Sous Android, le capteur d'empreintes pour s'identifier dans les services en ligne de Google
Hop, un nouveau clou dans le cercueil des mots de passe qu'on oublie tout le temps. Google a ajouté l'empreinte digitale à sa panoplie habituelle — le dessin d'un schéma, le code à plusieurs chiffres, le mot de passe — pour s'identifier à ses services en ligne. Bien sûr, le capteur biométrique présent dans quasiment tous les smartphones Android du marché sert déjà à déverrouiller le terminal, à valider un achat Google Pay ou encore pour s'identifier dans une application tierce.
Mais le moteur de recherche va plus loin, puisqu'il s'agit cette fois d'authentifier l'utilisateur qui se connecte à ses services depuis Chrome. Le premier à en bénéficier est passwords.google.com sur les appareils Android (à partir de la version 7.0). Ce service conserve au chaud les mots de passe de ses divers comptes en ligne. Pour connaitre le précieux sésame, il suffit de poser son doigt sur le capteur du smartphone.
D'autres services de Google devraient suivre. Apple aussi entend proposer quelque chose d'équivalent : le constructeur teste depuis quelques temps le capteur biométrique (Touch ID ou Face ID) pour s'identifier dans iCloud et pour gérer son identifiant (lire : Apple teste Face ID et Touch ID pour s'identifier sur ses sites).
Et la question à se poser immédiatement : pour ces cas, l’empreinte quitte-t-elle le téléphone, l’enclave sécurisée, et se retrouve-t-elle stockée quelque part chez Google (ou Apple) ?
Si cela te fait peur, le gouvernement, la CIA et tous les copains ont déjà ton empreinte, si tu as pris l'avion et que l'on t'a scanné, ce qui est fort probable.
Mais pour répondre a ta question: https://support.google.com/nexus/answer/6300638?hl=en
@Godverdomme
Ca ne me fait pas peur. Et un gouvernement n’est pas une entreprise privée et capitaliste (quoique c’est peut-être pire, sûrement).
Et ce que tu cites, que je sais, est antérieur à l’authentification de services en ligne. En ligne. Quelle solution technique sera utilisée ? La question étant nouvelle et différente, la réponse le sera peut-être aussi.
C'est une couche au dessus de l'OS, donc si c'est bloqué dans l'OS, l'appli de login le sera aussi. C'est une application comme les autres.
@Godverdomme
C’est certainement une option. Mais je ne veux pas me contenter d’une hypothèse.
Bien c'est plus qu'une hypothese, puisque Google s'engage que ton empreinte reste sur le téléphone, comme Apple.
Le fait d'installer une application ne change pas la sécurité du téléphone
@Godverdomme
"Bien c'est plus qu'une hypothese, puisque Google s'engage que ton empreinte reste sur le téléphone, comme Apple. "
Comme je le soulignais, c’est antérieur aux identifications en ligne, et rien ne dit que ça s’applique aussi aux identifications en ligne pour l’instant.
D’ou le fait que j’attire l’attention sur ce point.
Tu as peut-être confiance en Google et Apple pour ne rien changer à ces dispositions. Je pense qu’ils ne changeront rien. Mais je ne fais pas confiance.
Je t'envoie vers le lien que je partage plus bas!!!
Les données biométriques sont stockées dans une TEE (un espace hardware séparé) dans lequel l'OS n'a pas accès. Tout ce qu'il fait c'est donner ou pas les authorisations (oui ou non)
Franchement, l'article est intéressant (et un peu technique par moment)
Mais le système ne peut pas avoir accès aux données même si il le voulait.
Pour cela c'est plus que de la confiance, c'est tout un processus mis en plus et séparé de 'OS.
@Godverdomme
Okay merci pour l'article
@Godverdomme
Je sais tout ça.
Alors, pourquoi poser la question puisqu'il est donc impossible que tes données d'empreinte ne sortent de cette puce???
@Godverdomme
"Alors, pourquoi poser la question puisqu'il est donc impossible que tes données d'empreinte ne sortent de cette puce???"
Pour l’instant.
Comment sera implémentée l’identification par empreinte en ligne ? Peut-être par une app locale sécurisée et un système de tokens cryptographiques, peut-être pas.
