Nous utilisons des cookies sur nos sites web. Des informations sur les cookies et sur la manière dont vous pouvez vous opposer à leur utilisation à tout moment ou mettre fin à leur utilisation sont disponibles dans notre Déclaration de protection des données.

Opinion 3 min de lecture 14 Commentaires

Voici pourquoi les contrôles biométriques sont une mauvaise idée

Le scanner d’iris sur le Samsung Galaxy S8, Face ID sur l'iPhone X et le scanner d'empreintes digitales sur tous les smartphones souffrent tous du même défaut : la biométrie n'est pas sécurisée. Votre visage, vos deux yeux et vos dix empreintes digitales ne peuvent pas être changées si la sécurité de votre dispositif est compromise, au moins pas aussi facilement qu'un mot de passe.

Quand il s'agit de garder votre smartphone verrouillé, il y a toujours un compromis entre la commodité et la sécurité. Par exemple, lorsqu’un de mes collègues a essayé la fonction de reconnaissance faciale du LG Q6, il a pu le déverrouiller en tenant un autre smartphone dans la main avec une photo de lui-même. Après avoir activé la fonction avancée de reconnaissance de visage qui est quelque peu lente, cette astuce 2D ne fonctionnait plus.

Même le plus sophistiqué Face ID de l'iPhone X peut être dupé. En moins d'une semaine, et pour moins de 150 dollars, les chercheurs d'une entreprise de cybersécurité ont réussi à créer un masque (très effrayant) capable de piéger Face ID. Même sans le vouloir, les membres d’une famille peuvent dans certains cas accéder aux iPhones des autres. Un garçon de 10 ans a réussi à débloquer l'iPhone X de sa mère en raison de leur forte ressemblance, et Face ID est facilement dupé par des jumeaux identiques.

Les empreintes digitales sont encore plus faciles à copier que les visages puisque vous les laissez partout. Si vous regardez attentivement, vous pouvez clairement voir une empreinte digitale dans la photo ci-dessous, qui pourrait théoriquement être copiée. Une fois que votre empreinte digitale a été scanné, si elle n'est pas stockée en toute sécurité, la représentation numérique de votre empreinte digitale pourrait être volée.

Même si les empreintes digitales sont uniques et ne peuvent pas être devinées comme de simples mots de passe, elles peuvent cependant être facilement contournées, et vous en avez seulement dix.

AndroidPIT bluetooth headset 3707
Les empreintes digitales sont partout. © AndroidPIT

Les fabricants de smartphones font de grands efforts pour sécuriser vos données d'empreintes digitales. Voici comment : Touch ID d'Apple enregistre une représentation mathématique de votre empreinte digitale plutôt qu'une image numérisée de l'impression elle-même, la crypte et la stocke sur l'appareil lui-même sans la sauvegarder dans le cloud. À partir de là, les données de vos empreintes digitales ne sont accessibles qu'avec une clé particulière, qui n'est accessible que par ce qu’Apple appelle la puce Secure Enclave, un co-processeur ARM utilisé pour renforcer la sécurité d’iOS.

Sur Android, la manipulation des données d'empreintes digitales nécessite également une clé spécifique à l'appareil et est compartimentée pour des raisons de sécurité, et gérée dans la partie Trusted Execution Environment du processeur principal du dispositif.

Malgré les efforts fournis par les fabricants pour sécuriser vos empreintes digitales et autres données biométriques, vous laissez vos empreintes digitales partout où vous allez et votre visage est toujours prêt à être pris en photo. Puisque vous ne pouvez pas contourner ce défaut fondamental de la biométrie comme moyen de sécurité, il est logique de se tourner vers d'autres options. Les codes PIN et les schémas de verrouillage ne sont pas sécurisés, car ils peuvent facilement être révélés par les tâches d'huile et de saleté sur l’écran de votre smartphone. La meilleure alternative est simplement un mot de passe fort. Cela signifie utiliser des lettres, des chiffres et des symboles, mais aussi ne jamais réutiliser le même mot de passe.

Comment gardez-vous votre smartphone sécurisé ? Valorisez-vous la sécurité plutôt que la commodité ?

14 Commentaires

Ecrire un nouveau commentaire :
Tous les changements seront sauvegardés. Aucun brouillon n'est enregistré pendant l'édition

  • il suffit en effet d'utiliser des mots de passe différents pour la plupart de ses comptes et de les laisser traîner dans sa tête et surtout pas sur un pc où mobile. Et puis une autre bonne solution est aussi de nettoyer son écran quotidiennement !


  • J'utilise trois mots de passe pour mon téléphone, que je fais tourner régulièrement. Il n'y en a que trois, donc même en cas d'oubli de celui qui est actuellement configuré, par élimination il n'en reste que deux.

    Pour ceux qui n'ont pas confiance dans leur mémoire, vous pouvez garder le même mot de passe mais le décliner tout simplement (remplacer un "o" par un "0", un "s" par un "5" etc). Ca reste viable.

    Mes empreintes, mes iris, et mon visage ne se remplacent pas aussi facilement qu'un mot de passe. Et quand on voit que Google utilise (par exemple) nos données de géolocalisation même lorsque l'option a été désactivée, il m'apparaît difficile de leur confier des informations sensibles.


  • Pour l'instant concilier un moyen à la fois sûr et rapide pour déverrouiller son smartphone n'est pas encore une réalité. Les constructeurs le veulent pourtant absolument à cause des enjeux financiers procurés par le paiement de toutes les transactions financières envisagées.

