Suivez les discussions sur : Twitter Facebook RSS   Inscrivez-vous gratuitement à la newsletter : Newsletters   Utilisez la recherche :
PlanèteMembres  |  Mission

Forums de la communauté des investisseurs heureux

Discussions courtoises et réfléchies sur l’investissement patrimonial pour s’enrichir, générer une rente et atteindre l’indépendance financière

Invitation Vous n'êtes pas identifié : inscrivez-vous pour échanger et participer aux discussions de notre communauté !

Information Nouveau venu dans cette longue discussion ?
Flèche Consultez une sélection des messages les plus réputés en cliquant ici.

#126 18/10/2019 19h23

Membre
Top 50 Réputation
Réputation :   572  

Gog a écrit :

Comment peux-tu utiliser son portrait, visible par tous, comme mot de passe ? Ça me dépasse. Même pour ce qui est de l’empreinte digitale, c’est fortement déconseillé car même la CNIL a reconnu que c’était une information trop facile à récupérer et à contrefaire

En matière de sécurité, il faut toujours se demander contre quoi on se protège.
De qui se protège-t-on quand on met un code sur son portable ?
- de ses fesses: oui, j’avoue que j’ai commencé à mettre un code quand j’en ai eu marre que mon téléphone fasse n’importe quoi dans ma poche.
- de ses proches: enfants qui pourraient dépenser de l’argent par erreur (ou non), faire des appels aléatoires, etc. Conjoint qui pourrait être un peu trop curieux/jaloux
- d’un voleur: pas trop envie qu’un inconnu ne pénètre trop dans notre intimité.

Parmi ces différentes "menaces", les premières ont accès à nos empreintes/visage, mais pas la motivation/compétence pour les falsifier. Le voleur, lui est rarement assez compétent pour falsifier des empreintes, et même dans ce cas, il est très peu probable qu’il y ait accès.

Le seul profil de personne contre lequel on ne se protège pas, c’est le hackeur: celui qui vous cible et qui vous traque pour ensuite pénétrer dans votre téléphone… Si vous n’êtes pas James Bond, autant dire que vous n’en rencontrerez pas beaucoup.


La vie d'un pessimiste est pavée de bonnes nouvelles…

Hors ligne Hors ligne

 

#127 18/10/2019 19h35

Membre
Top 100 Réputation
Réputation :   218  

Hello,

- Vol d’informations personnelles. Si elles sont volées, c’est pour en faire quelque chose.
- Usurpation d’identité
- Vol d’informations bancaires, financières.

Encore une fois, si on vous vole des informations, c’est pour en faire quelque chose, et bien souvent à vos dépends.

Avec le développement de solutions techniques à moindre cout, le vol de masse, et donc l’utilisation en masse de ces techniques, fait que vous êtes le cible de ces personnes, même si vous n’êtes pas James Bond et que vous n’avez pas des millions en banque. Petits gains et large assiette, ce n’est plus le domaine réservé du Tresor Public, les cyber voleurs ont investis le périmètre. C’est plus efficace et moins risqué que le casse du Bellagio.

A+
Zeb

Dernière modification par zeb (18/10/2019 19h36)


Tout ce qui peut merder, va inévitablement merder.

Hors ligne Hors ligne

 

#128 18/10/2019 19h56

Membre
Top 150 Réputation
Réputation :   159  

Faith a écrit :

Conjoint qui pourrait être un peu trop curieux/jaloux. Parmi ces différentes "menaces", les premières ont accès à nos empreintes/visage, mais pas la motivation/compétence pour les falsifier.

Vous sous-estimez de très loin les moyens que sont prêt à mettre des conjoints abusifs pour pénétrer le SI du conjoint abusé. On trouve aujourd’hui en France, des boutiques (en ligne et physiques) entièrement consacrées à la vente de caméra de surveillance discrètement dissimulées dans des bibelots qu’il suffira d’installer chez madame, des smartphones pré-infectés à offrir à sa proie (permettant le déverrouillage via un code secret alternatif) voire de pouvoir examiner tout le contenu du téléphone à distance via une interface web dédiée mise à disposition par le vendeur de la solution… Il y a beaucoup de gens que ça ne ralentira pas d’avoir à imprimer un portrait pour le présenter devant le capteur ou de poser le capteur sous votre doigt pendant votre sommeil si ça suffit à déverrouiller un téléphone.