Ne sachant pas quelle solution sera choisie, n’ayant aucune assurance que ça sera encore le cas, je pose cette question.
Et pourquoi pose-t-on des questions, à ton avis ? Souvent parce qu’on ne sait pas la réponse avec certitude.
Je n’ai aucun désir de me contenter d’une croyance.
C'est certain après l'explication, il est impossible de faire sortir l'empreinte de la puce.
Il n'y a pas de doute, cela remettrait en cause toute la plateforme et la sécurité.
@Godverdomme
« Your fingerprint data is stored securely and never leaves your Pixel or Nexus phone »
Est ce a dire que si on a un smartphone huawei one plus Samsung ou autre, ce n’est plus le cas du coup?
Parce que au final les pixel et les nexus c’est pas le gros du marché chez android?
(C’est une vraie question! Aucune ironie ni rien)
Il semble logique que Google ne puisse pas s'avancer pour les fabricants...
Puisque par définition, le fabricant a libre choix d'implémenter ce qui se passe quand tu mets ton doigt sur le capteur à sa sauce...
Google parle au nom de ses mobiles, et de son OS (qui est modifiable par les fabricants)
@Godverdomme
Je suis d’accord !
C’est juste l’article qui est un peu ambigu du coup 🙂
« Bien sûr, le capteur biométrique présent dans quasiment tous les smartphones Android du marché sert déjà à déverrouiller le terminal [...] Mais le moteur de recherche va plus loin puisqu'il s'agit cette fois d'authentifier l'utilisateur qui se connecte à ses services depuis Chrome. Le premier à en bénéficier est passwords.google.com sur les appareils Android »
Mais j’avoue je chipote un peu 😁
L’article laisse sous entendre que tous les smartphone android sous android 7 et + y auront droit ^^
Tous les smartphones y auront droit à cette authentification!
Il y a juste que seuls les pixels et Nexus certifient que l'empreinte reste sur le mobile, pour le reste, c'est au bon vouloir et à l'honnêteté du fabricant.
@Godverdomme
Effectivement je l’ai aussi compris comme ça, mais comme je disais « je chipote » 😁😉
@fte
Pas chez Apple en tout cas
Pas chez Google non plus
https://support.google.com/nexus/answer/6300638?hl=en
@Godverdomme
Commentaire bien tourné (et précis ! J’apprécie 🙂)
« Pas chez android » aurait été faux !
Mais « pas chez Google » est vrai du coup 😁
Bien au final si, c'est obligatoire: https://www.androidcentral.com/how-does-android-save-your-fingerprints
J'avais effectivement été prudent au début...
A TEE is a separate and isolated area in the phone's hardware. A TEE might use its own processor and memory or it can use a virtualized instance on the main CPU. In both cases, the TEE is fully isolated and insulated using hardware-backed memory and input/output protection. The only way you will be getting in is if the TEE lets you in, and it never will. Even if the phone is rooted or the bootloader unlocked, the TEE is separate and still intact.
Google uses what they call Trusty TEE to support this. A very small and efficient operating system, appropriately named Trusty OS, runs on the TEE hardware and kernel drivers allow it to communicate with the system.
The validation data is stored inside the TEE. When you place your finger on the scanner to try and do something, the scanner builds a profile of data. Through the Trusty API, the associated application asks the kernel to ask the TEE if it's right. The TEE checks against the stored validation data using its separate processor and memory, and if enough of the data matches it says yes. If there isn't enough matching data, it says no.
@Godverdomme
Avec un accès root , j'imagine que tu peux faire ce que tu veux.
C'est pourquoi les applications bancaire refusent les appareils jailbreakés/rootés
Il faut lire l'article, c'est stocké sur une puce a part et donc inaccessible, même en root
Even if the phone is rooted or the bootloader unlocked, the TEE is separate and still intact.
(..)
Where fingerprint profiles are stored must not be visible to any application, process, or user including the root user
C’est pas ce qu’on a déjà par chez nous ?
Comme j’ai un passeport biométrique, le gouvernement US a mes empreintes, depuis que je suis allé à plusieurs reprises à New York ,cela ne me dérange pas.
Par contre si Google les a, c’est plus embêtant, car, il doivent pouvoir commercer avec cette donnée !
Pour Google, un service en vaut un autre !
zspy59
Goog n'a jamais commercé ton nom, ni adresse, ni tel..
