IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Les pirates peuvent voler les empreintes digitales des utilisateurs d'appareils Android


Sujet :

Sécurité

  1. #21
    Expert éminent Avatar de BufferBob
    Profil pro
    responsable R&D vidage de truites
    Inscrit en
    Novembre 2010
    Messages
    3 035
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : responsable R&D vidage de truites

    Informations forums :
    Inscription : Novembre 2010
    Messages : 3 035
    Points : 8 400
    Points
    8 400
    Par défaut
    Citation Envoyé par sazearte Voir le message
    Je remet en cause cette technos sur les smartphones en tous cas, qui ne sont pas réputés pour leurs sécurité.
    oui certes, mais si une maison ouverte aux quatre vents avec une porte blindée à l'entrée se fait cambrioler, on est d'accord que ce n'est pas la porte qui est en cause

    Mais si mon symbole se fait pirater, je peut le changer lui au moins.
    en effet.

  2. #22
    Inactif  

    Homme Profil pro
    NR
    Inscrit en
    Juin 2013
    Messages
    3 715
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations professionnelles :
    Activité : NR
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : Juin 2013
    Messages : 3 715
    Points : 1 184
    Points
    1 184
    Billets dans le blog
    9
    Par défaut
    oui certes, mais si une maison ouverte aux quatre vents avec une porte blindée à l'entrée se fait cambrioler, on est d'accord que ce n'est pas la porte qui est en cause
    Oui, le problème c'est que la maison a peut être une porte blindé, mais des murs en carton et les fenêtres ouverte.

  3. #23
    Nouveau Candidat au Club
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Juillet 2011
    Messages
    325
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Juillet 2011
    Messages : 325
    Points : 0
    Points
    0
    Par défaut
    Citation Envoyé par miky55 Voir le message
    Ah! les Apple Fanboys toujours la pour la ramener et défendre leur pomme même quand ça n'est pas le sujet...
    Je comprendrais jamais ce besoin de se ridiculiser en insultant les autres. Si tu ne sais pas quoi répondre autant te taire.

    Je signalerais, et c'est dommage que l'auteur de l'article ai préféré passer cela sous silence, que les chercheurs qui ont fait cette étude ont bien précisé (et je l'avais prédit) que l'iPhone par sa conception n'est absolument pas sensible à un quelconque risque de piratage à distance de ton empreinte. Tout ça parce que les données ne sortent jamais de la puce qui les traitent.

    Citation Envoyé par miky55 Voir le message
    La biométrie comme moyen d’authentification est une aberration sécuritaire quelles que soient l'implémentation puisque ce sont des moyens irrévocables et qu'à partir du moment ou ton empreinte digitale, rétinienne ou autre est volé tu n'as aucun moyen de la changer...

    En passant, si personne n'a réussi à l'heure actuelle à voler les données biométrique d'un iPhone à distance, certain ont réussi à copier des empreintes et déverrouiller des smartphone très simplement à partir de simples photos...
    Ah oui tout est dans les détails: "personne n'a réussi à l'heure actuelle à voler les données biométrique d'un iPhone à distance" comme tu dis, et c'est juste impossible car la puce qui gère ça est inaccessible depuis le CPU (et elle est de surcroit certainement pas reprogrammable).
    C'est ce type de piratage à grande échelle, puisqu'accessible par internet vers tous les terminaux Android qui est à craindre.

    Bien sûr qu'on peut aller physiquement recopier ton emprunte sur un objet, tout comme on peut encore plus facilement t'espionner quand tu tapes un mot de passe sur le clavier ! Mais ça c'est à petite échelle, très anecdotique, ça prend du temps, … tout ce qu'un cyber criminel n'a pas. Et recopier l'emprunte ça ne marche que si tu as une copie de l'original. Peu de chance d'en avoir une dans le cas d'un vol à la tire (et faut que le voleur ai la chance que sa victime ne pense pas à briquer l'iPhone à distance avec iCloud).

    Qui plus est les techniques des capteurs d'empruntes évolues. Si ceux actuellement ne détecte que le relief de l'empreinte, rien ne dit que demain d'autres variables ne seront pas mesurer (densité du doigt par mesure ultrasonique, température, pouls, …), rendant complètement obsolètes les techniques photographiques.

