D'un point de vue sécurité, les empreintes digitales ne devraient pas remplacer les mots de passe (du moins pour les usages ou un mot de passe est réellement important, si c'est pour déverrouiller votre tablette dans laquelle il y a uniquement candy crush, c'est pas genant).
Ils peuvent être utile pour rajouter un nouveau facteur d'authentification, mais sont bien moins efficace que des mots de passes.
En effet, contrairement au mot de passe ou la décision est catégorique (soit c'est bien le mot de passe, soit ça ne l'est pas, il n'y a pas d'entre-deux), l'authentification biométrique nécessite une certaine tolérance, qui génère a la fois des faux positifs et des faux négatifs. On peut essayer de minimiser l'un, ou l'autre, mais on ne peux pas minimiser a la fois les faux positifs et les faux négatifs.
De plus, un mot de passe est un bon système, car il a deux avantages : il est secret, et peux être modifié.
Garder secret une empreinte digitale (ou autre élément biométrique, certains comme la reconnaissance faciales sont encore pire de ce point de vue), c'est compliqué. Une photo de qualité, la récupération d'un objet qu'on a touché, ou tout simplement une fuite de base de données non chiffré, et notre empreinte digitale se balade dans la nature, des personnes malveillantes pourront désormais l'utiliser. Et contrairement a un mot de passe qu'on peut modifier, invalidant l'ancien mot de passe ayant fuité, on peut plus difficilement changer ses empreintes digitale, sa voix, son visage ou tout autre données similaire.

kepotx a écrit : D'un point de vue sécurité, les empreintes digitales ne devraient pas remplacer les mots de passe (du moins pour les usages ou un mot de passe est réellement important, si c'est pour déverrouiller votre tablette dans laquelle il y a uniquement candy crush, c'est pas genant).
Ils peuvent être utile pour rajouter un nouveau facteur d'authentification, mais sont bien moins efficace que des mots de passes.
En effet, contrairement au mot de passe ou la décision est catégorique (soit c'est bien le mot de passe, soit ça ne l'est pas, il n'y a pas d'entre-deux), l'authentification biométrique nécessite une certaine tolérance, qui génère a la fois des faux positifs et des faux négatifs. On peut essayer de minimiser l'un, ou l'autre, mais on ne peux pas minimiser a la fois les faux positifs et les faux négatifs.
De plus, un mot de passe est un bon système, car il a deux avantages : il est secret, et peux être modifié.
Garder secret une empreinte digitale (ou autre élément biométrique, certains comme la reconnaissance faciales sont encore pire de ce point de vue), c'est compliqué. Une photo de qualité, la récupération d'un objet qu'on a touché, ou tout simplement une fuite de base de données non chiffré, et notre empreinte digitale se balade dans la nature, des personnes malveillantes pourront désormais l'utiliser. Et contrairement a un mot de passe qu'on peut modifier, invalidant l'ancien mot de passe ayant fuité, on peut plus difficilement changer ses empreintes digitale, sa voix, son visage ou tout autre données similaire. Afficher tout Pour la reconnaissance faciale il reste plus difficile d’usurper l’identité de quelqu’un puisque les smartphones requièrent également l’attention de l’utilisateur (on ne pourra pas ouvrir le téléphone de quelqu’un qui dort en mettant son téléphone face à son visage) et surtout les capteurs infrarouges vont mesurer la profondeur. Une simple photo en 2 dimensions ne fonctionnera donc pas pour déverrouiller le téléphone.

