Touch Id : mieux qu'un mot de passe ??

watermelon · 12-09-2013 10:07:48

Le nouvel iphone 5S introduit un nouveau mécanisme de "sécurité" afin de pouvoir vous authentifier et déverrouiller votre téléphone. Cette authentification servira aussi pour faire des achats sur l'App Store, et servira sans doute à terme pour des applications tierces via des APIs.

Mais pensez vous vraiment que cette authentification est le "Saint Graal" en terme de sécurité ? Est ce vraiment mieux que l'usage d'un mot de passe ?

eyePhone · 12-09-2013 10:28:57

Rien est à 100% sécurisé mais j'espère qu'Apple à bien assuré sur ce coup là.
À mon avis, c'est plus pour un gain de temps que de sécurisation car si on souhaite vraiment sécuriser son iPhone pour le débloquer, on peut transformer les 4 chiffres par un code alphanumérique et là ça commence à devenir compliqué pour trouver le code.

benito_6220 · 12-09-2013 10:29:39

Apparemment, déjà une faille trouvée sur ce nouveau Touch Id

jeanbaptistelp · 12-09-2013 10:33:33

Ah oui : http://iphoneaddict.fr/post/news-88103- … liphone-5s

watermelon · 12-09-2013 10:53:18

Mon avis est que l'utilisation d'empreinte digitale est tout sauf sécurisée : autant un mot de passe, s'il est compromis, peut etre changé, autant une empreinte digitale, pas vraiment !

Et des moyens de falsifier une empreinte digitale existent déjà, depuis plus de 10 ans, via ces 2 methodes par exemple :
http://stdot.com/pub/ffs/hack2.html
http://stdot.com/pub/ffs/hack3.html

rico · 12-09-2013 10:56:34

jeanbaptistelp a écrit :

Ah oui : http://iphoneaddict.fr/post/news-88103- … liphone-5s

Pour répondre à la question, tout ce qui peut simplifier la vie est de mon point de vue un plus, le touch Id s'y inscrit parfaitement

@watermelon,
Faut quand même y aller un peu pour faire comme sur les liens que tu montres... je ne pense pas que tout le monde soit aussi affuté, surtout pour un iPhone.
Après pour le reste... la sécurité parfaite à 100% n'existe surement pas, s'en rapprocher est déjà pas mal

jeanbaptistelp · 12-09-2013 10:58:29

le plus sécurisant est tout de meme de pouvoir bloquer l'iPhone a distance, l'empreinte est plus une question de facilité d'utilisation qu'une sécurité réelle.

Saturnin2 · 12-09-2013 11:05:47

Gain de temps énorme. Parfait. Nécessaire. Indiscutablement.

benito_6220 · 12-09-2013 11:16:41

Pour moi c'est plus un gadget qu'autre chose mais bon, y a du bon et du moins bon à ce bouton

watermelon · 12-09-2013 11:26:50

Il est certain que pour le commun des mortels, cette sécurité est peut etre suffisante. Mais dans ce cas, est elle alors necessaire ? Il est contradictoire de dire que d'un coté cette sécurisation est necessaire et indiscutable, et de l'autre que son efficacité relative n'est pas un probleme !
Mais quelqu'un qui possède des informations importantes, et qui ne compte que sur son empreinte digitale pour sécuriser son telephone, peut croire à tord qu'il est parfaitement protégé. Une fois compromise, l'empreinte digitale ne peut plus etre changée.

Aucun systeme de sécurisation n'est parfait, contrairement à ce que certains naïfs ou ignorants dans le domaine peuvent penser.

dbanon · 12-09-2013 11:57:08

Pour ma part je pense qu'un mot de passe est plus facile à trouver que reproduire une empreinte. Après comme le dit Watermelon, une empreinte si elle est falsifiée, ne peut plus être modifiée alors qu'un mot de passe se change. Donc là effectivement... Mais encore faut-il que l'empreinte est pu être falsifiée.