Faith a écrit :

Le voleur, lui est rarement assez compétent pour falsifier des empreintes, et même dans ce cas, il est très peu probable qu’il y ait accès.

Le problème c’est pas le mec qui va s’échiner à récupérer votre empreinte sur un verre et faire le coup de la colle à bois. Le problème c’est que si vous utilisez votre empreinte digitale ou votre portrait comme mot de passe, et que ce mot de passe se retrouve diffusé par une fuite de donnée… alors celui qui récupérera ces informations pour usurper de nombreuses personnes auprès d’autres services, ou utiliser ces données pour produire des faux biométriques.

On peut changer un mot de passe, on peut pas changer de visage ou d’empreinte : une fois que celle-ci est partie dans la nature, c’est foutu.

Faith a écrit :

Le seul profil de personne contre lequel on ne se protège pas, c’est le hackeur: celui qui vous cible et qui vous traque pour ensuite pénétrer dans votre téléphone… Si vous n’êtes pas James Bond, autant dire que vous n’en rencontrerez pas beaucoup.

Vous sous-estimez le nombre de personnes qui ont des conversations qui doivent rester confidentielles. Contrôler votre téléphone, c’est pas forcément pour accéder à l’information qu’il y a dedans (oui, personne ne va passer des heures pour tenter d’accéder à vos photos de famille), c’est que votre téléphone perso a un micro qui pourra être activé au bon moment et au bon endroit. Je suis effaré de voir, par exemple, au plus haut niveau de l’État, des personnes à risque se voir dotées d’un téléphone sûr géré par les services… se trimballer en même temps avec leur téléphone personnel dans l’autre poche : ça ne sert à rien d’avoir un téléphone sécurisé et de passer ses appels pros avec si c’est pour se pointer en réunion au cœur d’un ministère avec un autre téléphone perso dans la poche avec un micro activable à distance… Idem dans le haut niveau de décision des entreprises.

Là vous avez présentez votre cas de père de famille bien rangé, mais en France, d’autres questions se posent. Par exemple, c’est plus simple de refuser de donner son mot de passe à un policier qui exige qu’on supprime des images de violences policières que de se faire attraper le doigt sans ménagement pour déverrouiller un appareil contenant des images compromettantes… Pas besoin d’être James Bond, il suffit de se balader en ville un samedi après-midi ces derniers mois pour se trouver dans la situation…

Dernière modification par Gog (18/10/2019 20h15)

Hors ligne Hors ligne

 

#129 19/10/2019 05h34

Membre
Réputation :   17  

Dicci a écrit :

Comment peux-tu utiliser son portrait, visible par tous, comme mot de passe ? Ça me dépasse. Même pour ce qui est de l’empreinte digitale, c’est fortement déconseillé car même la CNIL a reconnu que c’était une information trop facile à récupérer et à contrefaire. Depuis des années, un appareil photo suffit, en prenant le portrait de quelqu’un saluant d’un geste, pour capturer suffisamment de détails pour tromper le système d’authentification..

Tout dépend de la qualité du système de reconnaissance. sur iPhone vous ne pouvez pas présenter une photo ou un masque pour déverrouiller le téléphone. Il y a la caméra, un projecteur qui modélise votre visage en 3D sur 30 000 points, un projecteur infra-rouge qui voit des trucs qu’une photo normale ne voit pas, et des techniques avancées dynamiques d’apprentissage ou de détection de « vie ». Vous avez même la possibilité de dire qu’il faut une « attention Active » si vous regardez ailleurs (ou fermez les yeux) que sur le système de détection alors le téléphone reste verrouillé. (Il y a eu un tentative de contournement au début avec un masque hyper avancé mais depuis c’est hyper fiable)

C’est de toutes façons pour simplifier l’expérience utilisateur ce qui fait que maintenant quasiment tout le monde a un mot de passe. Les lecteurs d’empreinte c’est une sécurité de 1/50 000 alors que la reco faciale c’est 1/ 1 000 000)

Perso je suis chez la pomme, je change tous les 2 ans environ (je viens de prendre un 11pro, il est fantastique), très satisfait de la qualité et sécurité, et surtout de toutes les techniques de protection de la vie privée qu’ils mettent en œuvre. La qualité photo ou vidéo est fantastique et j’aime aussi et fonctions avancées je n’ai pas de soucis avec le fait que je ne puisse pas bidouiller certains trucs, ça emmène de la simplicité sur l’expérience utilisateur.