klinnz a écrit : Pour la reconnaissance faciale il reste plus difficile d’usurper l’identité de quelqu’un puisque les smartphones requièrent également l’attention de l’utilisateur (on ne pourra pas ouvrir le téléphone de quelqu’un qui dort en mettant son téléphone face à son visage) et surtout les capteurs infrarouges vont mesurer la profondeur. Une simple photo en 2 dimensions ne fonctionnera donc pas pour déverrouiller le téléphone. Afficher tout Tout les téléphones n'utilisent pas la reconnaissance faciale par infrarouge, certains sont resté à la reconnaissance par caméra, ne serait-ce parce que tout les téléphones n'ont pas de capteur infrarouge intégré. Pareil pour les ordinateurs, qui sont souvent bien moins équipé en capteur de proximité, caméra infrarouge et autres, par rapport a nos téléphones.
Tu rajoute a ça le fait que certains constructeurs rajoutent dans leur surcouche d'android leur propre implémentation de reconnaissance faciale, et tu peux te retrouver avec un bon nombre de faux positifs.
De plus, avoir un capteur infrarouge sur son téléphone ne veut pas forcement dire que la reconnaissance faciale sera hautement sécurisé, car encore une fois, ça dépend de l'implémentation logicielle qui sera appliqué. Certaines implémentations utilisent les capteurs infrarouge, mais uniquement pour en faire une photo 2D. L'avantage est que cette photo en infrarouge et bien moins dépendante de la luminosité que la caméra classique, surtout pour les téléphones dotés d'une lumière infrarouge, éclairant la scène sans qu'on s'en aperçoive.

Je suis tout a fait d'accord, avec un téléphone se basant sur l'infrarouge, une simple photo en deux dimensions ne fonctionnera pas (même avec la simple photo 2D, car une photo est imprimé en couleur du spectre visible, mais vu qu'on se fait pas chie ra capter/imprimer dans l'infrarouge, la photo apparaîtra comme une simple feuille vide pour la caméra infrarouge).

Mais ça reste quand même une technologie faillible. Un frère jumeau, ou un masque suffisamment détaillé peut tromper les différents systèmes, y compris ceux réputés comme sécurisé, comme Face ID.

Encore une fois, tout dépend du cadre dans lequel c'est utilisé : pour le masque crée spécifiquement pour se faire passer pour une personne auprès d'un logiciel, on est dans le cas d'une attaque très ciblé, donc si c'est pour déverrouiller le portable de madame Michu ou la seule appli installé est candy crush, c'est pas gravissime. Par contre, si c'est pour accéder a son compte bancaire sans passer par son mot de passe, ça commence à puer. Cela dit, si son mot de passe était "1234", la reconnaissance faciale peut être considéré comme une amélioration.

Toute mesure biométrique est par essence faillible et contournable. c'est juste un jeu du chat et de la souris, la sécurité est donc toute relative, ça reste utile dans les contexte ou on peut sacrifier un peu de sécurité pour une facilité d'usage, mais pour les cas ou la sécurité est primordiale, la biométrie devrait se contenter d’être une couche de sécurité supplémentaire et pas un remplacement de ce qui existe

D'un point de vue sécurité, les empreintes digitales ne devraient pas remplacer les mots de passe (du moins pour les usages ou un mot de passe est réellement important, si c'est pour déverrouiller votre tablette dans laquelle il y a uniquement candy crush, c'est pas genant).
Ils peuvent être utile pour rajouter un nouveau facteur d'authentification, mais sont bien moins efficace que des mots de passes.
En effet, contrairement au mot de passe ou la décision est catégorique (soit c'est bien le mot de passe, soit ça ne l'est pas, il n'y a pas d'entre-deux), l'authentification biométrique nécessite une certaine tolérance, qui génère a la fois des faux positifs et des faux négatifs. On peut essayer de minimiser l'un, ou l'autre, mais on ne peux pas minimiser a la fois les faux positifs et les faux négatifs.
De plus, un mot de passe est un bon système, car il a deux avantages : il est secret, et peux être modifié.
Garder secret une empreinte digitale (ou autre élément biométrique, certains comme la reconnaissance faciales sont encore pire de ce point de vue), c'est compliqué. Une photo de qualité, la récupération d'un objet qu'on a touché, ou tout simplement une fuite de base de données non chiffré, et notre empreinte digitale se balade dans la nature, des personnes malveillantes pourront désormais l'utiliser. Et contrairement a un mot de passe qu'on peut modifier, invalidant l'ancien mot de passe ayant fuité, on peut plus difficilement changer ses empreintes digitale, sa voix, son visage ou tout autre données similaire.