A part ça ça reste plus pratique de poser son doigt une seconde que taper un mot de passe. Et le problème des mots de passe, par exemple sur les sites web, c'est qu'ils sont chaque fois envoyés au serveur pour vérification du mot de passe (et qui dit passage sur le réseau dit plus de chance de se faire "sniffer" le mot de passe). L'empreinte elle reste sur l'iPhone.

rico · 12-09-2013 11:57:58

Perso je le vois plus à la base comme un élément de confort supplémentaire qui deviendra une chose naturelle au bout de quelques jours, ou heures.
Passer le doigt sur le bouton Home suffira pour déverrouiller, tip top
Je préfère nettement ça à Siri, même si certaines personnes lui trouvent une réelle utilité, comme un pote qui est les 3/4 du temps au volant et l'utilise quotidiennement.
Je pense que dans les mois ou années à venir ce lecteur d'empreintes aura bien d'autres utilités, nous n'en sommes qu'au début.
Et quand toutes les autres marques s'y seront mises, on constatera une fois encore que c'est Apple qui a été précurseur.

watermelon · 12-09-2013 12:16:53

dbanon a écrit :

Pour ma part je pense qu'un mot de passe est plus facile à trouver que reproduire une empreinte. Après comme le dit Watermelon, une empreinte si elle est falsifiée, ne peut plus être modifiée alors qu'un mot de passe se change. Donc là effectivement... Mais encore faut-il que l'empreinte est pu être falsifiée.
A part ça ça reste plus pratique de poser son doigt une seconde que taper un mot de passe. Et le problème des mots de passe, par exemple sur les sites web, c'est qu'ils sont chaque fois envoyés au serveur pour vérification du mot de passe (et qui dit passage sur le réseau dit plus de chance de se faire "sniffer" le mot de passe). L'empreinte elle reste sur l'iPhone.

Concernant les mots de passe, il faut savoir trouver un mot de passe qui soit assez sécurisé. Par exemple, il sera toujours plus facile de déchiffrer par "brute force" quelque chose comme "df45rrRd" (environ 53 minutes à cracker) plutôt que quelque chose comme "Ceciest1motdepassecompliqué!", qui prendra 26075918421365684 années à trouver par cette technique, pourtant le 2e semble plus facile à retenir !!

Concernant l'accès aux sites web, l'utilisation d'un mot de passe ou d'une empreinte digitale ne change rien au probleme : en effet, l'authentification au moyen de ton empreinte digitale sur ton terminal ne permet que d'avoir accès aux magasins de certificats locaux qui contiennent ta clef privée qui elle sera envoyée par le réseau pour acceder aux données stockées à distance dans une DB. Cette clef, pour ne pas etre compromise, doit etre elle meme cryptée lors de la transmission (d'où l'utilisation du HTTPS par exemple). De l'autre coté, le serveur récupere cette clef et va s'assurer qu'elle correspond bien à ton identifiant pour donner l'accès aux données elles-memes.

Bon là j'ai vraiment simplifié le process, mais en gros c'est ça. Au final, comme le dit Apple, l'empreinte digitale est stockée localement sur ton telephone, mais il faut bien envoyer "autre chose" au serveur (App store par exemple) pour que lauthentification soit faite. Si c'etait les infos de l'empreinte elle meme qui étaient envoyées sur le réseau, le risque de se faire "sniffer" comme tu dis ces infos seraient encore plus problématique, car il serait certain que nous verrions apparaitre des outils permettant de reproduire artificiellement l'empreinte digitale à partir de ces infos et ainsi de tromper tous les systemes de sécurité existants, sans possibilité de "changer" l'empreinte originale utilisée.

Dernière modification par watermelon (12-09-2013 12:22:57)

Blackjack87 · 12-09-2013 12:20:17

De plus, cela devrait réduire les risques de voles des prochains iphones (du moin jespère), contrairement a la concurrence.
Je trouve l'attitude d'Apple très positive de ce coté la, j'attendais cela depuis un moment deja, et pas besoin d'etre sur Paris pour en avoir fait l'expérience..

Il y a qu'une question qui me pose souci : que se passe t'il si notre pouce ou il y a l'empreinte est blessé... Y aurat'il une solution de secour... Ou que se passe t'il si le bouton home lache.. Changer l'iphone OK, mais la sauvegarde si on peut pas la faire...

