Bonjour tout le monde. 

Je cherche à comprendre d'une part comment fonctionne les Api d'apple ou de samsung pour le lecteur d'empreinte digitale. Mon objectif est de comprendre si il est techniquement possible et pertinent  d'utiliser son empreinte digitale pour s'inscrire et se connecter à un site web. 

D'un point de vue sécurité, les chances de hacker une empreinte digitale est quasiment impossible... si ce genre d'API n'est pas encore une commodité c'est qu'il y à un défi technique assez conséquent.

Certains pourraient m'éclairer sur le fonctionnement et ce qui vous parait être compliqué ? 

Salut,

alors, je n'ais aucunes idées de comment faire, mais d'un point de vue "facilité" cela pourrait en effet être pas mal, mais seulement pour ceux qui posséderaient le matériel, d'un autre coté, un autre "danger" serait que si (imagions) on arrivait à "hacker" la base de donné (ou autre) qui contient les empreintes digital, à partir de là, c'est une partie de la personne qui s'est inscrite qui est entre les mains des hackers, si cette personne possède d'autres comptes ou autres choses (plus ou moins important) qui se déverrouille avec une empreinte digital, par exemple : leurs GSM, les hackers posséderaient déjà le mot de passe.

Voilà, ca c'est ce que je pense à première vue, mais l'idée n'est pas mauvaise

Bonne continuation, et désoler de ne pas avoir fait avancer le sujet.

Salut,

Je rajouterai mon grain de sel en précisant que le plus gros problème rencontré serait, outre la sécurité qui serait toujours minable sur la plupart des sites pour un système aussi puissant, un problème d'éthique.

Personnellement, je refuse déjà de donner mon adresse email à la majorité des sites, sans compter mon numéro de téléphone qui, lui, reste totalement privé (je n'ai d'ailleurs jamais reçu de pub', malgré mes 12 comptes emails, vive la privacy), je fuis même les sites demandant un simple captcha d'origine Google (la connerie reCaptcha), alors il ne faut pas imaginer pouvoir me faire me connecter à l'aide d'une preuve d'identification aussi officielle et inchangeable.

Parce que si cette preuve ne peut techniquement pas falsifiée, elle ne.. peut pas être falsifiée. C'est un fait à double tranchant: si tu te fais voler cette empreinte par quelqu'un de peu frauduleux: un black hat qui a attaqué un site, un admin pas très sympa etc., tu donnes une preuve d'identité incontestable à un ou des inconnu(s) sans avoir le moindre moyen de contrer ça: tu ne peux pas demander à changer d'empreintes digitales.

Quand à l'efficacité du fonctionnement des systèmes à empreinte digitale, je dirai simplement: si tu vieillis, que tu te brûles, que tu te coupes etc., il y a de très fortes chances que tu ne puisses plus être authentifié vu que ton empreinte est maintenant digitalement différente (ce qui répondrait en partie au problème d'au dessus, mais se brûler le doigt parce qu'on s'est fait voler une empreinte me semble quelque peu... exagéré).

Enfin, donner des informations d'identité légalement valides aussi importantes à des sociétés privées et sites privés, ça me semble une aberration, même si dans un monde de plus en plus surveillé/digitalisé (linky, home assistants et autres saloperies), ça semble devenir "normal" (et c'est à nous de combattre ça).

Niveau technique, le problème ne serait pas à la définition de RFC sur le sujet, mais de l'implémentation desdites RFC: Sachant qu'on devrait alors convoyer des informations d'identifications légales à un site, il faudra une application incroyablement portée sur la sécurité, ce que ne fait quasiment aucune société ou aucun site.: HTTPS/Stockage hashé/Scan sécurisé/Aucun intermédiaire et j'en passe... Et ce ne sont que les exemples qui me viennent à la tête.