Dernière modification par JeanMarc (19/10/2019 05h45)


---- Jean-Marc ----

Hors ligne Hors ligne

 

#130 19/10/2019 09h05

Membre
Top 20 Réputation
Réputation :   1031  

Rarement vu un message aussi orienté.

JeanMarc a écrit :

Les lecteurs d’empreinte c’est une sécurité de 1/50 000 alors que la reco faciale c’est 1/ 1 000 000)

Quelle est votre source ?

Hors ligne Hors ligne

 

[+3]    #131 19/10/2019 11h10

Membre
Réputation :   17  

Surin a écrit :

Rarement vu un message aussi orienté.

JeanMarc a écrit :

Les lecteurs d’empreinte c’est une sécurité de 1/50 000 alors que la reco faciale c’est 1/ 1 000 000)

Quelle est votre source ?

————————
Je ne sais pas ce que vous voulez dire par "orienté", voici mes sources, je vous laisse décider.

• Si vous lisez À propos de la technologie de sécurité avancée Touch ID:

@apple a écrit :

Chaque empreinte étant unique, il est peu probable que deux d’entre elles soient assez similaires, même en partie, pour que Touch ID les confonde. La probabilité d’une telle situation est de 1 sur 50 000 pour chaque empreinte enregistrée. En outre, Touch ID n’autorise que cinq tentatives d’identification par empreinte digitale avant de demander la saisie d’un code d’accès. En comparaison, la probabilité qu’un utilisateur devine votre code d’accès à 4 chiffres est de 1 sur 10 000. De plus, il arrive que certains codes à quatre chiffres, comme « 1234 », soient faciles à deviner. Les empreintes digitales, en revanche, vous protègent contre ce type de risques.

• Si vous lisez À propos de la technologie avancée Face ID:

@apple a écrit :

La technologie sur laquelle repose Face ID se compose du matériel et des logiciels les plus évolués que nous ayons créés à ce jour. La caméra TrueDepth capture des données faciales précises en projetant et en analysant plus de 30 000 points invisibles, afin de créer une carte de profondeur et de capturer une image infrarouge de votre visage. Une partie du moteur neural de la puce A11, A12 Bionic, A12X Bionic et A13 Bionic (protégée au sein de la Secure Enclave) transforme la carte de profondeur et l’image infrarouge en une représentation mathématique et compare cette dernière aux données faciales enregistrées.


@apple a écrit :

Nous accordons tous une grande importance à la protection des informations stockées sur nos appareils. Nous avons donc pris des mesures importantes pour protéger les vôtres, tout comme nous l’avions fait avec Touch ID. Face ID constitue une solution d’authentification sécurisée exploitant la caméra TrueDepth et l’apprentissage automatique. Les données de Face ID, y compris les représentations mathématiques de votre visage, sont chiffrées et protégées à l’aide d’une clé uniquement disponible dans la Secure Enclave.
La probabilité qu’une personne choisie au hasard dans la population puisse regarder votre iPhone ou iPad Pro et le déverrouiller avec Face ID est d’environ 1 pour 1 000 000 avec une seule apparence enregistrée. Afin d’offrir un niveau de protection supplémentaire, Face ID autorise uniquement cinq tentatives infructueuses de reconnaissance avant de demander un code d’accès. La probabilité statistique est différente pour les jumeaux et les frères et sœurs qui se ressemblent, ainsi que chez les enfants de moins de 13 ans, les traits de leur visage pouvant ne pas être encore totalement développés. Si vous êtes dans l’un de ces cas, nous vous recommandons de vous authentifier à l’aide d’un code d’accès.
Face ID compare des informations de profondeur, absentes des photographies numériques en 2D ou imprimées. Cette fonctionnalité fait appel à des réseaux neuronaux sophistiqués pour empêcher tout individu portant un masque ou employant d’autres techniques d’usurper votre identité. La technologie Face ID est même sensible à l’attention. Elle reconnaît si vos yeux sont ouverts et si vous portez votre attention sur l’appareil. Dès lors, un tiers éprouvera davantage de difficultés pour déverrouiller votre appareil à votre insu (comme lorsque vous dormez).