Si vous avez des news de ce coté la svp..

watermelon · 12-09-2013 12:23:46

Pas de doigts, pas de ...

VanZoo · 12-09-2013 12:35:32

Saturnin2 a écrit :

Gain de temps énorme. Parfait. Nécessaire. Indiscutablement.

Il ne faut pas exagérer non plus

dbanon · 12-09-2013 12:48:05

watermelon a écrit :

dbanon a écrit :
Pour ma part je pense qu'un mot de passe est plus facile à trouver que reproduire une empreinte. Après comme le dit Watermelon, une empreinte si elle est falsifiée, ne peut plus être modifiée alors qu'un mot de passe se change. Donc là effectivement... Mais encore faut-il que l'empreinte est pu être falsifiée.
A part ça ça reste plus pratique de poser son doigt une seconde que taper un mot de passe. Et le problème des mots de passe, par exemple sur les sites web, c'est qu'ils sont chaque fois envoyés au serveur pour vérification du mot de passe (et qui dit passage sur le réseau dit plus de chance de se faire "sniffer" le mot de passe). L'empreinte elle reste sur l'iPhone.
Concernant les mots de passe, il faut savoir trouver un mot de passe qui soit assez sécurisé. Par exemple, il sera toujours plus facile de déchiffrer par "brute force" quelque chose comme "df45rrRd" (environ 53 minutes à cracker) plutôt que quelque chose comme "Ceciest1motdepassecompliqué!", qui prendra 26075918421365684 années à trouver par cette technique, pourtant le 2e semble plus facile à retenir !!
Concernant l'accès aux sites web, l'utilisation d'un mot de passe ou d'une empreinte digitale ne change rien au probleme : en effet, l'authentification au moyen de ton empreinte digitale sur ton terminal ne permet que d'avoir accès aux magasins de certificats locaux qui contiennent ta clef privée qui elle sera envoyée par le réseau pour acceder aux données stockées à distance dans une DB. Cette clef, pour ne pas etre compromise, doit etre elle meme cryptée lors de la transmission (d'où l'utilisation du HTTPS par exemple). De l'autre coté, le serveur récupere cette clef et va s'assurer qu'elle correspond bien à ton identifiant pour donner l'accès aux données elles-memes.
Bon là j'ai vraiment simplifié le process, mais en gros c'est ça. Au final, comme le dit Apple, l'empreinte digitale est stockée localement sur ton telephone, mais il faut bien envoyer "autre chose" au serveur (App store par exemple) pour que lauthentification soit faite. Si c'etait les infos de l'empreinte elle meme qui étaient envoyées sur le réseau, le risque de se faire "sniffer" comme tu dis ces infos seraient encore plus problématique, car il serait certain que nous verrions apparaitre des outils permettant de reproduire artificiellement l'empreinte digitale à partir de ces infos et ainsi de tromper tous les systemes de sécurité existants, sans possibilité de "changer" l'empreinte originale utilisée.

Oui j'ai pas trop réfléchi en fait.

Ce que à quoi je pensais c'est que les mots de passe circulent (en clair ou cryptés) sur le réseau, et donc peuvent se faire intercepter. Ensuite ce mot de passe pourrait être utilisé par quelqu'un d'autre sur le site (ou même d'autres sites, vu le nombre de personnes qui utilisent le même mot de passe pour tout).
Ce que j'imaginais c'est que dans le cas de l'empreinte, on n'envoie jamais l'empreinte au site pour qu'il fasse la vérif lui même, mais la vérif se fait côté iOS, qui envoie ensuite au site uniquement l'identifiant de la personne qui veut se connecter (sous-entendu l'identification est ok, vous pouvez lui donner l'accès). Bon évidemment dans ce cas (et j'y connais rien) il faut assurer qu'on ne puisse pas simplement contrefaire le passage de l'identifiant au site web, parce que pour le coup on pourrait se connecter avec n'importe quel compte sans même avoir à trouver un mot de passe ou quoi que ce soit.