Il faut aussi que le client web puisse fournir une méthode de scanner et envoyer ces empreintes, ce qui, en plus des limitations hardware (pas tous les téléphones, ordinateurs etc. ont un lecteur d'empreintes intégré, et je n'en veux personnellement pas, merci!), ajoute des contraintes d'intégration et il suffit de voir javascript pour voir que l'intégration dans le domaine du web a toujours été un véritable fiasco.

Quand à faire confiance à des solutions desktop closed source (parce qu'un marché aussi important sera sans doute attaqué par une grosse société pour se faire du blé, vu les possiblités d'un tel marché), encore une fois impose une limitation morale infranchissable.

Désolé de ne pas avoir répondu au "comment" mais au "pourquoi" !

-
Edité par Anonyme 10 septembre 2017 à 12:13:29

Même si cela ne m'avance pas sur le comment  c'est une bonne reflexion et cela m'aide à cerner les problématique d'une tel solution.

D'un point de vue éthique il est utopique de penser que l'on puisse rester anonyme sur le web n'est ce pas Ivan ? Au final tout le monde s'en fou d'être anonyme... je veux dire par la que ça nous gène tous dans l'idée mais que dans la pratique 95 % des internautes donnent facilement leurs informations personnel pour accéder à des services dont ils ne peuvent plus se passer !

C'est à l'image de notre société, tout le monde manifeste son mécontentement contre le système qu'il soit monétaire, politique, social mais personne n'a le courage de sortir de cette société de consommation, parce qu'au finale c'est tellement confortable. 

Mais je te rejoint sur le fait que donner son empreinte digitale requière un niveau de confiance qui dépasse de loin les informations demandés actuellement. C'est justement l'enjeux de l'authentification par empreinte digitale, n'est ce pas le moyen de régler les problème d'insécurité et de hacking. C'est seulememment une question que je pose ! C'est pour cette raison que j'essaie de comprendre les process et protocoles.

Beaucoup de personnes utilisent déja l'authentification par empreinte pour débloquer leurs smartphones alors pourquoi cela ne marcherait pas pour le reste. Apple et samsung stock ces données... soit les gens n'ont pas conscience de ce que cela représente soit ils s'en foutent. Dans les deux cas, cela montre bien qu'il n'y pas de reflexion de la part de l'utilisateur parce qu'il se comporte comme un consommateur ! 

D'un point de vue client ce n'est pas un problème, la course à l'innovation se chargera de faire de cette outil une commodité dans le monde du numérique et fera en sorte que tous les appareils seront équipé d'un capteur d'empreinte (si le système est viable). C'est deja le cas sur bon nombre de smartphone haut de gamme et même certains PC.

Comme tu le dis si bien, vu les possibilité du marché... c'est incontestable qu'on y viendra ! 

> Au final tout le monde s'en fou d'être anonyme...

Justement non. C'est sûr que Mamie ou la voisine de palier semble n'en avoir rien à faire, mais tout de même beaucoup de monde s'inquiète de ces problèmes et de plus en plus de gens se mettent à faire des recherches sur le sujet.

Surtout que le sujet n'était pas l'anonymat mais le respect de la vie privée. Entre donner son prénom ou nom et son numéro de sécurité sociale et ses coordonnés bancaires, il y a une grande différence !

> personne n'a le courage de sortir de cette société de consommation, parce qu'au finale c'est tellement confortable.

Il faut croire que je suis un rebelle alors... Pas de amazon, facebook, google ou autre, j'achète rarement et je ne visite que peu de sites différents... Bon j'imagine que je ne suis pas le seul, le contraire m'étonnerait franchement.

Et je pense que tu as une vue franchement "utopique" (pour reprendre tes termes) de cette technologie. Tu as, il me semble, du mal à cerner la flopée d'inconvénients et dangers qui seraient apportés par ces technologies. Bon, il suffit de voir les compteurs linky pour voir que même le gouvernement n'en a rien à foutre des inconvénients et dangers de technologies d'identification mais tout de même, on parle d'une échelle mondiale.