kepotx a écrit : D'un point de vue sécurité, les empreintes digitales ne devraient pas remplacer les mots de passe (du moins pour les usages ou un mot de passe est réellement important, si c'est pour déverrouiller votre tablette dans laquelle il y a uniquement candy crush, c'est pas genant).
Ils peuvent être utile pour rajouter un nouveau facteur d'authentification, mais sont bien moins efficace que des mots de passes.
En effet, contrairement au mot de passe ou la décision est catégorique (soit c'est bien le mot de passe, soit ça ne l'est pas, il n'y a pas d'entre-deux), l'authentification biométrique nécessite une certaine tolérance, qui génère a la fois des faux positifs et des faux négatifs. On peut essayer de minimiser l'un, ou l'autre, mais on ne peux pas minimiser a la fois les faux positifs et les faux négatifs.
De plus, un mot de passe est un bon système, car il a deux avantages : il est secret, et peux être modifié.
Garder secret une empreinte digitale (ou autre élément biométrique, certains comme la reconnaissance faciales sont encore pire de ce point de vue), c'est compliqué. Une photo de qualité, la récupération d'un objet qu'on a touché, ou tout simplement une fuite de base de données non chiffré, et notre empreinte digitale se balade dans la nature, des personnes malveillantes pourront désormais l'utiliser. Et contrairement a un mot de passe qu'on peut modifier, invalidant l'ancien mot de passe ayant fuité, on peut plus difficilement changer ses empreintes digitale, sa voix, son visage ou tout autre données similaire. Afficher tout Pour la reconnaissance faciale il reste plus difficile d’usurper l’identité de quelqu’un puisque les smartphones requièrent également l’attention de l’utilisateur (on ne pourra pas ouvrir le téléphone de quelqu’un qui dort en mettant son téléphone face à son visage) et surtout les capteurs infrarouges vont mesurer la profondeur. Une simple photo en 2 dimensions ne fonctionnera donc pas pour déverrouiller le téléphone.

kepotx a écrit : D'un point de vue sécurité, les empreintes digitales ne devraient pas remplacer les mots de passe (du moins pour les usages ou un mot de passe est réellement important, si c'est pour déverrouiller votre tablette dans laquelle il y a uniquement candy crush, c'est pas genant).
Ils peuvent être utile pour rajouter un nouveau facteur d'authentification, mais sont bien moins efficace que des mots de passes.
En effet, contrairement au mot de passe ou la décision est catégorique (soit c'est bien le mot de passe, soit ça ne l'est pas, il n'y a pas d'entre-deux), l'authentification biométrique nécessite une certaine tolérance, qui génère a la fois des faux positifs et des faux négatifs. On peut essayer de minimiser l'un, ou l'autre, mais on ne peux pas minimiser a la fois les faux positifs et les faux négatifs.
De plus, un mot de passe est un bon système, car il a deux avantages : il est secret, et peux être modifié.
Garder secret une empreinte digitale (ou autre élément biométrique, certains comme la reconnaissance faciales sont encore pire de ce point de vue), c'est compliqué. Une photo de qualité, la récupération d'un objet qu'on a touché, ou tout simplement une fuite de base de données non chiffré, et notre empreinte digitale se balade dans la nature, des personnes malveillantes pourront désormais l'utiliser. Et contrairement a un mot de passe qu'on peut modifier, invalidant l'ancien mot de passe ayant fuité, on peut plus difficilement changer ses empreintes digitale, sa voix, son visage ou tout autre données similaire. Afficher tout Oui, c'est la différence entre l'identification (l'identité de l'utilisateur. Souvent un 'login') et l'authentification (preuve que je suis bien l'utilisateur. Souvent avec un mot de passe).

Et la biométrie devrait rester un moyen d'identifier mais ne pas être utilisé pour authentifier. Et ceci pour, par exemple, une raison simple: si on arrive, d'une façon ou d'une autre, à 'voler' les données biométrique, l'utilisateur n'a plus aucun moyen d'empêcher leur utilisation.

