L’authentification biométrique pourrait devenir un standard du web

Nicolas Furno |

Apple intègre déjà son service de paiement dans Safari, son navigateur web maison. Sur les sites compatibles, on peut autoriser un paiement avec Apple Pay en utilisant Touch ID ou Face ID pour finaliser l’opération. Cette fonction est spécifique à l’entreprise de Cupertino et réservée à ses produits, mais l’idée pourrait bientôt devenir un standard du web, présent dans tous les navigateurs.

On en est encore loin, mais un projet d’API a été présenté au W3C, l’instance qui définit les standards du web. « Web Authentication » prévoit tous les mécanismes pour qu’un navigateur demande à l’appareil sur lequel il tourne une confirmation d’identité, que ce soit pour que l’utilisateur se connecte à un site, ou bien pour valider un paiement. En fonction des cas, cette confirmation pourra se faire simplement avec un code saisi sur le terminal utilisé, ou bien avec un capteur d’empreintes ou encore un dispositif de reconnaissance faciale.

https://www.youtube.com/watch?v=UNI_Ad-9gX8

Mozilla et Google ont travaillé sur cette fonction, que l’on peut expérimenter dans les versions préliminaires de Firefox et de Chrome. Dans la liste de contributeurs, la présence de plusieurs employés de Microsoft laisse entendre que l’API devrait être prise en charge à terme par Edge. En revanche, Apple brille par son absence et on n’est pas sûr que le constructeur trouverait un intérêt à prendre en charge ce standard plutôt que son propre système.

Le grand gagnant devrait de toute manière être Android, qui pourra ainsi proposer une solution simple et sécurisée aux créateurs de site pour autoriser une action avec les capteurs biométriques présents sur les smartphones. Néanmoins, il y a encore du chemin à parcourir, puisque la prise en charge se limite pour le moment à deux navigateurs sur les ordinateurs traditionnels, et encore uniquement sur des versions de développement.


Source
avatar r e m y | 

En parlant de sites compatibles ApplePay... il serait peut-être temps qu'Apple fasse le nécessaire pour autoriser ce mode de paiement sur l'iTunes Store et l'appStore!

avatar Sgt. Pepper | 

@r e m y

Le serpent ? qui se mord la queue ?

Une carte est déjà présente et obligatoire pour AppStore Non?
Carte qui peut être ajoutée à Apple Pay si compatible...

avatar r e m y | 

@Sgt. Pepper

Non on n'est pas obligé d'avoir renseigné une carte bancaire sur son compte, on peut créditer le compte en achetant une carte AppStore par exemple.
Pouvoir payer par ApplePay permettrait de valider le paiement achat par achat sans avoir à laisser traîner son numéro de carte bancaire sur les serveurs d'Apple.

avatar Sgt. Pepper | 

@r e m y

Ha ok ?
Je comprends (même si c’est pas demain que la carte chez Apple pourra être fraudée)

Mais obligatoire que pour le partage Familial, il me semble

avatar minipapy | 

@Sgt. Pepper

Ça, tu n’en sais strictement rien. Les failles, il y en a dans tous les systèmes et tous les audits du monde ne peuvent pas garantir sa sécurité.

Certaines protections sont plus efficaces que d’autres, mais rien n’est infaillible.

Et entre des ingénieurs qui passent leur journée à essayer de protéger le système et les hackers qui passent les leur à essayer de le forcer, c’est au premier qui trouvera la vulnérabilité.

On ne peut jamais dire quand le système va tomber. Ce n’est pas parce que c’est une entreprise multimilliardaire qui gère que les vulnérabilités s’effacent. Au contraire, elle devient une proie d’autant plus intéressante !

Et les récents déboires d’Apple avec High Sierra et iOS 11, d’Intel avec Spectre et Meltdown,... le rempart n’a jamais semblé si près de céder.

Ça ne remet pas en cause le fait qu’ils disposent sans doute de personnes très compétentes et qu’ils font leur possible pour protéger efficacement, mais il te faut prendre un regard un peu plus objectif.

avatar iPop | 

@r e m y

Plutôt l’inverse j’aurai cru, APPLE disposant déjà une carte bancaire avec un identifiant, au lieu de s’emmerder avec des accords pour Apple Pay qui ne sont pas encore tous aboutis.

avatar r e m y | 

@iPop

Pas compris ta réponse...
Moi ce que j'aimerais, c'est de pouvoir utiliser ApplePay sur iTunes Store et AppStore sans avoir à laisser mon numéro de carte bancaire sur le site Apple (comme je peux déjà le faire sur AppleStore par exemple)