    Donc ce qu'il y a de consternant, c'est que toi tu jettes la technologie aux orties dans son ensemble, sans tenir compte du fait que ces défauts ne sont liés qu'à certains procédés technologiques actuels ou a des choix de conception au rabais discutables (comme sous Android).

    Personne ne dit que c'est sûr à 100% mais ça l'est quand-même nettement plus qu'un code PIN à base de 0000 ou 1234 comme on en voit pourtant tous les jours !

    Citation Envoyé par miky55 Voir le message
    Je trouve ça triste que les constructeurs de smartphones copient bêtement les modes lancés par Apple quand celles-ci sont si inutiles et contre productives...
    Moi je trouve triste d'aller propager des peurs irraisonnées sur des technologies, tout simplement parce que tu ne les comprends pas. Ta façon de voir les choses est moyenâgeuse. Tout comme d'aller insulter ceux, qui comme moi, n'ont fait que redire ce qu'avait déclaré les auteurs de cette étude.

    Désolé aussi de te l'apprendre, mais faire d'un capteur d'empreinte une "mode", je sais qu'Apple est forte en marketing, mais non, ça fait pas rêver les gens.
    Qui plus est, comme ça t'as été rappelé Apple n'est pas le premier à avoir implémenté un capteur, mais je crois qu'ils peuvent se vanter d'être les premiers à en avoir un qui permet de déverrouiller son téléphone en moins de 5 essais (hein monsieur Samsung…), et qui parce qu'il a été réfléchi 5 minutes, n'est pas sensible aux attaques logicielles, comme celle dont on parle depuis hier.

    Je trouve aussi assez consternant de conspuer une entreprise, tout ça parce qu'elle essaye de trouver une solution à un problème. Si ça te plaît pas achètes autre chose, c'est pas les alternatives qui manque. Mais désolé il est légitime de vouloir trouver mieux qu'un code PIN à quatre chiffres. C'est pas assez sûr, et rajouter des chiffres, même si augmente la sécurité, ça emmerde l'utilisateur au quotidien. Le capteur d'empreinte, même s'il est sûrement pas aussi bon que ceux des bunkers secrets de la NSA, ça sera toujours plus sûr que n'importe quel code à 4 chiffres. Tu oublies visiblement qu'on part de franchement bas en matière de sécurité, donc c'est un plus, pas parfait, mais ni hors de prix, ni complexe à utiliser pour le client.

    Faut aussi arrêter la parano: on a jamais entendu une seule histoire d'une victime s'étant faite avoir à cause du capteur d'empreinte de l'iPhone, pourtant je suis sûr que les journalistes en auraient fait leurs choux gras. Tout bêtement parce que ce qui semble tout simple dans une vidéo Youtube l'est nettement moins dans la vraie vie. Un peu comme le type qui envoi une balle de ping pong dans un gobelet à 10 m de dos. Dans la vidéo ont été coupé les 6843 fois précédentes où la balle est tombé à côté…

  4. #24
    Nouveau Candidat au Club
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Juillet 2011
    Messages
    325
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Juillet 2011
    Messages : 325
    Points : 0
    Points
    0
    Par défaut
    Citation Envoyé par miky55 Voir le message
    Effectivement, mais c'est apple qui l'a déporté sur le bouton home (donc impossible de pas mettre le doigt dessus) et l'a rendu si "in" et indispensable.
    Et après ? Vu que les données sont inaccessibles, c'est pas ça en soit qui présente le moindre risque.

    Qui plus est même s'il est sur le bouton home, rien ne t'oblige à activer l'usage du capteur, tu peux en rester au bon vieux code PIN si vraiment tu penses qu'Apple met ta vie en danger…

    Citation Envoyé par miky55 Voir le message
    Beaucoup de néophytes sont persuadés que c'est une réelle sécurité alors que c'est juste pratique et ça fait gagner quelques secondes pour dévéroullier son device..
    Je le redis encore: c'est une réelle sécurité par rapport à un code PIN généralement bidon parce qu'on le veut simple à retenir et rapide à taper.

    Essayer quelques codes courants, ça sera toujours plus rapide que de partir à la chasse aux empreintes façon les Experts Villetaneuse.