> Beaucoup de personnes utilisent déja l'authentification par empreinte pour débloquer leurs smartphones alors pourquoi cela ne marcherait pas pour le reste. Apple et samsung stock ces données...

Tu fais la différence entre un programme installé nativement sur un appareil, adapté pour fonctionner en local dans un contexte privé, et une méthode d'authentification réseau au même titre que les certificats ou les basic authentication processes.

-
Edité par Anonyme 11 septembre 2017 à 22:31:58

Attention je ne dis pas que c'est la solution, je cherche juste à comprendre comment et si cela pourrait être une solution ! Je ne fais pas l'apologie du bien ou du mal !

Si tu te réfères aux explications d'apple sur Touch ID, ils ne stockent pas la photo de ton empreinte mais une représentation mathématique de celle ci. Ok tout se passe en local, je suis d'accord avec toi que c'est comme comparé une pomme et une orange, ça n'a pas de sens. Ma reflexion porte sur les possibilité  d'une méthode plus sécurisé. 

Evidement que je comprend les problématique lié à la sécurité et de tout ce que cela engendre si des infos aussi personnelles sont hacké. Je fais très bien la différence entre un numéro de téléphone et une empreinte ! 

Ce qui est sur c'est que d'un point de vue socio et la je suis pas d'accord avec toi... les gens majoritairement se foutent de la question, quand je dis ça... je veux dire que par la ce n'est pas si profond pour qu'ils changent leur méthodes de consommation. Je suis le premier à ne pas vouloir donner mes infos perso mais quand j'utilises un service web qui pour moi est devenue indispensable, le mal est fait. Je suis un consommateur ou mouton appel cela comme tu veux ! 

Effectivement tu fais partie de cette minorité ! Fais un sondage des personnes autour de toi ayant déjà donné son numéro de téléphone...  La valo (le nombre d'utilisateurs) des entreprises comme Facebook, twitter, Airbnb, google montre que tu fais partie d'une minorité !  

Junah83 a écrit: > Ce qui est sur c'est que d'un point de vue socio et la je suis pas d'accord avec toi... les gens majoritairement se foutent de la question, quand je dis ça... je veux dire que par la ce n'est pas si profond pour qu'ils changent leur méthodes de consommation. Je suis le premier à ne pas vouloir donner mes infos perso mais quand j'utilises un service web qui pour moi est devenue indispensable, le mal est fait. Je suis un consommateur ou mouton appel cela comme tu veux !

Ils s'en foutent parce qu'ils ne réalisent pas forcément bien ce que ça implique.

Mais le jour où ils se font voler l'accès à leur boîte email ou se font usurper leur identité, ils s'en foutent déjà beaucoup moins.

Bonjour,

Toutes vos réflexions sur les aspects éthiques sont pertinentes.

Pour l'aspect technique je vais faire court. Les bases de données des templates (ce n'est pas l’empreinte mais un petit fichier d'information sur l'empreinte) sont interdites en France sauf autorisation spéciale de la CNIL et sauf l'état qui fait ce qu'il veut.

Donc la première solution technique mise en oeuvre dans la majorité des systèmes est que l'usager doit être le porteur de son template, c'est à dire que cela reste dans une carte à puce (badge par exemple) ou dans le smartphone. L'application / équipement teste en local si vous êtes bien la personne qui a enregistrée son empreinte, réponse oui/non et envoie la réponse au système distant (avec les sécurités habituelles). Donc votre empreinte ne se promène nul part. C'est la règlementation. et c'est bien ainsi.

Dans le cas ou votre empreinte (enfin le template uniquement) serait envoyée sur un serveur distant pour être comparée, il faut encore que vous ayez été préalablement enregistré sur sur serveur pour faire une comparaison ensuite (à votre agence bancaire par exemple). Cela se fait à la banque postale par exemple où le template de votre voix est stockée sur leur serveur afin que vous puissiez ensuite être identifié par le téléphone. Cela demande une autorisation spéciale de la CNIl pour mettre en oeuvre ce type de projet.