Ou encore cela prouve aussi que je **veux** m'identifier à ce moment là, ce qui n'est pas forcément le cas si l'utilisateur est contraint de déverrouiller son téléphone par la force (garde à vue, kidnapping, vol avec agression, ...) là où avec un mot de passe il peut un peu plus 'résister'.

Pourtant toute l'industrie (tous les fabricants de smartphones) , principalement pour des raisons de facilité d'utilisation et de marketing, pousse pour que la biométrie soit utilisé pour l'authentification et l'identification combiné. Et on n'a aucune possibilité si on veut utiliser biométrie ET mot de passe (on moins pour des problématiques de sécurité importantes. Comme il semble que ça va être/c'est le cas avec les applications d'authentification WebAuthn fr.m.wikipedia.org/wiki/WebAuthn , qui ne nécessite pas de posséder un mot de passe différent par site et qui la plupart ne sont protégés que par la biométrie ce qui n'est pas suffisant pour moi pour quelque chose d'aussi critique)

klinnz a écrit : Pour la reconnaissance faciale il reste plus difficile d’usurper l’identité de quelqu’un puisque les smartphones requièrent également l’attention de l’utilisateur (on ne pourra pas ouvrir le téléphone de quelqu’un qui dort en mettant son téléphone face à son visage) et surtout les capteurs infrarouges vont mesurer la profondeur. Une simple photo en 2 dimensions ne fonctionnera donc pas pour déverrouiller le téléphone. Afficher tout Tout les téléphones n'utilisent pas la reconnaissance faciale par infrarouge, certains sont resté à la reconnaissance par caméra, ne serait-ce parce que tout les téléphones n'ont pas de capteur infrarouge intégré. Pareil pour les ordinateurs, qui sont souvent bien moins équipé en capteur de proximité, caméra infrarouge et autres, par rapport a nos téléphones.
Tu rajoute a ça le fait que certains constructeurs rajoutent dans leur surcouche d'android leur propre implémentation de reconnaissance faciale, et tu peux te retrouver avec un bon nombre de faux positifs.
De plus, avoir un capteur infrarouge sur son téléphone ne veut pas forcement dire que la reconnaissance faciale sera hautement sécurisé, car encore une fois, ça dépend de l'implémentation logicielle qui sera appliqué. Certaines implémentations utilisent les capteurs infrarouge, mais uniquement pour en faire une photo 2D. L'avantage est que cette photo en infrarouge et bien moins dépendante de la luminosité que la caméra classique, surtout pour les téléphones dotés d'une lumière infrarouge, éclairant la scène sans qu'on s'en aperçoive.

Je suis tout a fait d'accord, avec un téléphone se basant sur l'infrarouge, une simple photo en deux dimensions ne fonctionnera pas (même avec la simple photo 2D, car une photo est imprimé en couleur du spectre visible, mais vu qu'on se fait pas chie ra capter/imprimer dans l'infrarouge, la photo apparaîtra comme une simple feuille vide pour la caméra infrarouge).

Mais ça reste quand même une technologie faillible. Un frère jumeau, ou un masque suffisamment détaillé peut tromper les différents systèmes, y compris ceux réputés comme sécurisé, comme Face ID.

Encore une fois, tout dépend du cadre dans lequel c'est utilisé : pour le masque crée spécifiquement pour se faire passer pour une personne auprès d'un logiciel, on est dans le cas d'une attaque très ciblé, donc si c'est pour déverrouiller le portable de madame Michu ou la seule appli installé est candy crush, c'est pas gravissime. Par contre, si c'est pour accéder a son compte bancaire sans passer par son mot de passe, ça commence à puer. Cela dit, si son mot de passe était "1234", la reconnaissance faciale peut être considéré comme une amélioration.