Sinon on serait spammer a longueur de journée.
Il faut arrêter de dire nimp.
@rikki finefleur
Des entreprises tiers peuvent bien lire le mails Gmail de ses utilisateurs !
Mais sinon Google = 👼
Il faut arrêter de défendre l’indéfendable !
@zspy59
« Des entreprises tiers peuvent bien lire le mails Gmail de ses utilisateurs ! »
La récompense du troll le plus moisi et le moins original est décernée à zspy59.
@webHAL1
« « Des entreprises tiers peuvent bien lire le mails Gmail de ses utilisateurs ! »
La récompense du troll le plus moisi et le moins original est décernée à zspy59. »
Non, pas totalement.
Pas toutes les entreprises, mais certains développeurs si tu en donnes l’autorisation (et on connaît les possibilités que donnent les forêts de CGU), oui.
Les sources solides à ce sujet sont présentes sur le net.
Après, franchement, du moment qu’on a accès à ces autorisations et qu’on peut les révoquer, je m’en fous.
@Bigdidou
« [...] si tu en donnes l’autorisation [...] »
Oui. Ça fait quand même TOUTE la différence.
Car à ce moment, je peux affirmer :
Avec [insérer ici votre prestataire de courrier électronique] n'importe qui peut lire vos messages ! (1) C'est un véritable scandale !
(1) Si vous leur donnez vos identifiants de connexion.
@webHAL1
« Avec [insérer ici votre prestataire de courrier électronique] n'importe qui peut lire vos messages ! (1) C'est un véritable scandale ! »
Bon on va mettre un extrait ça évitera qu’on te suive dans cette comparaison exagérée et donc dénuée de sens
« Selon un article publié le 2 juillet par le Wall Street Journal, des développeurs ont pu lire vos emails en toute tranquillité. La journal américain explique ainsi que des « centaines de développeurs tiers [a pu] lire les messages de millions d’utilisateurs Gmail ». L’accès à ce contenu censé être privé a pu être rendu possible grâce au fameux message qui demande aux utilisateurs d’accepter qu’une application tierce puisse utiliser un compte Gmail lors de la connexion. En validant cette demande, un utilisateur autorise l’entreprise tierce à accéder à lire, mais aussi supprimer, envoyer ou organiser ses mails. Cela signifie que ces applications tierces ont demandé et reçu explicitement le consentement explicite de l’utilisateur concerné avant de pouvoir se plier à cette pratique »
@zspy59
"Des entreprises tiers peuvent bien lire le mails Gmail de ses utilisateurs !"
Ah bon ?
Source ?
zspy59 |
Démontre moi si goog a commercé ton nom , ton adresse, ton tel..
Si tu n'y arrives pas , stoppez vos fakes..
Par contre goog , apple , amazon et cie , ont bien écouté des conversations privées sans que les utilisateurs en soient informés. Et cela me parait bien plus grave, des boites qui se croient tout permis.
Oui tu as bien lu il y a apple dedans, alors qu'elle faisait pub comme quoi rien ne sortait de votre iphone..
Vous avez beaucoup a apprendre sur ces sociétés du numérique et des gafa..
Pas une pour rattraper l'autre.
Entre la pub et la réalité il y a un pas.
Tiens un commentaire objectif.. Ca change du niveau moyen habituel...
@rikki finefleur
C'est fou comment tu s***s google à longueur de commentaire , et ensuite tu fais le gars neutre 🤦♂️
Ouais sur un site d’Applesucker ça fait des taches....
malcolmZ07
Non juste rétablir des propos qui sont faux, et si cela te défrise tant pis.
Quand a ta répartie (haut level) tu n'as pas trouvé mieux , car la c'est du genre podium lorque l'on a rien a dire.. ?
Si tu arrives a me trouver si goog vend ton nom tel et adresse... cela sera plus constructif, car notre ami n'a pas pu nous le montrer.
Le jour où cela sera prouvé, Google fermera simplement ses portes on on n'en entendra plus parler.
On peut détester Google, mais faire comme certains et supposer qu'ils revendent les données, cela n'a aucun sens
Mais pourquoi est-ce que je lis les commentaires ? 🙄😅
Tu les lis, et tu prends le temps d'y répondre, c'est encore plus bête...