Mon compte iTunes est le dernier compte Internet où j'aie laissé mon numéro de carte bancaire.
Sur tous les autres, soit je paye par ApplePay (pour les quelques sites compatibles) soit j'utilise des numéros virtuels créés à la demande au moment du paiement.

avatar iPop | 

@r e m y

Simplement que l’on aurait pu TOUT payer avec le compte iTunes Store. Puisque qu’Apple possédant DÉJÀ notre carte bancaire.

avatar r e m y | 

@iPop

Mais justement... je ne veux PAS laisser ma carte bancaire sur le compte iTunes Store!

avatar iPop | 

@r e m y

J’avais compris mais en attendant ma banque n’est toujours pas compatible APPLE Pay. Sera t-elle un jour ?
Donc ça ne me sert strictement à rien.
Ou plus simple, APPLE deviendrait une banque.

avatar Biking Dutch Man | 

@iPop

Dans un sens Apple est déjà une banque, ils ont plus d'argent que beaucoup de banques mises ensembles!

avatar Sgt. Pepper | 

C’est pénible cette vidéo qui bouge dans tous les sens .?
Mais pourquoi il ne le pose pas sur la table? .?

Mais bon sang c’est bien sûr :car le capteur est au dos ? ?‍♂️

?

avatar Sgt. Pepper | 

Vu la pauvre qualité du biométrique sur Android ( capteur facial Samsung ,...), ?

il va être risqué pour les vendeurs de faire confiance a la seule confirmation du mobile que l’utilisateur est le bon ?

avatar sambucus | 

Plus des systèmes de paiement différents existeront, plus le piratage sera compliqué, donc peu intéressant. Le pire serait l'uniformisation.

avatar fornorst | 

@sambucus

Très discutable ça : avec plein de petits acteurs qui mettent en place ce système, le risque qu’un de ces acteurs aient des failles de sécurité est plus important qu’avec un standard pensé par plusieurs entreprises importantes et mis en place dans les grands navigateurs

avatar pommedor | 

Et donc peu de personnes affectés en cas de soucis. La moindre faille dans ton "standard pensé par plusieurs entreprises importantes et mis en place dans les grands navigateurs" et c'est la TOTALITE des utilisateurs qui vont subit ça.

Comme le nouveau 0day pour reset les mdp d'hotmail, ou celui qui vient de faire des dizaines de milliers de victimes parmis les switchs Cisco, les 5 failles que MS vient de patcher et qui sont + que critiques, etc, etc.

Quasiment tout les jours on apprend qu'ya une nouvelle faille à ne pas prendre à la légère qui touche un ou des produits pensé(s) par une entreprise importante.

avatar sambucus | 

@fornorst

C'est exactement cela. Je n'ai pas écrit "plein de petits acteurs", j'ai exprimé l'idée d'une multiplicité de systèmes de paiement.

Ceux-ci doivent être parfaitement sécurisés cela va de soi, mais ce n'est pas mon propos.

Trop d'uniformisation fragilise. Revers de la médaille, les systèmes de paiement doivent accepter plusieurs techniques, ce qui produit un surcoût. C'est le prix à payer. La rationalité pense le contraire.

L'idée est à associer au constat que Windows a été plus attaqué par des malveillants que MacOS, parce qu'il était hégémonique et l'est toujours.

avatar C1rc3@0rc | 

@sambucus

Une multiplicité de moyens de paiement a un avantage securitaire s'ils ne sont pas de meme nature et s'ils ne sont pas liés automatiquement au meme compte bancaire.

Il y a 4 types de paiement actuellement:
- la carte bancaire
- le virement
- le cheque
- le cash (especes)

les 3 premiers sont lies. Le piratage de l'un permet d'acceder a l'argent du compte. On a donc 3 acces de premier niveau au compte bancaire. Donc 3 lignes de risques

le 4eme est le seul securisé qui ne donne aucun acces ni information au compte bancaire (et ne permet pas d'obtenir de donnees personnelles)

Maintenant prenons les "nouveaux moyens de paiments":
- cartes de credit
- comptes virtuel (paypal)
- comptes electronique tiers (Apple Pay / Amazon,...)
- cartes prepayées
- cryptomonnaies

Les cartes de credits, comptes virtuels, comptes electronique tiers... sont lies au compte bancaires. Chacun represente donc un acces de plus au compte bancaire, donc une voie potentielle de plus de piratage.

