WhatsApp se protège à son tour derrière Face ID et Touch ID

Florian Innocente |

La messagerie WhatsApp rejoint la liste des apps dont l'accès au contenu peut-être protégé par Face ID/Touch ID. Cette barrière supplémentaire, en plus de celle que représente le verrouillage du téléphone dans sa globalité, est de plus en plus proposée par les applications elles-même.

Au-delà des apps de banques ou des gestionnaires de mots de passe, qui sont des candidats naturels à cette option, puisqu'une identification est chaque fois requise à leur ouverture, on le voit au sein d'apps de nature bien différentes.

Outlook a cette option pour protéger votre mail. Idem pour Health, l'app des accessoires santé de Withings, pour Apollo le client des forums Reddit, pour Dropbox, pour le gestionnaire de tâches OmniFocus ou dans DayOne l'outil de rédaction d'un journal personnel. Ce que vous suivez, vous lisez, vous écrivez ou vos données santé sont ainsi doublement protégées.

Dans le cas de WhatsApp, l'option est logée dans "Réglages > Compte > Confidentialité > Verrouillage écran". L'authentification par ce biais peut être demandée systématiquement ou après un intervalle variable (1 minute, 15 minutes ou 1 heure).

Il y a deux ans, WhatsApp avait adopté la vérification en deux étapes et le logiciel imposait dans la foulée de taper son code d'accès à 6 chiffres de façon régulière, pour ne pas l'oublier.

On regrettait à cette occasion qu'il soit aisé de désactiver cette vérification en deux étapes sans avoir besoin de s'identifier à l'ouverture de l'app. C'est maintenant chose possible.

avatar anti2703 | 

C’est une mise à jour côté serveur ou il faut télécharger une MAJ depuis l’AppStore ? Car de mon côté je n’ai rien…

avatar jb18v | 

@anti2703

Maj du store, rafraîchis la liste si besoin :)

avatar eldison | 

Dispo aussi dans Airmail :-)

avatar noooty | 

Connaissant WhatsApp, je me permets d’imaginer, mauvaise langue oblige, l’utilisation de Face et Touch ID pour s’en mettre plein les poches sur le dos des utilisateurs...
😜

avatar Sgt. Pepper | 

@noooty

A ma connaissance, rien de ceci n’est partagé avec FaceBook.
Le mécanisme agit au niveau système iOS...

avatar ce78 | 

@Sgt. Pepper

Par définition, Whatsapp communique avec vos interlocuteurs, donc tout passe par les serveurs de Whatsapp... euh de Facebook. Quelle naïveté ;)

avatar Sgt. Pepper | 

@ce78

Je parle de la protection d’accès à WA par faceId 🙄

avatar ce78 | 

@Sgt. Pepper

Ça ne protège que l’objet téléphone pendant les quelques minutes où il n’est pas bloqué globalement. Bref ça ne sert à rien.

avatar XiliX | 

@ce78

"Ça ne protège que l’objet téléphone pendant les quelques minutes où il n’est pas bloqué globalement. Bref ça ne sert à rien."

Tu n’as pas bien compris. Dans le cas où FaceID est activé, même si l’iPhone est déjà débloqué, si tu lance WA, il faut FaceID du propriétaire
C’est comme les applications bancaires ou autres qui utilisent FaceID...

avatar XiliX | 

@ce78

"Par définition, Whatsapp communique avec vos interlocuteurs, donc tout passe par les serveurs de Whatsapp... euh de Facebook. Quelle naïveté ;)"

Ça n’a pas d’importance par quel serveur ça passe. Les données sont chiffrées de bout en bout.

avatar ce78 | 

@XiliX

Il parait. Je n’ai AUCUNE confiance en Facebook...

avatar XiliX | 

@ce78

"Il parait. Je n’ai AUCUNE confiance en Facebook..."

Je pense que dans cette version, il y a encore les traces des anciens développeurs.
C’est lorsque WA sera « mergé » avec FB que ça va se gâter. En ce moment là je fais migrer tout le monde sur Telegram

avatar ce78 | 

@XiliX

Même dans Telegram il y a des failles. Je préfère Signal.

avatar XiliX | 

@ce78

"Même dans Telegram il y a des failles. Je préfère Signal."

Bah les deux ont eu ses failles et ses bugs.
Aujourd’hui les deux se valent avec un petit avantage dans la gestion des groupes pour Telegram.

J’ai testé un autre, Riot, mais encore trop jeune

avatar iVador | 

@noooty

Pas possible, les données touch et FaceID sont stockées dans une IP secure du SoC.

avatar XiliX | 

@noooty

"Connaissant WhatsApp, je me permets d’imaginer, mauvaise langue oblige, l’utilisation de Face et Touch ID pour s’en mettre plein les poches sur le dos des utilisateurs...
😜"

Aucune chance aux applications utilisant FaceID de pouvoir accéder aux données FaceID. Même pas Apple.

En fait la puce qui gère FaceID ne fonctionne qu’en sens unique.
Lors de l’apprentissage, les données sont chiffrées et stockées dans l’enclave sécurisée.