Concernant la position d’Apple sur le respect de la vie privée, ils le documentent ici et l’ont prouvé nombre de fois (en refusant d’intégrer une porte dérobée pour le FBI, en bloquant sciemment les suiveurs de publicité (programme de protection contre le pistage "Intelligent Tracking Prevention")

Leurs services dans le nuage ont reçu la certification ISO 27001 et ISO 27018 pour le Système de gestion de la sécurité de l’information pour l’infrastructure (plus de détails ici)

Bref, je pense que  ce que j’ai rapporté ci dessus est documenté, repris dans leurs livres blancs sur la sécurité, il y a nombre de certifications externes sur ce sujet et c’est corroboré par leurs actes dans des situations sensibles.

Pour moi, ça me suffit et répond à mes attentes de respect de la vie privée. Vous avez bien sûr le droit de trouver cela "orienté" et d’exprimer votre désaccord.

Dernière modification par JeanMarc (21/10/2019 08h44)


---- Jean-Marc ----

Hors ligne Hors ligne

 

#132 19/10/2019 11h19

Membre
Top 20 Réputation
Réputation :   1031  

Déjà, avec ces compléments ça a le mérite d’être clair, on connait la source et merci pour cela.
La source est donc le vendeur, libre à vous de vous en convaincre en effet, jusqu’à ce que l’on découvre que tel "bug" rend le système moins sûr. Ca reste très théorique.

Hors ligne Hors ligne

 

[+1]    #133 19/10/2019 11h39

Membre
Réputation :   17  

La source d’information en informatique est quasiment toujours le vendeur du système puisqu’ils intégrent du matériel avec du logiciel. Ce sont les seuls à pouvoir avancer cette information.

Suivant les affirmations et les normes à suivre (programme CMVP ou critères communs par exemple), les organismes de certifications indépendants (BSI) ou gouvernementaux (BSI allemand, ANSSI, CESG, NCSC,…) valident ces affirmations à un certain niveau de confiance.

Les bugs sont bien sûr toujours possibles et la sécurité informatique un jeu de chat et souris entre les constructeurs et les hackers. Rester à jour de sa version logicielle et utiliser les dernières techniques matérielles (meilleure crypto) sont un gage généralement de meilleure sécurité (les constructeurs Google, Samsung, Apple, …. annoncent les failles corrigées dans les Systèmes d’exploitations et c’est bien sûr une source d’information privilégiée pour ces hackers puisque ça leur donne une piste d’attaque contre les appareils qui ne sont pas à jour).

Bonne journée.

PS/ j’ai retrouvé un article qui montre le projecteur de points 3D en action

Dernière modification par JeanMarc (19/10/2019 11h48)


---- Jean-Marc ----

Hors ligne Hors ligne

 

#134 19/10/2019 12h20

Membre
Réputation :   13  

Bonjour,
j’ai un Sony XZ Premium et j’ai activé récemment la lecture d’empreinte pour pouvoir payer avec mon tel plutôt que que ma CB, j’ai plus souvent sur moi mon téléphone que ma sacoche !
Question pratique aller à la boulangerie à pied après avoir mené la petite à l’école.
Je m’en sert pour déverrouillé l’accès à mon application de banque et payer au-delà des 30€ permis par le sans contact.
Avec le tel j’active à la demande le NFC requis pour le sans contact, ça évite les petits malins qui se balade avec un terminal de CB pour vous pirater la carte en douce.
Ben une fois sur 2 l’empreinte n’est pas reconnue( capteur sur la tranche)
Le peu de fois ou j’ai essaye plus de 30€ le stress aidant j’ai mis  la cb à la place !

Hors ligne Hors ligne

 

#135 19/10/2019 17h52

Membre
Réputation :   2  

Surin a écrit :

Déjà, avec ces compléments ça a le mérite d’être clair, on connait la source et merci pour cela.
La source est donc le vendeur, libre à vous de vous en convaincre en effet, jusqu’à ce que l’on découvre que tel "bug" rend le système moins sûr. Ca reste très théorique.

Concernant la robustesse des systèmes Apple, il y a aussi les "guerres" entre Apple et la NSA et le FBI qui ont démontré un certain niveau de protection.

Même si dans ce domaine la course est permanente, les failles qui ont pu être trouvées concernaient généralement des appareils non mis à jour.

Hors ligne Hors ligne

 

#136 19/10/2019 23h58

Membre
Top 50 Réputation
Réputation :   535  

Bonsoir !

