Sous Android, le capteur d'empreintes pour s'identifier dans les services en ligne de Google

Mickaël Bazoge |

Hop, un nouveau clou dans le cercueil des mots de passe qu'on oublie tout le temps. Google a ajouté l'empreinte digitale à sa panoplie habituelle — le dessin d'un schéma, le code à plusieurs chiffres, le mot de passe — pour s'identifier à ses services en ligne. Bien sûr, le capteur biométrique présent dans quasiment tous les smartphones Android du marché sert déjà à déverrouiller le terminal, à valider un achat Google Pay ou encore pour s'identifier dans une application tierce.

Mais le moteur de recherche va plus loin, puisqu'il s'agit cette fois d'authentifier l'utilisateur qui se connecte à ses services depuis Chrome. Le premier à en bénéficier est passwords.google.com sur les appareils Android (à partir de la version 7.0). Ce service conserve au chaud les mots de passe de ses divers comptes en ligne. Pour connaitre le précieux sésame, il suffit de poser son doigt sur le capteur du smartphone.

D'autres services de Google devraient suivre. Apple aussi entend proposer quelque chose d'équivalent : le constructeur teste depuis quelques temps le capteur biométrique (Touch ID ou Face ID) pour s'identifier dans iCloud et pour gérer son identifiant (lire : Apple teste Face ID et Touch ID pour s'identifier sur ses sites).

Tags
avatar fte | 

Et la question à se poser immédiatement : pour ces cas, l’empreinte quitte-t-elle le téléphone, l’enclave sécurisée, et se retrouve-t-elle stockée quelque part chez Google (ou Apple) ?

avatar Godverdomme | 

Si cela te fait peur, le gouvernement, la CIA et tous les copains ont déjà ton empreinte, si tu as pris l'avion et que l'on t'a scanné, ce qui est fort probable.

Mais pour répondre a ta question: https://support.google.com/nexus/answer/6300638?hl=en

avatar fte | 

@Godverdomme

Ca ne me fait pas peur. Et un gouvernement n’est pas une entreprise privée et capitaliste (quoique c’est peut-être pire, sûrement).

Et ce que tu cites, que je sais, est antérieur à l’authentification de services en ligne. En ligne. Quelle solution technique sera utilisée ? La question étant nouvelle et différente, la réponse le sera peut-être aussi.

avatar Godverdomme | 

C'est une couche au dessus de l'OS, donc si c'est bloqué dans l'OS, l'appli de login le sera aussi. C'est une application comme les autres.

avatar fte | 

@Godverdomme

C’est certainement une option. Mais je ne veux pas me contenter d’une hypothèse.

avatar Godverdomme | 

Bien c'est plus qu'une hypothese, puisque Google s'engage que ton empreinte reste sur le téléphone, comme Apple.

Le fait d'installer une application ne change pas la sécurité du téléphone

avatar fte | 

@Godverdomme

"Bien c'est plus qu'une hypothese, puisque Google s'engage que ton empreinte reste sur le téléphone, comme Apple. "

Comme je le soulignais, c’est antérieur aux identifications en ligne, et rien ne dit que ça s’applique aussi aux identifications en ligne pour l’instant.

D’ou le fait que j’attire l’attention sur ce point.

Tu as peut-être confiance en Google et Apple pour ne rien changer à ces dispositions. Je pense qu’ils ne changeront rien. Mais je ne fais pas confiance.

avatar Godverdomme | 

Je t'envoie vers le lien que je partage plus bas!!!

Les données biométriques sont stockées dans une TEE (un espace hardware séparé) dans lequel l'OS n'a pas accès. Tout ce qu'il fait c'est donner ou pas les authorisations (oui ou non)

Franchement, l'article est intéressant (et un peu technique par moment)

Mais le système ne peut pas avoir accès aux données même si il le voulait.

Pour cela c'est plus que de la confiance, c'est tout un processus mis en plus et séparé de 'OS.

avatar malcolmZ07 | 

@Godverdomme

Okay merci pour l'article

avatar fte | 

@Godverdomme

Je sais tout ça.

avatar Godverdomme | 

Alors, pourquoi poser la question puisqu'il est donc impossible que tes données d'empreinte ne sortent de cette puce???

avatar fte | 

@Godverdomme

"Alors, pourquoi poser la question puisqu'il est donc impossible que tes données d'empreinte ne sortent de cette puce???"

Pour l’instant.

Comment sera implémentée l’identification par empreinte en ligne ? Peut-être par une app locale sécurisée et un système de tokens cryptographiques, peut-être pas.

Ne sachant pas quelle solution sera choisie, n’ayant aucune assurance que ça sera encore le cas, je pose cette question.