Ensuite il est peu probable, qu'avec un template créé sur votre smartphone par un algorithme particulier vous puissiez envoyer ce template vers divers sites / serveurs / services différents qui devraient traiter ce template avec leur algo qui n'est peut être pas le même et en plus de toute façon il faudrait que votre empreinte (qui n'est jamais vraiment la même) soit également enregistrée sur tous ces serveurs distants.... laisser tomber.

Ce qui va ce faire pour le paiement c'est : soit une appli propriétaire qui passe forcement par VOTRE banque, soit des cartes de débit (visa et autres) qui font tout sur la carte (prise d'empreinte, traitement, comparaison, décision) et ce qui sort de votre carte est la même chose que votre mot de passe, un oui/non crypté. C'est en cours, c'est pour bientôt.

Pour plus de news sur le sujet http:biometrie-online.net

> L'application / équipement teste en local si vous êtes bien la personne qui a enregistrée son empreinte, réponse oui/non et envoie la réponse au système distant (avec les sécurités habituelles).

Je suis d'accord sur le fait que "c'est bien ainsi", et je préciserai qu'un tel mode d'authentification est alors totalement inutile, vu qu'elle s'effectue client-side.

Le mieux pour cela serait un keystore de mot de passe qui serait déverouillable par ladite signature d'empreinte (similaire à un hash, d'après ce que j'ai compris), ce qui rend le stockage côté client uniquement.

> crypté

On dit chiffrer, pas crypter !

> http:biometrie-online.net

Lien corrigé

Artemix a dit:

Il faut croire que je suis un rebelle alors... Pas de amazon, facebook, google ou autre, j'achète rarement et je ne visite que peu de sites différents... Bon j'imagine que je ne suis pas le seul, le contraire m'étonnerait franchement.

Tu n'es pas le seul

Sinon, pour participer un peut au débat, entends bien qu'on ne t’interdit pas d'utiliser la technologie que souhait, tu fais ce que tu veux, mais il faut être conscient que cette technologie n'est pas nécessairement à porter et à la volontés de tout le monde, si un jour OC oblige la connexion et l'inscription par empreinte digital, ca me ferais mal mais je n'irais plus, car c'est mon droit. Une alternative, est d'ajouter ce type d’authentification à ton site en plus de la connexion habituelle. Tu peux essayer, mais je suis certain que la majorité des clients n'utiliserons pas le chois de l’empreinte digital. Maintenant je respecte totalement vos avis, et ton projet, qui est assez "innovant", peut être même trop .

Bonne chance pour la suite

Merci les gars pour vos réponses. J'ai un peu plus de réponse à mes questions d'un point de vue technique... En parlant de ça, c'est marrant parce qu'en voulant me connecter ce matin à mon compte bancaire "Boursorama" sur mon smartphone... ils proposent désormais la connexion par le bias du capteur d'empreinte.

Ma reflexion est surtout tourné sur l'expérience d'utilisation... je passe ma vie à devoir réinitialiser les mots de passes car la plus part du temps je n'utilises pas les même mots de passe sur les différents sites et je l'ai oublies tout bêtement. 

Tout dépend de la manière dont cela fonctionne, livré son empreinte sur un serveur je suis d'accord que ça craint... 

> Ma reflexion est surtout tourné sur l'expérience d'utilisation... je passe ma vie à devoir réinitialiser les mots de passes car la plus part du temps je n'utilises pas les même mots de passe sur les différents sites et je l'ai oublies tout bêtement.

J'ai un mot de passe différent par site, généralement des mots de passe de 16 caractères, voire 32, pas seulement alphanumériques.

KeePass2 est la solution, opensource et libre, sécurisé, multiplateforme, pas de cloud, bref tout nickel.