JeanMarc a écrit :

Tout dépend de la qualité du système de reconnaissance. sur iPhone … la reco faciale c’est 1/ 1 000 000)

J’ai un cousin éloigné, qui est fan d’Apple (il a tout : watch, TV, Mac, casque, iPhone, etc. dans les dernières versions). Il m’a raconté ses déboires avec la reconnaissance faciale. Car il porte des lunettes, et il en a plusieurs paires. Et lorsqu’il n’avait pas la bonne paire de lunettes, impossible de déverrouiller l’iPhone…
À la maison, ce n’était pas trop pénalisant, mais en déplacement, c’était trop aléatoire. Alors, comme il ne pouvait pas amener toutes ses paires de lunettes, il a validé son visage nu, sans rien. Ce qui l’obligeait à enlever ses lunettes chaque fois qu’il souhaitait utiliser son outil. Il a fini par désactiver cette "solution".
Conclusion : certes la reconnaissance faciale d’Apple est quasi impossible à tromper, mais la corollaire, c’est qu’elle en devient parfois presque inutilisable. 

Quand Surin parlait de propos orientés, je pense qu’il relatait la position de clients d’Apple qui ne prenaient en compte que les aspects marketing, commerciaux, du discours des fabricants, en oubliant les aspects pratiques et la réalité quotidienne.

Autre exemple de technologie très efficace pour protéger l’accès à un appareil, mais par moment difficile à utiliser en pratique : les empreintes digitales. J’avais activé cette technologie sur mon antépénultième ordinateur portable. Jusqu’à un jour où mes doigts avaient gonflé ; et là, impossible d’ouvrir une session, durant plusieurs heures, alors que j’avais des trucs urgents à faire.
Encore une fois, une sécurité envahissante peut être au détriment du confort d’utilisation.

Lorsque Faith explique qu’il faudrait regarder contre quoi on veut se protéger, il a raison. Quand on réfléchit, on s’aperçoit que, souvent, les problèmes de sécurité ne sont pas liés aux contrôles d’accès. Ainsi, tous ceux qui ont installé dans leur smartphone des applications sans vérifier à quoi elles avaient accès sont exposés par simple négligence, et quels que soient les contrôles d’ouverture de leur smartphone. C’est comme quelqu’un qui utiliserait 36 verrous à la porte d’entrée de sa maison, mais laisserait des fenêtres ouvertes : l’accès normal serait très sûr, ce serait pénible à utiliser (fermer ou ouvrir 36 verrous…), mais la protection réelle serait presque nulle.

Je suis aussi sensible à l’argument de Gog : un mot de passe, c’est maîtrisé par l’utilisateur, qui peut le changer quand il veut, qui peut le communiquer au besoin à quelqu’un d’autre ; alors que le visage, les empreintes, les iris, et autres bio-métriques, c’est impossible à gérer ; l’utilisation de l’outil échappe à l’utilisateur. Dans le cas d’Apple, c’est ce dernier qui décidera, in fine, si l’utilisateur a le droit ou non d’accéder à son smartphone ; ce ne sera plus l’utilisateur lui-même.

C’est un basculement majeur vers un univers orwellien. Et ce n’est pas l’homme confondu récemment avec Xavier Dupont de Ligonnès qui dira le contraire.


M07

Hors ligne Hors ligne

 

#137 20/10/2019 00h59

Membre
Réputation :   17  

Je ne comprend pas trop ce que vous dites, le lecteur d’empreinte ou la reco faciale n’est qu’un moyen EN PLUS du code d’accès… on peut toujours taper le code pour se connecter dans la situation que vous décrivez. (Pour les lunettes j’ai plusieurs paires - une dans chaque pièce de la maison quasiment - et je n’ai aucun problème, peut-être c’était au tout début ? Bien sûr avec des lunettes de soleil ça ne fonctionne pas car j’ai activé la détection d’attention et il ne voit pas mes yeux, mais dans ce ça il me présente le pavé tactile pour rentrer mon code)

À l’origine la principale raison de rajouter le lecteur d’empreinte était une décision de sécurité: un très grand pourcentage d’utilisateurs ne mettaient pas de mot de passe car trop pénible à taper tout le temps. en ajoutant cette fonction maintenant quasiment tout le monde à un code (au minimum 6 caractères recommandés) car le déverrouillage est aisé. C’est un progrès.