Et pourquoi pose-t-on des questions, à ton avis ? Souvent parce qu’on ne sait pas la réponse avec certitude.

Je n’ai aucun désir de me contenter d’une croyance.

avatar Godverdomme | 

C'est certain après l'explication, il est impossible de faire sortir l'empreinte de la puce.
Il n'y a pas de doute, cela remettrait en cause toute la plateforme et la sécurité.

avatar romainB84 | 

@Godverdomme

« Your fingerprint data is stored securely and never leaves your Pixel or Nexus phone »

Est ce a dire que si on a un smartphone huawei one plus Samsung ou autre, ce n’est plus le cas du coup?
Parce que au final les pixel et les nexus c’est pas le gros du marché chez android?
(C’est une vraie question! Aucune ironie ni rien)

avatar Godverdomme | 

Il semble logique que Google ne puisse pas s'avancer pour les fabricants...

Puisque par définition, le fabricant a libre choix d'implémenter ce qui se passe quand tu mets ton doigt sur le capteur à sa sauce...

Google parle au nom de ses mobiles, et de son OS (qui est modifiable par les fabricants)

avatar romainB84 | 

@Godverdomme

Je suis d’accord !
C’est juste l’article qui est un peu ambigu du coup 🙂

« Bien sûr, le capteur biométrique présent dans quasiment tous les smartphones Android du marché sert déjà à déverrouiller le terminal [...] Mais le moteur de recherche va plus loin puisqu'il s'agit cette fois d'authentifier l'utilisateur qui se connecte à ses services depuis Chrome. Le premier à en bénéficier est passwords.google.com sur les appareils Android »

Mais j’avoue je chipote un peu 😁

L’article laisse sous entendre que tous les smartphone android sous android 7 et + y auront droit ^^

avatar Godverdomme | 

Tous les smartphones y auront droit à cette authentification!

Il y a juste que seuls les pixels et Nexus certifient que l'empreinte reste sur le mobile, pour le reste, c'est au bon vouloir et à l'honnêteté du fabricant.

avatar romainB84 | 

@Godverdomme

Effectivement je l’ai aussi compris comme ça, mais comme je disais « je chipote » 😁😉

avatar Depret Lucas | 

@fte

Pas chez Apple en tout cas

avatar Godverdomme | 
avatar romainB84 | 

@Godverdomme

Commentaire bien tourné (et précis ! J’apprécie 🙂)
« Pas chez android » aurait été faux !
Mais « pas chez Google » est vrai du coup 😁

avatar Godverdomme | 

Bien au final si, c'est obligatoire: https://www.androidcentral.com/how-does-android-save-your-fingerprints

J'avais effectivement été prudent au début...

A TEE is a separate and isolated area in the phone's hardware. A TEE might use its own processor and memory or it can use a virtualized instance on the main CPU. In both cases, the TEE is fully isolated and insulated using hardware-backed memory and input/output protection. The only way you will be getting in is if the TEE lets you in, and it never will. Even if the phone is rooted or the bootloader unlocked, the TEE is separate and still intact.

Google uses what they call Trusty TEE to support this. A very small and efficient operating system, appropriately named Trusty OS, runs on the TEE hardware and kernel drivers allow it to communicate with the system.

The validation data is stored inside the TEE. When you place your finger on the scanner to try and do something, the scanner builds a profile of data. Through the Trusty API, the associated application asks the kernel to ask the TEE if it's right. The TEE checks against the stored validation data using its separate processor and memory, and if enough of the data matches it says yes. If there isn't enough matching data, it says no.

avatar malcolmZ07 | 

@Godverdomme

Avec un accès root , j'imagine que tu peux faire ce que tu veux.
C'est pourquoi les applications bancaire refusent les appareils jailbreakés/rootés

avatar Godverdomme | 

Il faut lire l'article, c'est stocké sur une puce a part et donc inaccessible, même en root

Even if the phone is rooted or the bootloader unlocked, the TEE is separate and still intact.
(..)
Where fingerprint profiles are stored must not be visible to any application, process, or user including the root user

avatar roccoyop | 

C’est pas ce qu’on a déjà par chez nous ?

avatar zspy59 | 

Comme j’ai un passeport biométrique, le gouvernement US a mes empreintes, depuis que je suis allé à plusieurs reprises à New York ,cela ne me dérange pas.
Par contre si Google les a, c’est plus embêtant, car, il doivent pouvoir commercer avec cette donnée !
Pour Google, un service en vaut un autre !

avatar rikki finefleur | 

zspy59
Goog n'a jamais commercé ton nom, ni adresse, ni tel..
Sinon on serait spammer a longueur de journée.
Il faut arrêter de dire nimp.