  5. #25
    MikeRowSoft
    Invité(e)
    Par défaut
    Citation Envoyé par sazearte Voir le message
    Je remet en cause cette technos sur les smartphones en tous cas, qui ne sont pas réputés pour leurs sécurité.



    Oui sa existe sur android c'est pour cela que j'en parle, j'utilise d'ailleurs un symbole pour déverrouiller mon smartphone. Faut dire que je ne fait pas grand chose avec mon smartphone, a part téléphoner.

    Mais si mon symbole se fait pirater, je peut le changer lui au moins.
    Le problème est que le système d'exploitation veux en être gestionnaire à la place d'un firmware dans une puce pour lequel même les pompiers ou les militaires ne peuvent voir accès en lecture, la puce disant oui ou non. Ainsi le capteur devient la puce elle même, avec une seule et unique authentification, bien sûr les traces résiduel d’empreinte ne doivent pas rester, un peu comme faire glisser un doigt sur une surface lisse, fine et linéaire.
    Normalement c'est pour un usage restrictif sur l'interface de commande pour un et un seul utilisateur ou utilisatrice de base. L'accès à des droits et autres étant là encore celui des systèmes d'exploitations.
    Je vous laisse continuer si vous pensez être sur la bonne voie, bien que j'aurais considéré cela mature dans plusieurs génération, surtout si il y a moyen de faire se type de puce bouger ou mentir (à éviter donc ).
    Dernière modification par MikeRowSoft ; 08/08/2015 à 12h50.

  6. #26
    Membre émérite

    Profil pro
    Inscrit en
    Décembre 2003
    Messages
    3 995
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Décembre 2003
    Messages : 3 995
    Points : 2 528
    Points
    2 528
    Par défaut
    Citation Envoyé par BufferBob Voir le message
    c'est pas idiot en effet, dans le même ordre d'esprit il a été prouvé que l'on pouvait se noyer dans un simple verre d'eau, c'est pourquoi je déconseille vivement de boire la moindre goute de flotte

    note: je ne fais ici l'apologie ni de l'alcool, ni des boissons gazeuses, ni du kérozène
    Oui, parce que déverrouiller son smartphone avec son empreinte digitale est aussi indispensable que de boire de l'eau, bien entendu.

  7. #27
    MikeRowSoft
    Invité(e)
    Par défaut
    Citation Envoyé par Traroth2 Voir le message
    Oui, parce que déverrouiller son smartphone avec son empreinte digitale est aussi indispensable que de boire de l'eau, bien entendu.
    celui qui a breveté la reconnaissance facial sans prendre le cas particulier des jumeaux va sûrement en entendre parler. vous portez la barbe?

  8. #28
    Inactif  

    Homme Profil pro
    NR
    Inscrit en
    Juin 2013
    Messages
    3 715
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations professionnelles :
    Activité : NR
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : Juin 2013
    Messages : 3 715
    Points : 1 184
    Points
    1 184
    Billets dans le blog
    9
    Par défaut
    celui qui a breveté la reconnaissance facial sans prendre le cas particulier des jumeaux va sûrement en entendre parler. vous portez la barbe?
    Une simple photo suffit a contourner cette protection. la reconnaissance faciale est loin d'être au point.

    La reconnaissance vocale, elle encore moins (imaginer vous avez la grippe...)

    Je ne comprend pas, c'est quoi le problème avec les bon vieux mots de passe a caractères ? sa marche très bien, c'est simple, fiable et sécurisé. Pourquoi changer par quelque chose de plus dangereux ?

  9. #29
    Expert éminent sénior
    Homme Profil pro
    Analyste/ Programmeur
    Inscrit en
    Juillet 2013
    Messages
    4 627
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Bouches du Rhône (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Analyste/ Programmeur

    Informations forums :
    Inscription : Juillet 2013
    Messages : 4 627
    Points : 10 551
    Points
    10 551
    Par défaut
    Citation Envoyé par sazearte Voir le message
    Je ne comprend pas, c'est quoi le problème avec les bon vieux mots de passe a caractères ? sa marche très bien, c'est simple, fiable et sécurisé. Pourquoi changer par quelque chose de plus dangereux ?
    Tu le sais très bien : le temps de saisie et la mémorisation du code.