Pour les apps téléchargées sur iPhone, apple les vérifie toutes… alors d’un côté ça fait big brother mais de l’autre c’est rassurant, donc ça me va. Et oui il ne faut pas désactiver ces protections contre le side loading sur Android. À noter que Google et Microsoft se mettent aussi de plus en plus à vérifier les apps, demander qu’elles soient signées et bloquer plus de choses dans l’OS (comme certaines  tâches de fonds). Il y a trop de risque d’attaque massive en « denial of service » en provenance de millions d’appareils en simultané sur le réseau d’opérateurs différents pour faire effondrer n’importe quel service, ce qui présente des enjeux importants pouvant coûter des vies.

Bref Je suis d’accord que la sécurité informatique est un grand enjeu et que souvent le maillon faible c’est l’utilisateur… il faut trouver un juste milieu (pas simple) entre l’expérience utilisateur et la sécurisation. c’est pour cela que certains détestent apple (le côté « peu configurable ») et que d’autres adorent parce qu’ils n’ont pas à se soucier de tout cela.

Il ne faut pas pour autant faire de généralisation abusive et tomber dans le cliché habituel. Comme dit dans ma présentation j’ai bcp bossé dans l’informatique de par le monde et notamment sur des problèmes de sécurité des grands systèmes d’information, donc je m’y connais un peu sur ce domaine.  J’ai une préférence perso qui est un choix réfléchi (productivité personnelle, sécurité, position sur la protection de la vie privée) et je ne me considère pas ‘fan’ ou victime du marketing. Nombreux sont les utilisateurs de la pomme qui apprécient ces valeurs et l’expérience utilisateur, le design, l’attention aux détails etc.

Cela dit, Chacun est libre de faire comme il veut et en appliquant quelques règles de bon sens sur ses appareils quel que soit l’OS on peut minimiser les risques et bien sûr le budget que l’on veut y mettre est aussi un critère de choix important

Dernière modification par JeanMarc (20/10/2019 01h02)


---- Jean-Marc ----

Hors ligne Hors ligne

 

#138 20/10/2019 08h35

Membre
Réputation :   13  

J’ai abandonné l’idée de la reco faciale, pourtant avec mon iris couper en deux c’est très fiable ! mais obligé d’avoir des lunettes de soleil, cornée très abîmée sur l’œil gauche, gênant le déverrouillage, sans lunette je ne peux pas ouvrir l’œil au soleil.
J’ai donc le schéma pour l’accès au tel et l’emprunte pour la banque et payement, je peux enlever l’emprunte et avoir un code d’accès à la place.

Hors ligne Hors ligne

 

#139 20/10/2019 16h15

Membre
Réputation :   44  

Majuscule-pour-le-stupide-robot "… l’emprunte pour la banque" ; tiens, je ne savais pas que les emprunts avaient des petites copines. :-)

Hors ligne Hors ligne

 

#140 20/10/2019 16h21

Membre
Réputation :   13  

Lapsus révélateur ?
Freud si vous passez par là..

Hors ligne Hors ligne

 

#141 20/10/2019 18h20

Membre
Top 50 Réputation
Réputation :   535  

Re !

JeanMarc a écrit :

apple les vérifie toutes…

C’est bien là le problème !  Que ce soit Apple, Microsoft, Google, Amazon, SNCF, Banques, Huaweï, Canonical, ou n’importe qui d’autre, un utilisateur qui accorde une confiance (aveugle ?) à d’autres, au lieu de vérifier par lui-même est un utilisateur à risque.

Parmi les entreprises que j’ai citées :
- Plusieurs sont soumises au Patriot-Act ;
- Certaines sont liées à des partis politiques extrémistes ;
- Les applications de plusieurs (SNCF, Banques…) ont accès à votre agenda, à vos listes de contacts, à vos trajets, à vos moyens de paiement, sans que cela ne soit vraiment justifié ;
- Il y en a qui sont dirigées par des personnes émanant de services de renseignements ;
- Toutes ces entreprises ont d’abord pour but de gagner de l’argent, indépendamment des besoins des utilisateurs.

Les utilisateurs qui mettent en place, pour eux-même, des contraintes d’utilisation (mots de passe impossibles à mémoriser, empreintes digitales à détection capricieuse, reconnaissance faciale difficiles à tromper et à utiliser …) alors qu’ils accordent à d’autres des droits d’accès à leurs informations personnelles sans ces mêmes contraintes, me font penser à Hegel ("Phénoménologie de l’esprit") qui explique que celui qui ne fait pas la preuve de sa liberté devient esclave (et dialectiquement, celui qui se bat jusqu’au bout pour sa liberté devient le maître).
Autres auteurs sur le sujet :

La Boétie a écrit :

Le point central de la domination est ainsi le refus par le moi, le je, de s’assumer comme liberté.