Alors comment on peut savoir si le visage qui se présente est le bon si on ne peut pas lire l’enclave ?
La méthode est très simple, c’est la même que celle utilisée pour chiffrer les mots de passe avec les chiffrements non « réversible »

Donc pour FaceID, le module scanne les visage, envoi les données à la puce qui gère FaceID. Et la puce va répondre juste par oui ou par non.
Aucune information ne sort de l’enclave.

avatar whocancatchme | 

@noooty C'est horrible mais j'ai pensé pareil

mais "normalement" les données FaceID ne sortent pas de l'iPhone et ce n'est pas gérer dans l'application. donc aucune crainte mais franchement connaissant les pratiques de facebook, je suis sur qu'ils ont regardé comment ils pourraient faire...

avatar byte_order | 

Y'a pas comme dans Android d'option pour le faire à chaque réveil de n'importe quelle application, réglable par application à la convenance de l'utilisateur, sans devoir attendre que chaque développeur de chaque application ajoute le support explicitement !?

avatar Sgt. Pepper | 

@byte_order

Non, Apple considère qu’un iPhone est un objet privée et déjà protégé globalement.
En outre , Les Apps peuvent déjà demander un login/password remplis avec FaceId.

Il a un ce mécanisme dans le cas où un Service doit être protégé par une protection « PIN offline » dédié (radio. légal pour les banques) qui est différent du logon « online »
Qui du coup peut être lui aussi pré rempli via FaceId

Ici, cette fonction WhatsApp ne me sert absolument à rien.
Mais j’imagine que certains partagent leur mobile à des tiers ...😓

(Sinon il y a la combine avec temps d’écran pour verrouiller chaque App avec un Code)

avatar Bigdidou | 

@Sgt. Pepper

« Ici, cet feature WhatsApp ne me sert absolument à rien. »

On peut imaginer des situations ou si, c’est utile, mais pas avec le même processus d’identification que pour le téléphone.
Il y a d’autres situations que le prêt gentiment consenti, d’autres pays...

avatar Sgt. Pepper | 

@Bigdidou

Si tu es contraint de partager ton code iPhone, ton code WhatApp y passera aussi.

Je vois cela surtout comme un coup Maketing pour rassurer Madame Michu sur la confidentialité
Alors que cela change rien pour FB

avatar Bigdidou | 

@Sgt. Pepper

« Si tu es contraint de partager ton code iPhone, ton code WhatApp y passera aussi. »

Peut-être.
On peut te mettre ton téléphone sous le nez, ça l’ouvrira, mais si il y a un code pour WhatsApp qui risque d’être le truc essentiellement intéressant pour t’incriminer, et qu’il est protégé par un code, c’est une autre histoire.
Par ailleurs, il arrive que dans les familles on finisse par connaître le pin des téléphones des un et des autres.
Une possibilité de verrouiller l’accès à certaines apps n’est pas nécessairement inutile.
En tout cas, il y a manifestement une demande. Les apps qui permettent de verrouiller du contenu au seins des appareils ont un certain succès sur l’AppStore.

avatar webHAL1 | 

@byte_order

En effet, ça serait tellement plus facile et plus utile. Un simple réglage à activer dans les applications que l'on souhaite pour choisir si elles nécessitent une authentification lorsqu'on les lance/y accède.

avatar Bigdidou | 

« Au-delà des apps de banques »

Il y a des apps bancaires où c’est un peu too much, quand même.
Le CIC, pour confirmer une opération sur l’iPhone dans le cadre de l’identification à deux étapes, c’est identification puis code à 6 chiffres quand même.

avatar Sgt. Pepper | 

@Bigdidou

C’est contrainte « légale » (ou obligation de leur assurance)

avatar Hugualliaz | 

Ce serait bien d’avoir la possibilité de verrouiller le lancement de certaines apps directement depuis iOS !

J’ai des trucs à cacher haha !

avatar byte_order | 

oui, et je suis surpris que cette possibilité n'existe pas encore. Dans iOS.

avatar marenostrum | 

les développeurs qui le jugent utile, le font. sinon l'iPhone est un appareil individuel, sécurisé par code. d'où quelqu'un plus haut ne comprend pas l'intérêt de cette protection supplémentaire.

moi j'utilise un app qui est protégé par code depuis le début. mais parce que il est multiplateforme, et on peut le sauvegarder à l'extérieur de la machine. bref quelqu'un qui trouve la sauvegarde ne peut pas l'ouvrir, sans connaitre le code (l'utilisateur + mot de passe).
Whatsapp est devenu peut-être pareil. il protège l'intégralité de ses données. on peut pas ouvrir l'archive (dans leurs serveurs) sans savoir le code utilisateur. d'où l'intérêt.

avatar Jeckill13 | 

A quand une version iPad ?

avatar ce78 | 

On aimerait que Whatsapp nous protège de... Facebook. Mais ça, ça ne va pas être possible, donc non à Whatsapp. Voilà.

avatar bbibas | 

Une fois l’application activé par Face ID ou Touch ID, WA récupère vos données et vous avez donne accès au micro

avatar XiliX | 

@bbibas

"Une fois l’application activé par Face ID ou Touch ID, WA récupère vos données et vous avez donne accès au micro"

Tu parles de quelles données ?

CONNEXION UTILISATEUR