Tout ça pour dire en fait que j'en sais rien

Laurent-iPhon.fr · 12-09-2013 13:54:10

Pour revenir à la question initiale, "touch id : mieux qu'un mot de passe" , je pense qu'il y a deux contextes :
- le mec normal qui e balade avec son iPhone, le pose au boulot sur le bureau et n'est ni membre de la CIA ni d'un groupe terroriste ... Mais que ça a toujours gonflé de rentrer son pass toutes les 10 Minutes sur son iPhone pour aller voir un tweet ou autre.
celui-là -> il renonçait (souvent, parfois ? ) à mettre un pass à taper / ou s'énervait de la perte de temps à chaque fois
Celui-là -> avec Touch Id il a un geste naturel, qui ne change quasi rien à ses habitudes "sans mot de passe" ou les améliore comparé à "avec mot de passe" et pourtant, sa machine est protégée des regards indiscrets au quotidien, ou si il perd sa machine dans la rue ou dans les transports. En ne changeant quasi rien à ses habitudes.
Pour celui-là ... Touch Id est 200 fois mieux que pas de mot de passe

Pour les autres, qui veulent une sécurité absolue parce que ce qu'ils mettent à lintérieur est (au choix) secret d'état, plan de bombe, placement en Suisse, et bien pas certain que ce soit mieux avec Touch Id, de toute manière si ce mec a des secrets, l'iPhone n'est surement pas le meilleur endroit pour les mettre ... Cf Prism and co ...

Mais combien sont dans ce dernier cas et à qui parle Apple, à ceux là ? ou au mec du dessus qui sont légions ?

Donc oui Touch Id est mieux ... pour x % des utilisateurs ;-). Les autres le désactiveront ou nachèteront pas l'iPhone 5S pour ça.

Reste que même avec code de protection / ou empreinte digitale, les données sensibles (comptes, login) devront être conservées dans une appli qui les protège et les encrypte (1Password, Keychain, ...)

PS : pour ceux qui craignent la blessure au doigt : au bout de trois essais, un code est demandé et 5 doigts différents peuvent être mémorisés

Australian_squale · 12-09-2013 14:03:50

Je suis bien d'accord Laurent. Je rajouterais que celui qui a des choses très confidentielles à cacher et top secret défense, ferait mieux de ne jamais laisser ces informations dans un smartphone quelqu'il soit!!!

watermelon · 12-09-2013 14:07:21

Pour le coté pratique je suis tout à fait d'accord : jusqu'à présent je n'utilisais jamais de mot de passe pour verrouiller mon telephone en veille, car saisir un code systématiquement est très contraignant. Avec ce mécanisme simple et intuitif, peut etre que je l'activerais.. si j'ai besoin d'ajouter un peu de confidentialité ou de sécurité dans certaine situations.

Dernière modification par watermelon (12-09-2013 14:07:38)

gregorz · 12-09-2013 14:20:37

Bonjour,

Je me permet de vous donner mon avis, bien que je n'apparaisse pas souvent sur ce forum.

Etant aveugle, je vais vous donner, mon avis, par rapport à ma situation.

L'avantage de cette nouvelle technologie, c'est que VoiceOver ne donnera pas les mots de passes saisis par l'utilisateur.

Ca fait partie d'un des problèmes de sécurisation avec un lecteur d'écran, et je suis vraiment très heureux qu'Apple 'est résolu cette problématique.

Merci de m'avoir lu,

Greg

dbanon · 12-09-2013 14:23:14

Je suis d'accord également pour le côté pratique. Je n'ai jamais mis de code de déverrouillage parce que trop long à chaque fois.
Là pour la première fois de ma vie sur un téléphone/smartphone, j'aurai un système de verrouillage pour sortir de veille.