Benjamin Franklin a écrit :

Un peuple prêt à sacrifier un peu de liberté pour un peu de sécurité ne mérite ni l’une ni l’autre, et finit par perdre les deux.


M07

Hors ligne Hors ligne

 

#142 20/10/2019 18h33

Membre
Réputation :   13  

M07 Android permet maintenant de restreindre les autorisations.
J’accorde le strict nécessaires celle de ma banque à accès au tel pour vérifier que c’est bien moi, le reste agenda gps etc non.

Hors ligne Hors ligne

 

[+1]    #143 20/10/2019 18h40

Membre
Top 150 Réputation
Réputation :   122  

Oui bien sûr…

Mais combien le font, notamment parmi ceux qui sont tout fiers de montrer leur jolie machine dernier cri ?


Donne un cheval à celui qui dit la vérité, il en aura besoin pour s'enfuir.

Hors ligne Hors ligne

 

#144 20/10/2019 20h16

Membre
Top 100 Réputation
Réputation :   218  

debcos a écrit :

J’accorde le strict nécessaires celle de ma banque à accès au tel pour vérifier que c’est bien moi, le reste agenda gps etc non.

Je nuancerai votre propos. Disons que votre banque s’assure qu’elle accède à votre téléphone, mais pas plus ……


Tout ce qui peut merder, va inévitablement merder.

Hors ligne Hors ligne

 

#145 20/10/2019 20h29

Membre
Réputation :   13  

Oui en effet.

Hors ligne Hors ligne

 

#146 20/10/2019 20h35

Membre
Réputation :   9  

zeb a écrit :

debcos a écrit :

J’accorde le strict nécessaires celle de ma banque à accès au tel pour vérifier que c’est bien moi, le reste agenda gps etc non.

Je nuancerai votre propos. Disons que votre banque s’assure qu’elle accède à votre téléphone, mais pas plus ……

Je ne sais pas si on parle bien de la même chose mais jusqu’à il y a peu, les permissions étaient soumises à validations de l’utilisateur à l’installation de l’application, avec comme choix uniques d’accepter l’intégralité des demandes de permissions, ou de refuser l’installation de l’application. Donc effectivement le développeur (une banque ou prestataire dans l’exemple) "s’assurait qu’elle accédait au téléphone mais pas plus".
Mais depuis Android 6 les permissions sont soumises à validation au runtime, au moment où celles-ci sont réellement nécessaire à une action à effectuer (accès réseau par exemple). Et l’utilisateur a la possibilité de valider et refuser au cas par cas, ce qui laisse en théorie opérationnelles les fonctionnalités non affectées par ces permissions, l’application peut rester utilisable dans beaucoup de cas. Il y a donc bien reprise de contrôle partielle par l’utilisateur.

Hors ligne Hors ligne

 

#147 21/10/2019 11h46

Membre
Réputation :   40  

Gog a écrit :

Dicci a écrit :

Personnellement, je préfère que mon téléphone détecte en moins d’une demi-seconde que je suis bien l’utilisateur du téléphone via reconnaissance faciale

Ce que je ne comprends pas, c’est comment est-ce que vous pouvez croire que votre portrait peut servir de mot de passe alors que précisément, la généralisation de la reconnaissance faciale (vidéosurveillance) va impliquer que précisément votre "mot de passe" sera connu par toutes les entreprises proposant ces systèmes (pour l’accès aux locaux pro. par exemple mais aujourd’hui on utilise ces systèmes pour autoriser des lycéens à accéder à l’établissement).

Comment peux-tu utiliser son portrait, visible par tous, comme mot de passe ? Ça me dépasse. Même pour ce qui est de l’empreinte digitale, c’est fortement déconseillé car même la CNIL a reconnu que c’était une information trop facile à récupérer et à contrefaire. Depuis des années, un appareil photo suffit, en prenant le portrait de quelqu’un saluant d’un geste, pour capturer suffisamment de détails pour tromper le système d’authentification.

Quant au caractère optionnel, c’est toujours ce qu’on nous dit en premier lieu pour faire passer la pilule, la réalité c’est qu’une fois généralisé, les alternatives se rendues pénibles, décourageantes, puis finalement éliminée.