    Mais les banques restent dubitatives quant aux solutions retenues (Apple avec Face ID y compris). Notre propre choix que l'on peut préférer pour ce déverrouillage différent pour chacun d'entre nous en fonction de nos utilisations et de nos goûts personnels.
    Certes des progrès ont été réalisés mais pas suffisamment pour satisfaire à la fois les utilisateurs particuliers et les systèmes de paiement automatisés donc c'est pas la peine de s'invectiver (un petit clin d’œil...) pour des vérités personnelles attachées à des préférences ou connaissances du problème global. Chacun a une solution qu'il préfère (moi aussi) mais qui ne satisfait pas complètement les principaux acteurs commerciaux et bancaires.

    La solution définitive ne dépendra pas que de nous mais d'abord des principaux intéressés que sont les acteurs principaux que j'ai désignés plus haut. Nous donnerons notre assentiment (ou non) aux solutions technologiques que l'on nous proposera et le marché entérinera.

    Tout ça pour dire que mon choix personnel n'a que peu d'importance.

    (à l'intention de Google, moi aussi je peux faire de grandes tirades ! ...)


  • Pour ma part empreinte digital et code à 8 caractères changer régulièrement... Une habitude à prendre


  • J'utilise le schéma et les empreintes digitales et c 'est hors de question de déverrouiller mon smartphone avec la voix ou la reconnaissance faciale.

    C'est bidon , c'est gadget en plus d'être dangereux.


    • Ce n'est ni bidon ni gadget. Avec le capteur d'empreintes digitales, je déverrouille mon téléphone juste en le touchant, alors qu'avec ses prédécesseurs je devais balayer l'écran puis taper mon mot de passe, puis le valider, et parfois me tromper et recommencer. On ouvre son téléphone des dizaine, peut-être une centaine de fois par jour, on ne doit par perdre de temps à le déverrouiller. Je n'étais au début pas convaincu par Face ID (enfin si, sur le plan technique parce qu'au delà du déverrouillage ça pourra servir pour plein de choses différentes, voir vidéo de sieur Léo Duff sur YouTube pour ceux qui seraient intéressés (sa voix va vous hypnotiser, me voilà que j'emboîte (mot inconnu par SwiftKey grrr… 😡) des parenthèses les unes dans les autres, miséricorde !)) mais finalement, il y a une fonctionnalité magique qui n'affiche les notifications sur l'écran de verrouillage que quand on le regarde, et ça c'est intéressant 😍, même la meilleure fonctionnalité de L'iPhone X selon moi. Bref, si ce n'est pas complètement sûr, le principal est que ça reste difficilement piratable et que surtout déverrouiller ton téléphone ne soit pas une étape pour toi, que ça se fasse tout seul, tu n'as rien fait tu ne sais pas ce qui se passe, mais lui sais que tu es en face de lui et se déverrouille. Parce que c'est le but ultime de la technologie, de te faire penser que toutes les étapes de ta vie n'en sont pas, que tout fonctionne et ne fasse que fonctionner, instinctivement, automatiquement, quel beau poète que ne fais cornegidouille :)


      • Alors je vais te dis, je suis très très loin d'acheter un smartphone pour le seule et unique intérêt : La Face ID.
        Le truc bidon et gadget que tu peux détourner avec une vidéo.

        Fin bon si tu passes de bons moments avec c'est déjà ça, mais ce n'est pas un mot de passe fiable.


      • @Rideau Tu fais rarement des dissertations aussi longues !


      • @ Google

        Si, si, seulement il y a bien longtemps qu'il n'en n'avait pas fait...


      • C'est parce qu'il passe son temps sur son IPhone X.... À se demander si AndroidPit est dans le Appstore, hein ?

        Encore une question que tu vas ignorer comme celle de ce matin à ce sujet :


        https://www.androidpit.fr/forum/737804/comment-fonctionne-la-communaute


      • Oui, je vais l'ignorer en effet.
        D'une part, je vais très rarement sur le forum et je te l'ai répété de nombreuses fois et la question que tu soumets tu me l'as déjà proposée en message personnel depuis assez longtemps ce qui ne m'incite guère à revenir la-dessus et quelque soit la pertinence de ton interrogation.
        Donc, j'ai l'impression que tu te répètes.

        Je pense donc qu'elle est intéressante mais que tu n'obtiendra pas de réponse car elle est assez dérangeante pour le site et ne correspond PLUS (malheureusement, j'insiste et là je peux te donner raison sur ce point) à l'orientation de la politique éditoriale du site.
        Ben finalement, tu as l'as à nouveau ma réponse et elle n'a pas varié depuis la dernière fois.
        Et pour compléter celle-ci je dirai que, tant que tu ne te manifesteras pour cette vaste interrogation que sur le forum, tu n'obtiendras pas de réponse et ici (en commentaires) peut-être et au mieux une autre bien embarrassée...


      • Parce que tu crois que je n' ai pas envoyé des messages aux Admins ?

        Bien sur que je les fais mais comme tu le dis ça ne les intéresse pas.

        N' empêche que cette image tronquée du forum dans la Newsletter quotidienne du site est de la désinformation.


        Je comprend que tu n'es aucun intérêt pour le forum.
        Mais ce que ne comprend pas c'est cette volonté à le détruire.

        Pourquoi le détruire ?
        Qu'est ce qu'on fait de mal ?

        Je te remercie Louis de m'avoir répondu et même si c'est de loin, c'est quand même une réponse.


      • Face ID ne fonctionne pas en mode paysage pour mon usage en voiture. C'est un modèle que des millions de bêta-testeurs ont payé bien cher au profit d'industriels multimilliardaires.


      • Un capteur d'empreintes digitales ou un mot de passe ne fonctionne pas non plus pour ton usage en voiture. Les mains que le volant, pas sur l'écran…

Articles recommandés