    Sinon

  10. #30
    Membre averti
    Profil pro
    Inscrit en
    Octobre 2010
    Messages
    184
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Octobre 2010
    Messages : 184
    Points : 409
    Points
    409
    Par défaut
    Citation Envoyé par Le Vendangeur Masqué Voir le message
    Je comprendrais jamais ce besoin de se ridiculiser en insultant les autres. Si tu ne sais pas quoi répondre autant te taire.
    J'ai utilisé un ton quelque peu ironique et le terme de fanboy, il faudrait ne pas être top susceptible, cela dit si je t'ai vraiment vexé je m'en excuse.

    Pour revenir à notre sujet, tu as du le comprendre je suis contre la biométrie en général, et ce, même si les empreintes ne sont pas centralisés sur ces serveurs pour plusieurs raison: la plus évidente étant l'irrévocabilité de celles-ci, mais également le fait qu'i existe déjà des fichiers biométriques dans certains pays. D'autre part, la plupart du temps une authentification biométrique ne permet pas de chiffrer un device, il faut en plus rajouter un mot de passe pour chiffrer la clé.

    Je critique aussi le fait que les autres constructeurs suive l'effet de mode et à priori avec moins de succès puisque cet article confirme qu'il existe un moyen de voler les empruntes à distance sur des dispositifs android.

    Tu affirmes aussi que touchID est plus sûr qu'un code pin, mais il me semble bien qu'il ne s'y substitue pas totalement et que si tu n'arrives pas à débloquer ton device (mains moites ou sales) un pin ou mdp à l'ancienne te sera demandé.

    Donc finalement il me parait évident qu'avec le touchID c'est avant tout le coté pratique qui a été pensé en non le coté sécuritaire.

  11. #31
    Membre à l'essai
    Homme Profil pro
    Gestionnaire de parc micro-informatique
    Inscrit en
    Août 2012
    Messages
    11
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Seine Maritime (Haute Normandie)

    Informations professionnelles :
    Activité : Gestionnaire de parc micro-informatique
    Secteur : Associations - ONG

    Informations forums :
    Inscription : Août 2012
    Messages : 11
    Points : 23
    Points
    23
    Par défaut On change de mot de passe, pas de doigt
    Toute clée est cassable et cassée si l'on attend suffisamment longtemps.

    Quand c'est un mot de passe, on en change.

    Comment fait-on avec un doigt?

  12. #32
    Inactif  

    Homme Profil pro
    NR
    Inscrit en
    Juin 2013
    Messages
    3 715
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations professionnelles :
    Activité : NR
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : Juin 2013
    Messages : 3 715
    Points : 1 184
    Points
    1 184
    Billets dans le blog
    9
    Par défaut
    Comment fait-on avec un doigt?
    On achèteras un Ifinger

  13. #33
    Provisoirement toléré
    Homme Profil pro
    Architecte réseau
    Inscrit en
    Mars 2016
    Messages
    114
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Seine Saint Denis (Île de France)

    Informations professionnelles :
    Activité : Architecte réseau
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Mars 2016
    Messages : 114
    Points : 0
    Points
    0
    Par défaut
    Citation Envoyé par miky55 Voir le message
    Ah! les Apple Fanboys toujours la pour la ramener et défendre leur pomme même quand ça n'est pas le sujet...
    La biométrie comme moyen d’authentification est une aberration sécuritaire quelles que soient l'implémentation puisque ce sont des moyens irrévocables et qu'à partir du moment ou ton empreinte digitale, rétinienne ou autre est volé tu n'as aucun moyen de la changer...
    Tu n'utilises pas la biométrie pour identifier ta compagne, tes gosses, tes parents?

    Tu n'as pas peur que leurs caractéristiques soient piratées et qu'un inconnu entre chez toi?

  14. #34
    Membre averti
    Profil pro
    Inscrit en
    Octobre 2010
    Messages
    184
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Octobre 2010
    Messages : 184
    Points : 409
    Points
    409
    Par défaut
    Citation Envoyé par secuexpert Voir le message
    Tu n'utilises pas la biométrie pour identifier ta compagne, tes gosses, tes parents?