Il ne s’agit pas seulement de connaître votre visage, mais aussi de savoir le répliquer à l’identique de manière très précise car comme cité dans les échanges, une photo ne suffit pas, il faut réussir à tromper tous les capteurs. Et autant dire que ça demande une volonté et un coût tel qu’il serait plus simple de venir me voler mon téléphone, m’attacher les mains et le confronter à mon visage. Ça serait même beaucoup plus simple. Ça fait beaucoup pour voir les dernières photos de mon chat mais pourquoi pas.

Autre détail, pour pouvoir utiliser la reconnaissance faciale, certes il faut le visage, mais aussi le périphérique dans lequel ce visage est enregistré. Ici le smartphone… bref, il faut garder en tête que la sécurisation de nos moyens de télécommunication doit être proportionnée aux risques encourus. Je n’ai rien d’exceptionnel dans mon smartphone, on serait plus attiré par mon smartphone lui-même que par ce qu’il comporte… et je doute que le voleur au coin de ma rue soit un crack en informatique.

Par ailleurs, la caméra capable de détecter mon visage au point de le reproduire à l’identique ne serait-elle pas capable d’enregistrer massivement les mots de passe saisis sur smartphone sous son nez ? Combien même vous le changez régulièrement, vous êtes filmé tous les jours.

Je pense que les vrais risques se situent dans le piratage de masse, et avec ça, peu importe le système de déverrouillage utilisé.

Dernière modification par Dicci (21/10/2019 11h49)

Hors ligne Hors ligne

 

#148 21/10/2019 12h01

Membre
Top 50 Réputation
Réputation :   535  

Re !

Henrikaya a écrit :

Il y a donc bien reprise de contrôle partielle par l’utilisateur.

Je serais d’accord avec vous si vous ajoutiez le mot "possible" après "partielle"  (ou juste avant "reprise").

Sur le fond, @Aigri résume bien les choses :

Aigri a écrit :

combien le font ?

Dernière modification par M07 (21/10/2019 12h01)


M07

Hors ligne Hors ligne

 

#149 21/10/2019 12h12

Membre
Top 50 Réputation
Réputation :   572  

Aigri a écrit :

Mais combien le font

Ceux qui en ressentent le besoin.
Soit bien peu de personne puisque même des utilisateurs éclairés, comme l’ingénieur informatique que je suis, estiment que les risques évoqués sont actuellement fantasmés (mais éventuellement réalistes dans le futur, sous condition d’une évolution drastique de la réglementation et des mentalités)


La vie d'un pessimiste est pavée de bonnes nouvelles…

Hors ligne Hors ligne

 

[+1]    #150 24/10/2019 14h42

Membre
Top 50 Réputation
Réputation :   535  

Bonjour !

Faith a écrit :

l’ingénieur informatique que je suis, estiment que les risques évoqués sont actuellement fantasmés

Cela me rappelle un de mes derniers contrats avant la retraite : la mise en place de techniques destinées à sécuriser un ensemble de données concernant une sorte de concours. Cette mise en oeuvre était imposée par le ministère de tutelle. Et c’était très contraignant : pour pouvoir se connecter, il fallait :
- Utiliser un mot de passe d’ouverture de session très complexe (au moins 12 caractères, avec majuscules, minuscules, chiffres, caractères spéciaux…). Ce mot de passe était fourni par le ministère et vérifié par un domaine distant (Active-Directory).
- Avoir installé un certificat numérique, qui demandait son propre mot de passe à chaque utilisation.
- Utiliser une carte à puce, avec un adaptateur USB, et son code PIN.
- Avoir configuré le pare-feu pour utiliser un port spécifique.

Evidemment, tout cela était d’une validité temporaire, avec obligation de renouvellement tous les ans.

Cette paranoïa était en partie liée à une attaque qu’avait subi le ministère en question.

Mais…

Les données à protéger étaient, en fait, des données publiques, faisant par la suite l’objet de publication dans des journaux.

En pratique, c’était devenu tellement difficile à utiliser que les utilisateurs préféraient se servir de tableaux Excel sur un portable.

Ce qui prouve qu’il faut réfléchir non seulement à la praticité des éléments mis en place, mais aussi à leur adéquation.

Dernière modification par M07 (24/10/2019 15h18)


M07

Hors ligne Hors ligne

 

Information Nouveau venu dans cette longue discussion ?
Flèche Consultez une sélection des messages les plus réputés en cliquant ici.

Pied de page des forums

Parrains Faites-vous parrainer
Apprendre le bonheur