L'authentification digitale
Bonjour,
Je suis d'un naturel méfiant en ce qui concerne les nouvelles technologies, personne n'est parfait...Je me suis penché sur ce qui est à la mode, l'authentification par prise d'empreinte digitale, les vôtres. Elle devrait à terme remplacer tous vos mots de passe, pratique, sécurisé à 100%, pas sûr...
Des chercheurs ont travaillé à tester l'authentification par empreinte digitale proposée par Apple, Microsoft, Samsung, Huawei et même des fabricants de serrures, sécurisées...L'étude a montrer que les capteurs ont pu être bernés à 80%. J'ai l'impression que mon intuition était la bonne...
Je cite une des conclusions de l'enquête : Les résultats montrent que les empreintes digitales sont suffisamment bonnes pour protéger la vie privée de la personne moyenne si elle perd son téléphone. Toutefois, une personne susceptible d'être ciblée par un acteur bien financé et motivé ne devrait pas utiliser l'authentification par empreinte digitale".
Je cite toujours : "Les appareils les plus sensibles aux fausses empreintes digitales étaient le cadenas AICase et les téléphones Android Honor 7x de Huawei et Note 9 de Samsung, qui ont tous été contournés 100 %, selon le rapport. Ensuite, l'authentification des empreintes digitales dans l'iPhone 8, le MacBook Pro 2018 et le Samsung S10 est arrivée en deuxième position, avec un taux de réussite de plus de 90 %. Le Smartphone d’entrée de gamme Samsung A70 a donné un taux d'échec de 0 %" mais les chercheurs ont attribué ce résultat à la difficulté de faire fonctionner l'authentification même lorsqu'elle est basée sur de vraies empreintes digitales qui ont été enregistrées. Donc ça fonctionne pas toujours nickel.
Il y est ajouté pour finir : "Ce n'est là qu'une des nombreuses raisons pour lesquelles les experts en sécurité conseillent de ne pas utiliser la biométrie comme méthode d'authentification à facteur unique". Dont acte.
Des chercheurs Chinois ont démontré que l'on pouvait usurper vos empreintes à partir d'une photo de vos mains, par exemple le V de la victoire sur les réseaux sociaux, (la photo doit être prise à moins d'1.50m.) il existe d'autres exemples. Pour ma part le stockage généralisé des empreintes digitales constitue une infraction à la Convention Européenne des Droits de l'Homme. Figurez vous que l'on veut généraliser tout ceci (carte d'identité/PC/Accès aux services Web etc.)
Imaginez un peu : Vos mots de passe sont modifiables non ? Vous pouvez les modifier au cas ou mais votre empreinte ? Elle est unique elle ! Si je vous la dérobe et que tout est centralisé avec cette reconnaissance, je vous laisse imaginer...Le contrôle total sur toutes vos données ! Certains Gouv. se frotteraient les mains avec tout ceci. Le danger de contrôle de masse et de violation de la vie privée est grand. J'abuse là, enfin j'espère...Il y a de nombreux # sur les réseaux sociaux comme par exemple #ikweiger, #jerefuse qui n'accepte pas ce "contrôle".
Allons un peu plus loin : Avec un mot de passe : Remarquez sur la capture ci-dessous, à gauche le hash de votre MDP, à droite sa clef de chiffrement SHA256, même avec une infime différence entre 2 mots de passe cela donnera un chiffrement complètement différent, impossible à hacker.
Avec votre empreinte :
Le système compare avec une version que vous lui aurez donné, sauf qu'au lieu d'une chaîne de caractère (comme pour votre mot de passe SHA) elle est transformée en suite de 0 et de 1. donc plus facilement piratable. il n'est plus possible d'utiliser un algorithme de hash pour masquer l'information, cela compliquerait la tâche de l'application et de la marge d'erreur, le hash étant un procédé à sens unique. Autrement dit, votre empreinte n'est pas chiffrée...De plus, une marge d'erreur est spécifiée sur ces capteurs, en effet vous pouvez avoir le doigt sale, vous blesser etc. qui dit marge d'erreurs dit risques accrus...Pour les personnes présentant un Handicap (mémoire) l'empreinte peut être une solution.
Conclusion :
Certains firmes commencent a utiliser cette techno avec un système de hash (chiffrement) Super ! mon empreinte sera chiffré et donc impossible à voler (sauf si on vous coupe le doigt ;-) Ben oui et non car si l'on peut savoir de quoi est fait un logiciel "open source", avec un logiciel propriétaire (genre Cisco and co.) c'est autre chose...Enfin certains fondeurs de Smartphones ne permettent pas de désactiver ce lecteur...
Belle journée,