Noriil · 12-09-2013 14:37:34

Question bête mais : Pour déverrouiller son iPhone, on pose simplement son doigt sur le touche home ou il faut presser le bouton ?
Parce que si un toucher tactile sans appuie suffit, ça peut augmenter sensiblement la durée de vie du bouton home et éviter les soucis des dernières années.
Je sais c'est un détail comparé aux soucis de sécurité etc mais je trouve que ça reste un avantage parce que ça fait 1 an que je me trimbale un bouton home capricieux et c'est chiant !

dbanon · 12-09-2013 14:48:08

Noriil a écrit :

Question bête mais : Pour déverrouiller son iPhone, on pose simplement son doigt sur le touche home ou il faut presser le bouton ?
Parce que si un toucher tactile sans appuie suffit, ça peut augmenter sensiblement la durée de vie du bouton home et éviter les soucis des dernières années.
Je sais c'est un détail comparé aux soucis de sécurité etc mais je trouve que ça reste un avantage parce que ça fait 1 an que je me trimbale un bouton home capricieux et c'est chiant !

Il suffit de poser le doigt, sans appuyer sur le bouton donc !

Noriil · 12-09-2013 14:52:03

dbanon a écrit :

Noriil a écrit :
Question bête mais : Pour déverrouiller son iPhone, on pose simplement son doigt sur le touche home ou il faut presser le bouton ?
Parce que si un toucher tactile sans appuie suffit, ça peut augmenter sensiblement la durée de vie du bouton home et éviter les soucis des dernières années.
Je sais c'est un détail comparé aux soucis de sécurité etc mais je trouve que ça reste un avantage parce que ça fait 1 an que je me trimbale un bouton home capricieux et c'est chiant !
Il suffit de poser le doigt, sans appuyer sur le bouton donc !

Good news ! Rien que pour ça je suis preneur, enfin quand j'aurais vendu mon rein gauche + mon iPhone 4.

Forum iPhone, iPad, Apple Watch de iPhon.fr

Annonce

#1 12-09-2013 10:07:48

Touch Id : mieux qu'un mot de passe ??

#2 12-09-2013 10:28:57

Re : Touch Id : mieux qu'un mot de passe ??

#3 12-09-2013 10:29:39

Re : Touch Id : mieux qu'un mot de passe ??

#4 12-09-2013 10:33:33

Re : Touch Id : mieux qu'un mot de passe ??

#5 12-09-2013 10:53:18

Re : Touch Id : mieux qu'un mot de passe ??

#6 12-09-2013 10:56:34

Re : Touch Id : mieux qu'un mot de passe ??

#7 12-09-2013 10:58:29

Re : Touch Id : mieux qu'un mot de passe ??

#8 12-09-2013 11:05:47

Re : Touch Id : mieux qu'un mot de passe ??

#9 12-09-2013 11:16:41

Re : Touch Id : mieux qu'un mot de passe ??

#10 12-09-2013 11:26:50

Re : Touch Id : mieux qu'un mot de passe ??

#11 12-09-2013 11:57:08

Re : Touch Id : mieux qu'un mot de passe ??

#12 12-09-2013 11:57:58

Re : Touch Id : mieux qu'un mot de passe ??

#13 12-09-2013 12:16:53

Re : Touch Id : mieux qu'un mot de passe ??

#14 12-09-2013 12:20:17

Re : Touch Id : mieux qu'un mot de passe ??

#15 12-09-2013 12:23:46

Re : Touch Id : mieux qu'un mot de passe ??

#16 12-09-2013 12:35:32

Re : Touch Id : mieux qu'un mot de passe ??

#17 12-09-2013 12:48:05

Re : Touch Id : mieux qu'un mot de passe ??

#18 12-09-2013 13:54:10

Re : Touch Id : mieux qu'un mot de passe ??

#19 12-09-2013 14:03:50

Re : Touch Id : mieux qu'un mot de passe ??

#20 12-09-2013 14:07:21

Re : Touch Id : mieux qu'un mot de passe ??

#21 12-09-2013 14:20:37

Re : Touch Id : mieux qu'un mot de passe ??

#22 12-09-2013 14:23:14

Re : Touch Id : mieux qu'un mot de passe ??

#23 12-09-2013 14:37:34

Re : Touch Id : mieux qu'un mot de passe ??

#24 12-09-2013 14:48:08

Re : Touch Id : mieux qu'un mot de passe ??

#25 12-09-2013 14:52:03

Re : Touch Id : mieux qu'un mot de passe ??

Pied de page des forums