Toute mesure biométrique est par essence faillible et contournable. c'est juste un jeu du chat et de la souris, la sécurité est donc toute relative, ça reste utile dans les contexte ou on peut sacrifier un peu de sécurité pour une facilité d'usage, mais pour les cas ou la sécurité est primordiale, la biométrie devrait se contenter d’être une couche de sécurité supplémentaire et pas un remplacement de ce qui existe

Personnellement, je n’ai pas de donnée vraiment « sensible » sur mon téléphone, et le confort que m’apporte la biométrie me fait accepter l’infime risque d’être compromis. Et si un jour ça change, par exemple si j’ai un métier avec des données confidentielles, il suffit de désactiver la biométrie.
Par ailleurs je ne confie ma biométrie qu’à Apple, qui ne la stocke et l’utilise que localement, pas dans une base de données. Donc pas de risque de fuite de base de donnée non cryptée comme cité plus haut (contrairement à la plupart des systèmes de mot de passe d’ailleurs…)
Je pense que ces problèmes de sécurité sur des systèmes aussi solides concernent surtout les cibles des personnes prêtent à mettre les moyens pour contourner ces sécurités, donc pas vraiment le grand public.

kepotx a écrit : Tout les téléphones n'utilisent pas la reconnaissance faciale par infrarouge, certains sont resté à la reconnaissance par caméra, ne serait-ce parce que tout les téléphones n'ont pas de capteur infrarouge intégré. Pareil pour les ordinateurs, qui sont souvent bien moins équipé en capteur de proximité, caméra infrarouge et autres, par rapport a nos téléphones.
Tu rajoute a ça le fait que certains constructeurs rajoutent dans leur surcouche d'android leur propre implémentation de reconnaissance faciale, et tu peux te retrouver avec un bon nombre de faux positifs.
De plus, avoir un capteur infrarouge sur son téléphone ne veut pas forcement dire que la reconnaissance faciale sera hautement sécurisé, car encore une fois, ça dépend de l'implémentation logicielle qui sera appliqué. Certaines implémentations utilisent les capteurs infrarouge, mais uniquement pour en faire une photo 2D. L'avantage est que cette photo en infrarouge et bien moins dépendante de la luminosité que la caméra classique, surtout pour les téléphones dotés d'une lumière infrarouge, éclairant la scène sans qu'on s'en aperçoive.

Je suis tout a fait d'accord, avec un téléphone se basant sur l'infrarouge, une simple photo en deux dimensions ne fonctionnera pas (même avec la simple photo 2D, car une photo est imprimé en couleur du spectre visible, mais vu qu'on se fait pas chie ra capter/imprimer dans l'infrarouge, la photo apparaîtra comme une simple feuille vide pour la caméra infrarouge).

Mais ça reste quand même une technologie faillible. Un frère jumeau, ou un masque suffisamment détaillé peut tromper les différents systèmes, y compris ceux réputés comme sécurisé, comme Face ID.

Encore une fois, tout dépend du cadre dans lequel c'est utilisé : pour le masque crée spécifiquement pour se faire passer pour une personne auprès d'un logiciel, on est dans le cas d'une attaque très ciblé, donc si c'est pour déverrouiller le portable de madame Michu ou la seule appli installé est candy crush, c'est pas gravissime. Par contre, si c'est pour accéder a son compte bancaire sans passer par son mot de passe, ça commence à puer. Cela dit, si son mot de passe était "1234", la reconnaissance faciale peut être considéré comme une amélioration.

Toute mesure biométrique est par essence faillible et contournable. c'est juste un jeu du chat et de la souris, la sécurité est donc toute relative, ça reste utile dans les contexte ou on peut sacrifier un peu de sécurité pour une facilité d'usage, mais pour les cas ou la sécurité est primordiale, la biométrie devrait se contenter d’être une couche de sécurité supplémentaire et pas un remplacement de ce qui existe Afficher tout Ce n’est pas vraiment une reconnaissance par « infrarouge » sur les iPhone/iPad.
Le Face ID de Apple repose sur de la télémétrie.
Le fait de mettre de l’infrarouge (pour mesurer des dizaines de distances depuis le capteur et ainsi avoir un rendu en 3D) permet seulement d’éviter d’avoir pleins de points sur le visage lors du déverrouillage du téléphone, rien de plus.
C’est là la vraie différence avec des capteurs de types « caméras » qui eux aussi parfois éclairent à l’infrarouge le visage lors du déverrouillage.