    Tu n'as pas peur que leurs caractéristiques soient piratées et qu'un inconnu entre chez toi?
    LOL Tu dois être en cession de trollage intensif pour aller déterrer un poste aussi vieux

  15. #35
    Provisoirement toléré
    Homme Profil pro
    Architecte réseau
    Inscrit en
    Mars 2016
    Messages
    114
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Seine Saint Denis (Île de France)

    Informations professionnelles :
    Activité : Architecte réseau
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Mars 2016
    Messages : 114
    Points : 0
    Points
    0
    Par défaut
    Citation Envoyé par miky55 Voir le message
    LOL Tu dois être en cession de trollage intensif pour aller déterrer un poste aussi vieux
    Je n'avais pas fait attention à la date, mais le message reste valable.

  16. #36
    Provisoirement toléré
    Homme Profil pro
    Architecte réseau
    Inscrit en
    Mars 2016
    Messages
    114
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Seine Saint Denis (Île de France)

    Informations professionnelles :
    Activité : Architecte réseau
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Mars 2016
    Messages : 114
    Points : 0
    Points
    0
    Par défaut
    Citation Envoyé par HerveB76 Voir le message
    Toute clée est cassable et cassée si l'on attend suffisamment longtemps.
    Tu penses devoir attendre combien de temps pour casser une clef AES?

  17. #37
    Inactif  

    Homme Profil pro
    NR
    Inscrit en
    Juin 2013
    Messages
    3 715
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations professionnelles :
    Activité : NR
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : Juin 2013
    Messages : 3 715
    Points : 1 184
    Points
    1 184
    Billets dans le blog
    9
    Par défaut
    Tu penses devoir attendre combien de temps pour casser une clef AES?
    Un hacker ne casse pas l'algo de chiffrement, mais sont implémentation. Et la nul doute qu'il y'en aient des failles. Et le jour ou l'on verra une news sur ce site avec comme titre "Des hackeurs ont réussie a voler 2 millions d'empreintes digital d'utilisateur d'iphone 6", je vais bien me marrer.

    J'espère juste que vous aurez assez de courage pour vous couper le doigt comme un yakuza.

  18. #38
    Provisoirement toléré
    Homme Profil pro
    Architecte réseau
    Inscrit en
    Mars 2016
    Messages
    114
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Seine Saint Denis (Île de France)

    Informations professionnelles :
    Activité : Architecte réseau
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Mars 2016
    Messages : 114
    Points : 0
    Points
    0
    Par défaut
    Citation Envoyé par sazearte Voir le message
    Un hacker ne casse pas l'algo de chiffrement, mais sont implémentation. Et la nul doute qu'il y'en aient des failles. Et le jour ou l'on verra une news sur ce site avec comme titre "Des hackeurs ont réussie a voler 2 millions d'empreintes digital d'utilisateur d'iphone 6", je vais bien me marrer.

    J'espère juste que vous aurez assez de courage pour vous couper le doigt comme un yakuza.
    Je vois pas le rapport. Il n'y a pas d'attaque viable contre AES ou ses implémentations.

  19. #39
    Inactif  

    Homme Profil pro
    NR
    Inscrit en
    Juin 2013
    Messages
    3 715
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations professionnelles :
    Activité : NR
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : Juin 2013
    Messages : 3 715
    Points : 1 184
    Points
    1 184
    Billets dans le blog
    9
    Par défaut
    Je vois pas le rapport. Il n'y a pas d'attaque viable contre AES ou ses implémentations.
    je parle pas de l'algo aes qui tien en 100 lignes de code, mais des autres, des 10 millions de ligne de code que constitue l'os et qui gravite directement ou indirectement autours de touchId.

Discussions similaires

  1. Les pirates peuvent cacher une page entière dans un lien
    Par Hinault Romaric dans le forum Sécurité
    Réponses: 23
    Dernier message: 13/01/2016, 16h05
  2. Lister les disques durs USB, les clés ainsi que les appareils photos
    Par infosam76 dans le forum VB 6 et antérieur
    Réponses: 17
    Dernier message: 26/02/2015, 00h26
  3. Réponses: 4
    Dernier message: 28/01/2015, 12h39
  4. Réponses: 1
    Dernier message: 14/06/2013, 01h07
  5. Réponses: 14
    Dernier message: 12/03/2011, 20h15

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo