme sécurisé, comme Face ID.
Encore une fois, tout dépend du cadre dans lequel c'est utilisé : pour le masque crée spécifiquement pour se faire passer pour une personne auprès d'un logiciel, on est dans le cas d'une attaque très ciblé, donc si c'est pour déverrouiller le portable de madame Michu ou la seule appli installé est candy crush, c'est pas gravissime. Par contre, si c'est pour accéder a son compte bancaire sans passer par son mot de passe, ça commence à puer. Cela dit, si son mot de passe était "1234", la reconnaissance faciale peut être considéré comme une amélioration.
Toute mesure biométrique est par essence faillible et contournable. c'est juste un jeu du chat et de la souris, la sécurité est donc toute relative, ça reste utile dans les contexte ou on peut sacrifier un peu de sécurité pour une facilité d'usage, mais pour les cas ou la sécurité est primordiale, la biométrie devrait se contenter d’être une couche de sécurité supplémentaire et pas un remplacement de ce qui existe
Tous les commentaires (19)
D'un point de vue sécurité, les empreintes digitales ne devraient pas remplacer les mots de passe (du moins pour les usages ou un mot de passe est réellement important, si c'est pour déverrouiller votre tablette dans laquelle il y a uniquement candy crush, c'est pas genant).
Ils peuvent être utile pour rajouter un nouveau facteur d'authentification, mais sont bien moins efficace que des mots de passes.
En effet, contrairement au mot de passe ou la décision est catégorique (soit c'est bien le mot de passe, soit ça ne l'est pas, il n'y a pas d'entre-deux), l'authentification biométrique nécessite une certaine tolérance, qui génère a la fois des faux positifs et des faux négatifs. On peut essayer de minimiser l'un, ou l'autre, mais on ne peux pas minimiser a la fois les faux positifs et les faux négatifs.
De plus, un mot de passe est un bon système, car il a deux avantages : il est secret, et peux être modifié.
Garder secret une empreinte digitale (ou autre élément biométrique, certains comme la reconnaissance faciales sont encore pire de ce point de vue), c'est compliqué. Une photo de qualité, la récupération d'un objet qu'on a touché, ou tout simplement une fuite de base de données non chiffré, et notre empreinte digitale se balade dans la nature, des personnes malveillantes pourront désormais l'utiliser. Et contrairement a un mot de passe qu'on peut modifier, invalidant l'ancien mot de passe ayant fuité, on peut plus difficilement changer ses empreintes digitale, sa voix, son visage ou tout autre données similaire.
Et la biométrie devrait rester un moyen d'identifier mais ne pas être utilisé pour authentifier. Et ceci pour, par exemple, une raison simple: si on arrive, d'une façon ou d'une autre, à 'voler' les données biométrique, l'utilisateur n'a plus aucun moyen d'empêcher leur utilisation.
Ou encore cela prouve aussi que je **veux** m'identifier à ce moment là, ce qui n'est pas forcément le cas si l'utilisateur est contraint de déverrouiller son téléphone par la force (garde à vue, kidnapping, vol avec agression, ...) là où avec un mot de passe il peut un peu plus 'résister'.
Pourtant toute l'industrie (tous les fabricants de smartphones) , principalement pour des raisons de facilité d'utilisation et de marketing, pousse pour que la biométrie soit utilisé pour l'authentification et l'identification combiné. Et on n'a aucune possibilité si on veut utiliser biométrie ET mot de passe (on moins pour des problématiques de sécurité importantes. Comme il semble que ça va être/c'est le cas avec les applications d'authentification WebAuthn fr.m.wikipedia.org/wiki/WebAuthn , qui ne nécessite pas de posséder un mot de passe différent par site et qui la plupart ne sont protégés que par la biométrie ce qui n'est pas suffisant pour moi pour quelque chose d'aussi critique)
Tu rajoute a ça le fait que certains constructeurs rajoutent dans leur surcouche d'android leur propre implémentation de reconnaissance faciale, et tu peux te retrouver avec un bon nombre de faux positifs.
De plus, avoir un capteur infrarouge sur son téléphone ne veut pas forcement dire que la reconnaissance faciale sera hautement sécurisé, car encore une fois, ça dépend de l'implémentation logicielle qui sera appliqué. Certaines implémentations utilisent les capteurs infrarouge, mais uniquement pour en faire une photo 2D. L'avantage est que cette photo en infrarouge et bien moins dépendante de la luminosité que la caméra classique, surtout pour les téléphones dotés d'une lumière infrarouge, éclairant la scène sans qu'on s'en aperçoive.
Je suis tout a fait d'accord, avec un téléphone se basant sur l'infrarouge, une simple photo en deux dimensions ne fonctionnera pas (même avec la simple photo 2D, car une photo est imprimé en couleur du spectre visible, mais vu qu'on se fait pas chie ra capter/imprimer dans l'infrarouge, la photo apparaîtra comme une simple feuille vide pour la caméra infrarouge).
Mais ça reste quand même une technologie faillible. Un frère jumeau, ou un masque suffisamment détaillé peut tromper les différents systèmes, y compris ceux réputés comme sécurisé, comme Face ID.
Encore une fois, tout dépend du cadre dans lequel c'est utilisé : pour le masque crée spécifiquement pour se faire passer pour une personne auprès d'un logiciel, on est dans le cas d'une attaque très ciblé, donc si c'est pour déverrouiller le portable de madame Michu ou la seule appli installé est candy crush, c'est pas gravissime. Par contre, si c'est pour accéder a son compte bancaire sans passer par son mot de passe, ça commence à puer. Cela dit, si son mot de passe était "1234", la reconnaissance faciale peut être considéré comme une amélioration.
Toute mesure biométrique est par essence faillible et contournable. c'est juste un jeu du chat et de la souris, la sécurité est donc toute relative, ça reste utile dans les contexte ou on peut sacrifier un peu de sécurité pour une facilité d'usage, mais pour les cas ou la sécurité est primordiale, la biométrie devrait se contenter d’être une couche de sécurité supplémentaire et pas un remplacement de ce qui existe
Personnellement, je n’ai pas de donnée vraiment « sensible » sur mon téléphone, et le confort que m’apporte la biométrie me fait accepter l’infime risque d’être compromis. Et si un jour ça change, par exemple si j’ai un métier avec des données confidentielles, il suffit de désactiver la biométrie.
Par ailleurs je ne confie ma biométrie qu’à Apple, qui ne la stocke et l’utilise que localement, pas dans une base de données. Donc pas de risque de fuite de base de donnée non cryptée comme cité plus haut (contrairement à la plupart des systèmes de mot de passe d’ailleurs…)
Je pense que ces problèmes de sécurité sur des systèmes aussi solides concernent surtout les cibles des personnes prêtent à mettre les moyens pour contourner ces sécurités, donc pas vraiment le grand public.
Le Face ID de Apple repose sur de la télémétrie.
Le fait de mettre de l’infrarouge (pour mesurer des dizaines de distances depuis le capteur et ainsi avoir un rendu en 3D) permet seulement d’éviter d’avoir pleins de points sur le visage lors du déverrouillage du téléphone, rien de plus.
C’est là la vraie différence avec des capteurs de types « caméras » qui eux aussi parfois éclairent à l’infrarouge le visage lors du déverrouillage.
support.apple.com/fr-fr/102381#:~:text=Face%20ID%20peut%20détecter%20si,d'accès%20sur%20votre%20appareil.
youtu.be/g4m6StzUcOw?si=6MFzFhWYWs9kgdK5
La discussion porte sur toute l'importance du MFA , ou authentification multifacteurs en français.
Ce que je sais : mot de passe
Ce que je possède : empreinte digitale, reconnaissance facile, clé fido, sms reçu sur le Numéro que je possède (ou autre solution D'OTP)
Quand on veut protéger l'accès à des données sensibles ou confidentielles on n'oppose presque jamais mot de passe à biométrie, on forcera surtout les utilisateurs à avoir un MFA, donc quelque chose qu'il sait et quelque chose qu'il POSSÈDE (Que ce soit la biométrie ou autre)
Autre chose utile à savoir, les lois sur la protection de la vie privée n'ont pas toute la même approche pour ce qui est protection biometrique ou mot de passe.
Par exemple en garde à vue refuser de déverrouiller son portable avec son empreinte ou refuser de donner son mot de passe n'ont pas les mêmes conséquences judiciaires.
Depuis je m'amuse à chercher un système inviolable, qu'il soit informatique où sur du papier, à chaque fois que j'en trouve un, je trouve toujours la faille qui va avec. ^^
Je ne commentais pas le niveau de sécurité du FaceID.
Je suis même en partie d’accord avec toi et comme tu aimes les références cinématographiques, celle ci a toute sa place :
« Ce qu’un homme a fait, un autre peut le défaire. »
Quoique … Messmer ou la CIA peuvent peut-être cracker ce système :D
Comme l'autre C... rd qui voulais mon adresse en me faisant peur dans le but de m'esquinter le dentier et à qui j'ai envoyé l'adresse de la Gendarmerie locale.
-Viens, j't'attends! :)
Pour la discussion, je pense, sans m'y connaitre, être assez d'accord avec la discussion, la biométrie n'est qu'une sécurité supplémentaire. (une bonne chose)
Si vous saviez à quel point mes mots de passe débiles et crétins bien que recherchés sont efficaces, allez je sors un exemple (un qui ne me sert plus parce que j'en ai un paquet)
Edit: après vérification, ce mot de passe mène à un profil sur gogol, donc j'édite, désolé.
J'ai une question: combien d'entre vous notent leurs nombreux mot de passe (système le moins vulnérable) dans un petit carnet que personne sait qu'il existe??? (il est sous le bac à litière du chat...^^)
Moralité : si il y a bien 1 mot de passe qui doit être extrêmement robuste, c'est bien celui-ci (et par extension celui de tout matos qui peut y accéder une fois loggé)
On change un peu de domaine car ça sert a l'envoi de message et non l'authentification, mais le masque jetable est théoriquement incraquable.
Par contre, il a un énorme défaut en terme de logistique, c'est qu'elle nécessite au préalable de partager une clé (le masque) qui est a usage unique (d'ou le jetable), raison pour laquelle elle n'est pas utilisable sur internet.
En simplifiant a l’extrême, c'est un code César boosté aux hormones : au lieu d'avoir un écart de lettre tout le temps identique, permettant de faire une analyse fréquentielle (typiquement, en français, la lettre "e" est celle qui apparaît le plus, si on décale toute les lettres de un cran, on aurait un message incompréhensible, mais le nombre élevé de "f" trahirait le décalage de 1), on a un décalage complètement aléatoire, grâce au masque jetable.
Ainsi, chaque lettre a autant de chance d’apparaître que les autres, le message "opdxfcid" a donc autant de chance de vouloir dire "brouette" que "tabouret", rendant ainsi le message théoriquement indéchiffrable.
Chaque lettre est chiffré de manière indépendante, donc même connaitre une partie du message en clair (du style bulletin météo qui se répète, ou un message se finissant systématiquement par la même signature) ne permettrait de donner que la partie de la clé concernant le texte que l'on connait, n'ayant aucune utilité pour le reste du message. Au passage, ça implique une autre contrainte : le masque jetable doit être plus long ou de la même taille que le texte lui-même
Théoriquement, car bien évidemment, tout repose a la fois sur le secret et l'unicité du masque jetable. Si celui ci est intercepté et/ou réutilisé, le système s'écroule, mais c'est pareil pour les mots de passe.
Et contrairement a un hash de mot de passe, ou si je te le donne, tu pourrait le craquer pour peu que tu ai un temps infini et/ou un ordinateur surpuissant, si je te donne un message chiffré sans le masque jetable, celui-ci restera a tout jamais illisible
P.S, je suis aussi bon en informatique qu'en deltaplane (nul), mais on en reparle dans 15 ans des cryptomonnaies.
Au plus on te dis que c'est sur à 100% (quoi que ce soit), au plus ca schlingue.
Et les cryptomonnaies, ca pue du cul.
Rendez vous dans 15 ans. Moi j'aurai investi dans de la terre, et toi dans des 0 et des 1
"coupure de courant et attaque IEM sur les serveurs"
-Maieuuu... cé pa zuste! Zaurai du investir dans l'or.... "snif"