support.apple.com/fr-fr/102381#:~:text=Face%20ID%20peut%20détecter%20si,d'accès%20sur%20votre%20appareil.

youtu.be/g4m6StzUcOw?si=6MFzFhWYWs9kgdK5

La discussion porte sur toute l'importance du MFA , ou authentification multifacteurs en français.
Ce que je sais : mot de passe
Ce que je possède : empreinte digitale, reconnaissance facile, clé fido, sms reçu sur le Numéro que je possède (ou autre solution D'OTP)
Quand on veut protéger l'accès à des données sensibles ou confidentielles on n'oppose presque jamais mot de passe à biométrie, on forcera surtout les utilisateurs à avoir un MFA, donc quelque chose qu'il sait et quelque chose qu'il POSSÈDE (Que ce soit la biométrie ou autre)

Autre chose utile à savoir, les lois sur la protection de la vie privée n'ont pas toute la même approche pour ce qui est protection biometrique ou mot de passe.
Par exemple en garde à vue refuser de déverrouiller son portable avec son empreinte ou refuser de donner son mot de passe n'ont pas les mêmes conséquences judiciaires.

Pierre-i7 a écrit : Ce n’est pas vraiment une reconnaissance par « infrarouge » sur les iPhone/iPad.
Le Face ID de Apple repose sur de la télémétrie.
Le fait de mettre de l’infrarouge (pour mesurer des dizaines de distances depuis le capteur et ainsi avoir un rendu en 3D) permet seulement d’éviter d’avoir pleins de points sur le visage lors du déverrouillage du téléphone, rien de plus.
C’est là la vraie différence avec des capteurs de types « caméras » qui eux aussi parfois éclairent à l’infrarouge le visage lors du déverrouillage.

support.apple.com/fr-fr/102381#:~:text=Face%20ID%20peut%20détecter%20si,d'accès%20sur%20votre%20appareil.

youtu.be/g4m6StzUcOw?si=6MFzFhWYWs9kgdK5 Afficher tout Cette discussion me rappelle un article que j'ai lu il y a longtemps, un mec qui affirmait, en pleine guerre froide, qu'il faudrait 100 000 ans pour craquer son système, ca n'a pris que 5 ans.

Depuis je m'amuse à chercher un système inviolable, qu'il soit informatique où sur du papier, à chaque fois que j'en trouve un, je trouve toujours la faille qui va avec. ^^

niconibon a écrit : Cette discussion me rappelle un article que j'ai lu il y a longtemps, un mec qui affirmait, en pleine guerre froide, qu'il faudrait 100 000 ans pour craquer son système, ca n'a pris que 5 ans.

Depuis je m'amuse à chercher un système inviolable, qu'il soit informatique où sur du papier, à chaque fois que j'en trouve un, je trouve toujours la faille qui va avec. ^^ Afficher tout Mon commentaire n’apportait qu’une précision technique.
Je ne commentais pas le niveau de sécurité du FaceID.
Je suis même en partie d’accord avec toi et comme tu aimes les références cinématographiques, celle ci a toute sa place :
« Ce qu’un homme a fait, un autre peut le défaire. »

niconibon a écrit : Cette discussion me rappelle un article que j'ai lu il y a longtemps, un mec qui affirmait, en pleine guerre froide, qu'il faudrait 100 000 ans pour craquer son système, ca n'a pris que 5 ans.