avatar zspy59 | 

@rikki finefleur

Des entreprises tiers peuvent bien lire le mails Gmail de ses utilisateurs !
Mais sinon Google = 👼
Il faut arrêter de défendre l’indéfendable !

avatar webHAL1 | 

@zspy59
« Des entreprises tiers peuvent bien lire le mails Gmail de ses utilisateurs ! »

La récompense du troll le plus moisi et le moins original est décernée à zspy59.

avatar Bigdidou | 

@webHAL1

« « Des entreprises tiers peuvent bien lire le mails Gmail de ses utilisateurs ! »

La récompense du troll le plus moisi et le moins original est décernée à zspy59. »

Non, pas totalement.
Pas toutes les entreprises, mais certains développeurs si tu en donnes l’autorisation (et on connaît les possibilités que donnent les forêts de CGU), oui.
Les sources solides à ce sujet sont présentes sur le net.
Après, franchement, du moment qu’on a accès à ces autorisations et qu’on peut les révoquer, je m’en fous.

avatar webHAL1 | 

@Bigdidou
« [...] si tu en donnes l’autorisation [...] »

Oui. Ça fait quand même TOUTE la différence.
Car à ce moment, je peux affirmer :

Avec [insérer ici votre prestataire de courrier électronique] n'importe qui peut lire vos messages ! (1) C'est un véritable scandale !

(1) Si vous leur donnez vos identifiants de connexion.

avatar fifounet | 

@webHAL1

« Avec [insérer ici votre prestataire de courrier électronique] n'importe qui peut lire vos messages ! (1) C'est un véritable scandale ! »

Bon on va mettre un extrait ça évitera qu’on te suive dans cette comparaison exagérée et donc dénuée de sens

« Selon un article publié le 2 juillet par le Wall Street Journal, des développeurs ont pu lire vos emails en toute tranquillité. La journal américain explique ainsi que des « centaines de développeurs tiers [a pu] lire les messages de millions d’utilisateurs Gmail ». L’accès à ce contenu censé être privé a pu être rendu possible grâce au fameux message qui demande aux utilisateurs d’accepter qu’une application tierce puisse utiliser un compte Gmail lors de la connexion. En validant cette demande, un utilisateur autorise l’entreprise tierce à accéder à lire, mais aussi supprimer, envoyer ou organiser ses mails. Cela signifie que ces applications tierces ont demandé et reçu explicitement le consentement explicite de l’utilisateur concerné avant de pouvoir se plier à cette pratique »

avatar fte | 

@zspy59

"Des entreprises tiers peuvent bien lire le mails Gmail de ses utilisateurs !"

Ah bon ?

Source ?

avatar rikki finefleur | 

zspy59 |
Démontre moi si goog a commercé ton nom , ton adresse, ton tel..
Si tu n'y arrives pas , stoppez vos fakes..

Par contre goog , apple , amazon et cie , ont bien écouté des conversations privées sans que les utilisateurs en soient informés. Et cela me parait bien plus grave, des boites qui se croient tout permis.
Oui tu as bien lu il y a apple dedans, alors qu'elle faisait pub comme quoi rien ne sortait de votre iphone..
Vous avez beaucoup a apprendre sur ces sociétés du numérique et des gafa..
Pas une pour rattraper l'autre.
Entre la pub et la réalité il y a un pas.

avatar Godverdomme | 

Tiens un commentaire objectif.. Ca change du niveau moyen habituel...

avatar malcolmZ07 | 

@rikki finefleur

C'est fou comment tu s***s google à longueur de commentaire , et ensuite tu fais le gars neutre 🤦‍♂️

avatar debione | 

Ouais sur un site d’Applesucker ça fait des taches....

avatar rikki finefleur | 

malcolmZ07
Non juste rétablir des propos qui sont faux, et si cela te défrise tant pis.
Quand a ta répartie (haut level) tu n'as pas trouvé mieux , car la c'est du genre podium lorque l'on a rien a dire.. ?

Si tu arrives a me trouver si goog vend ton nom tel et adresse... cela sera plus constructif, car notre ami n'a pas pu nous le montrer.

avatar Godverdomme | 

Le jour où cela sera prouvé, Google fermera simplement ses portes on on n'en entendra plus parler.
On peut détester Google, mais faire comme certains et supposer qu'ils revendent les données, cela n'a aucun sens

avatar naarin | 

Mais pourquoi est-ce que je lis les commentaires ? 🙄😅

avatar Godverdomme | 

Tu les lis, et tu prends le temps d'y répondre, c'est encore plus bête...

CONNEXION UTILISATEUR