La carte prepayée en principe a l'avantage du cash (mais faut faire attention a ce qui est enregistré lors de son achat et donc faire l'achat en... cash)

Les cryptomonnaies sont normalement independantes du compte bancaire.

Bref la regle est simple, plus on fait des ouvertures dans une maison -meme en y mettant de portes reputées de securité - plus on multiplie les voies d'intrusion et plus la surveillance devient difficile.

En realité il n' y a que 2 moyens de paiments reels: le cash (direct) ou la transaction supervisée ( par un ensemble d'acteurs - dont la banque)

Le cash represente la forme la plus securisé de paiment.
La transaction supervisée est celle qui presente la plus forte exposition et plus cette transaction emprunte des chemins multiples et des acteurs variés plus elle presente de risques.

avatar jerry75 | 

Y’a que moi qui trouve cela effrayant ?

Non parce que payer avec Touchid je trouve cela pratique, en revanche accéder à des sites avec touchid ??? Cela signifie que chacune de nos consultation sera retraçable aisément, et le flicage sera total ! Ou alors je n’ai pas bien compris ... je sais que l’on peut déjà nous retracer, mais si on ne le souhaite pas, on peut toujours utiliser un VPN.
La en l’occurrence, on laissera l’ empreinte de notre passage sans autre possibilité ... non ?

Je suis peut-être un peu parano ...

avatar r e m y | 

@jerry75

Que l'authentification soit biométrique ou classique (saisie d'un identifiant et mot de passe), à partir du moment que tu t'identifies, le propriétaire du site sait que c'est toi, non? (VPN ou pas)

avatar pommedor | 

Bah non c'est pas pareil, si à un gars à l'autre bout du monde, ou un proche, récupère tes identifiants et fait le couillons avec. A quel moment c'est la même chose que d'être authentifier par des marqueurs biométriques que t'es censer être le seul à posséder et pouvoir utiliser ?

Et le jour où un leak de plusieurs dizaines ou centaines de millions, voir des milliards façon compte mail yahoo, des données biométriques. Ils font comment les gens ensuite pour contester être à l'origine de l'utilisation frauduleuse que les piratent pourraient en faire et pour les modifier par la suite ? On change tous de rétine et de l'emprunte des nos doigts ?

avatar r e m y | 

@pommedor

L'identification biométrique se fait en local. Rien n'est envoyé au site de tes données biométriques. La seule info qui est envoyée au site c'est que l'identification a été passée avec succès et qu'il peut donc te donner accès.

avatar pommedor | 

Donc ni les OS, ni les navigateurs n'ont de soucis avec la moindre faille de sécurité ? Pourtant MS vient d'en patcher certaines, ce mois-ci en plus, qui rappelent ios à l'époque de jailbreakme...

avatar en ballade | 

@pommedor

Tu préfère envoyé ton visage sur les serveurs américains ?

avatar C1rc3@0rc | 

@pommedor

«Bah non c'est pas pareil,»

Tu melanges 2 problemes.

Le premier c'est la notion de tracking certifié.
Tu es authentifié par un systeme - avec une valeur constante genre nº de serie ou identifiant legal quel qu'il soit - donc tes actions, comportements et donnees sont utilisables -legalement- et exploitables de maniere fiable par quiconque y a acces - a fortiori la societe derriere le site.

Tu utilise un Apple ID, il est lie a des information civiles (telephone, adresse,...) et bancaire (qui conduit en plus a tes informations civiles)
Tu es donc identifié legalement et tes actions relevent donc de ta responsabilité legale. La police peut utiliser ces informations contre toi... mais aussi les criminels.

Le second c'est l'utilisation de donnees biometrique.
La donnee biometrique a une valeur legale. C'est un element qui participe par exemple a l'incrimination d'une personne. Si on retrouve tes empreintes sur le lieux d'un delit, il va falloir que tu te defendes... ce n'est plus a l'accusateur de prouver ta presence.
Si tes données biometriques sont volées elles permettent donc de commettre des actes comme si c'est toi qui les avais fait...
L'authentification est juste un cas particulier de cela.

Dans le cas d'Apple, le système biométrique est supposé uniquement t'authentifier sans jamais fournir la données servant a l'authentification.

Tu reste donc dans le cadre de l'action traçable avec identité certifiée, mais une partie de la responsabilité repose sur Apple - le systeme est piratable et donc tu peux encore te defendre des actes commis en ton nom!

Si on te vole tes empreintes, ou qu'un systeme de surveillance subit une injection ou l'on place ta tronche "biometrisée", tu es dans une autre niveau de panade...

CONNEXION UTILISATEUR