Depuis je m'amuse à chercher un système inviolable, qu'il soit informatique où sur du papier, à chaque fois que j'en trouve un, je trouve toujours la faille qui va avec. ^^ Afficher tout Le système le plus inviolable: n’avoir l’information sur aucun support matériel donc uniquement dans ton cerveau :)

Quoique … Messmer ou la CIA peuvent peut-être cracker ce système :D

Pierre-i7 a écrit : Mon commentaire n’apportait qu’une précision technique.
Je ne commentais pas le niveau de sécurité du FaceID.
Je suis même en partie d’accord avec toi et comme tu aimes les références cinématographiques, celle ci a toute sa place :
« Ce qu’un homme a fait, un autre peut le défaire. » Zut je voulais répondre indirectement, fausse manip, désolé

BenBou63 a écrit : Le système le plus inviolable: n’avoir l’information sur aucun support matériel donc uniquement dans ton cerveau :)

Quoique … Messmer ou la CIA peuvent peut-être cracker ce système :D Oui mais il y a toujours le risque, avec la torture où les sérum de vérité qui n'ont jamais fonctionné sur les pros, que l'information soit un mensonge.

Comme l'autre C... rd qui voulais mon adresse en me faisant peur dans le but de m'esquinter le dentier et à qui j'ai envoyé l'adresse de la Gendarmerie locale.
-Viens, j't'attends! :)

Pour la discussion, je pense, sans m'y connaitre, être assez d'accord avec la discussion, la biométrie n'est qu'une sécurité supplémentaire. (une bonne chose)

Si vous saviez à quel point mes mots de passe débiles et crétins bien que recherchés sont efficaces, allez je sors un exemple (un qui ne me sert plus parce que j'en ai un paquet)

Edit: après vérification, ce mot de passe mène à un profil sur gogol, donc j'édite, désolé.

J'ai une question: combien d'entre vous notent leurs nombreux mot de passe (système le moins vulnérable) dans un petit carnet que personne sait qu'il existe??? (il est sous le bac à litière du chat...^^)

ariu a écrit : Personnellement, je n’ai pas de donnée vraiment « sensible » sur mon téléphone, et le confort que m’apporte la biométrie me fait accepter l’infime risque d’être compromis. Et si un jour ça change, par exemple si j’ai un métier avec des données confidentielles, il suffit de désactiver la biométrie.
Par ailleurs je ne confie ma biométrie qu’à Apple, qui ne la stocke et l’utilise que localement, pas dans une base de données. Donc pas de risque de fuite de base de donnée non cryptée comme cité plus haut (contrairement à la plupart des systèmes de mot de passe d’ailleurs…)
Je pense que ces problèmes de sécurité sur des systèmes aussi solides concernent surtout les cibles des personnes prêtent à mettre les moyens pour contourner ces sécurités, donc pas vraiment le grand public. Afficher tout Rien que l'accès au mail, c'est déjà une donnée très sensible car en aillant accès à celui-ci, tu peux réinitialiser les mots de passes de pas mal de services et user de la liste des contacts et mettre pas mal le bazar. Peut-être même arriver à faire des achats. En tout cas te verrouiller hors de ta boîte mail avec toutes les utilisations qu'on en fait aujourd'hui, ça serait très pénible car il faut entre autre lutter pour en reprendre le contrôle alors que le support de ce genre de service est faible.

Moralité : si il y a bien 1 mot de passe qui doit être extrêmement robuste, c'est bien celui-ci (et par extension celui de tout matos qui peut y accéder une fois loggé)

niconibon a écrit : Cette discussion me rappelle un article que j'ai lu il y a longtemps, un mec qui affirmait, en pleine guerre froide, qu'il faudrait 100 000 ans pour craquer son système, ca n'a pris que 5 ans.

Depuis je m'amuse à chercher un système inviolable, qu'il soit informatique où sur du papier, à chaque fois que j'en trouve un, je trouve toujours la faille qui va avec. ^^ Afficher tout Hello. Alors je te défis de trouver un crack a mon wallet crypto avant l'année 2123. Je pense que tu auras plus de chance de trouver mon code de CB ou mon chéquier et vider mon compte en banque

Nirnette a écrit : La discussion porte sur toute l'importance du MFA , ou authentification multifacteurs en français.
Ce que je sais : mot de passe
Ce que je possède : empreinte digitale, reconnaissance facile, clé fido, sms reçu sur le Numéro que je possède (ou autre solution D'OTP)
Quand on veut protéger l'accès à des données sensibles ou confidentielles on n'oppose presque jamais mot de passe à biométrie, on forcera surtout les utilisateurs à avoir un MFA, donc quelque chose qu'il sait et quelque chose qu'il POSSÈDE (Que ce soit la biométrie ou autre)

Autre chose utile à savoir, les lois sur la protection de la vie privée n'ont pas toute la même approche pour ce qui est protection biometrique ou mot de passe.
Par exemple en garde à vue refuser de déverrouiller son portable avec son empreinte ou refuser de donner son mot de passe n'ont pas les mêmes conséquences judiciaires. Afficher tout Je suis interressé de connaître cette différence. En effet la justice contourne cela en parlant de  « refus de remettre une convention secrète de déchiffrement ».

korentin92 a écrit : Hello. Alors je te défis de trouver un crack a mon wallet crypto avant l'année 2123. Je pense que tu auras plus de chance de trouver mon code de CB ou mon chéquier et vider mon compte en banque Et la imagine le type te sort ton mot de passe sans aucune info supplémentaire.

Ykaa a écrit : Et la imagine le type te sort ton mot de passe sans aucune info supplémentaire. Aucun risque.

On change un peu de domaine car ça sert a l'envoi de message et non l'authentification, mais le masque jetable est théoriquement incraquable.

Par contre, il a un énorme défaut en terme de logistique, c'est qu'elle nécessite au préalable de partager une clé (le masque) qui est a usage unique (d'ou le jetable), raison pour laquelle elle n'est pas utilisable sur internet.

En simplifiant a l’extrême, c'est un code César boosté aux hormones : au lieu d'avoir un écart de lettre tout le temps identique, permettant de faire une analyse fréquentielle (typiquement, en français, la lettre "e" est celle qui apparaît le plus, si on décale toute les lettres de un cran, on aurait un message incompréhensible, mais le nombre élevé de "f" trahirait le décalage de 1), on a un décalage complètement aléatoire, grâce au masque jetable.
Ainsi, chaque lettre a autant de chance d’apparaître que les autres, le message "opdxfcid" a donc autant de chance de vouloir dire "brouette" que "tabouret", rendant ainsi le message théoriquement indéchiffrable.
Chaque lettre est chiffré de manière indépendante, donc même connaitre une partie du message en clair (du style bulletin météo qui se répète, ou un message se finissant systématiquement par la même signature) ne permettrait de donner que la partie de la clé concernant le texte que l'on connait, n'ayant aucune utilité pour le reste du message. Au passage, ça implique une autre contrainte : le masque jetable doit être plus long ou de la même taille que le texte lui-même

Théoriquement, car bien évidemment, tout repose a la fois sur le secret et l'unicité du masque jetable. Si celui ci est intercepté et/ou réutilisé, le système s'écroule, mais c'est pareil pour les mots de passe.
Et contrairement a un hash de mot de passe, ou si je te le donne, tu pourrait le craquer pour peu que tu ai un temps infini et/ou un ordinateur surpuissant, si je te donne un message chiffré sans le masque jetable, celui-ci restera a tout jamais illisible

korentin92 a écrit : Hello. Alors je te défis de trouver un crack a mon wallet crypto avant l'année 2123. Je pense que tu auras plus de chance de trouver mon code de CB ou mon chéquier et vider mon compte en banque J'ai rien compris, mais si je trouve ton code de carte bleue, j'ai le droit de prendre un crédit dessus? ^^

P.S, je suis aussi bon en informatique qu'en deltaplane (nul), mais on en reparle dans 15 ans des cryptomonnaies.
Au plus on te dis que c'est sur à 100% (quoi que ce soit), au plus ca schlingue.
Et les cryptomonnaies, ca pue du cul.
Rendez vous dans 15 ans. Moi j'aurai investi dans de la terre, et toi dans des 0 et des 1

"coupure de courant et attaque IEM sur les serveurs"
-Maieuuu... cé pa zuste! Zaurai du investir dans l'or.... "snif"