Touch ID : la réaction épidermique de la FSF

Anthony Nelzin-Santos |

« La Free Software Foundation incite les utilisateurs à éviter tous les produits d'Apple, afin de préserver leur liberté et celle de leurs proches » : ainsi commence la réponse de la FSF à la présentation des nouveaux iPhone. L'ONG de promotion du logiciel libre s'insurge notamment de la présence d'un capteur d'empreintes digitales dans l'iPhone 5s.

Touch ID

« Faire passer un capteur d'empreintes digitales propriétaire et connecté au réseau comme votre "grande nouveauté" est l'attitude la plus hostile que nous aurions pu imaginer face à l'inquiétude grandissante en matière de protection de la vie privée », dit ainsi John Sullivan. Il est difficile de comprendre ce que le directeur de la FSF veut dire par « connecté au réseau », « network-accessible » dans la version originale.

Insinue-t-il que les empreintes digitales sont stockées sur les serveurs d'Apple ? Si c'est le cas, il se trompe : Apple a lourdement insisté sur le fait que les empreintes scannées ne sont pas envoyées sur ses serveurs, ne sont pas sauvegardées avec le reste des données du téléphone, et ne sont pas accessibles aux applications tierces. Il est impensable que la FSF ait raté cette information, et dommageable qu'elle laisse planer le doute.

Peut-être pense-t-il plutôt à la possibilité de déchiffrer le contenu d'un iPhone à distance, après un vol ou même, dans certains pays, une saisie par les forces de police. C'est une possibilité certes, une possibilité qui doit être sérieusement envisagée même, mais une possibilité qui doit encore être mise à l'épreuve. Les données biométriques disposent en effet de leur propre mécanisme de chiffrement, baptisé Secure Enclave. Il intervient à bas niveau, celui du processeur Apple A7, et rien ne dit pour le moment qu'il sera facilement déchiffrable.

En attendant d'obtenir des réponses sur ce sujet, la FSF ne se lasse pas de décliner son argumentaire selon lequel iOS menace « les données personnelles, la vie privée et la liberté d'expression » de ses utilisateurs. Et de conseiller Replicant, un fork complètement libre d'Android, et F-Droid, une boutique d'apps mobiles uniquement composée de logiciels libres.

Tags
#Touch ID #Free Software Foundation
avatar labon | 
Je pense que ça restera toujours possible. Dans la vidéo du Special Event, lorsque l'on veut acheter sur l'iTunes Store, une fenêtre apparait pour demander si l'on veut confirmer par mot de passe ou "Touch ID".
avatar ericb2 | 
Pas du tout d'accord ! A condition qu'il fonctionne aussi bien qu'on puisse l'attendre, je le trouve au contraire bien utile !
avatar YanDerS | 
je suis assez d'accord. Mais ce n'est pas le Touch ID qui serait plus critique que la caméra des Google Glass ou autres, ce sont l'ensemble des évolutions technologiques et des réseaux qui permettent déjà des fichage massif grâce à des infos croisées sur un individu. Car si on ajoute à ça les fiches que chaque état fait plus ou moins officiellement sur ses propres citoyens (avec leurs empreintes), les échanges Interpol ou autres des fichiers, ou les banques de données des états piratées par d'autres et leurs services secrets... je crois que c'est déjà foutu de toute manière. Que le seul combat qu'il reste soit dans la vigilance de chaque citoyen, de chaque association locale et organisme international sur les Liberté, sur la conservation et les applications obstinées des législations sur le Droit des libertés, sur leurs developpements & renforcements progressifs par rapports à toutes ces évolutions technologiques et aux éventuelles dérives sociales et politiques
avatar YanDerS | 
oui parce que la collecte d'empreinte au niveau international est sûrement sur les rails depuis un bon bout de temps, et que finalement cela ne constitue pas des infos plus interessantes et renseignantes sur la vie d'un individu, que l'ensemble de ses achats par Carte, ses deplacements, ses photos geolocalisées et ses blogs/forums partagés donnant ses avis et goûts, relations, connaissances, etc
avatar akaaw | 
@malvik2 : 'À moins de se lancer dans une grande carrière de terroriste ou autres, peu de chance que les services secrets s'intéressent à vous hein...' C'est ce que je me dis quand je vois les commentaire concernant tout ce qui touche a " big brother " La CIA veux lire mes mails avoir accès a mes empreinte digitale ou savoir si mon caca est mou ? Bien lui en fasse j'ai rien a cacher et mon travail n'a rien de "secret défense". Faut arrêter de psychoter , si jamais ça vous convient pas ( ce que je peu comprendre) allez vivre dans une grotte, reste plus que ça dans le monde ou on est.
avatar matsfr | 
Le libre et les grands rêveurs... A la potence.
avatar YanDerS | 
la question que je me pose n'est pas si les les empreintes scannées ne seront pas redistribuées par la suite (il me semble evident que ce sera le cas), c'est si ce n'est déjà pas le cas dans tous les pays qui ont informatisé tous leurs services d'identité sur leurs citoyens
avatar solea | 
C'est nouveau les capteurs d'empreintes ? C'est fou, moi je croyais qu'on en vendait depuis des lustres…
avatar cadou | 
@Paddy92 Ton commentaire est bien utilisé par les algo de Google pour te proposer une publicité personnalisée sur ton écran dans moins de 48h alors... Moi je suis pas du tout dans ce délire du logiciel libre, mais ce capteur, ça craint c'est tout.
avatar -oldmac- | 
Ces mecs du libre c'est vraiment une bande de tarés complètement allumés.
avatar DickyPoo | 
@ byte_order : « Ouais, hein, c'est dingue ces types qui pondent du code source et acceptent en plus de le rendre public et réutilisable à souhait sans se faire payer. » La plupart des libristes sont des GPLeux, qui n'acceptent donc pas que leur code soit réutilisable à souhait sans se faire payer. Ils placent des restrictions assez fortes sur l'usage de leur code, tout en clamant haut et fort que c'est ça la vraie liberté. Heureusement, il y a tout de même, à coté de ça, un petit nombre de développeurs encore capables de comprendre le sens du mot « libre ».
avatar DickyPoo | 
@ byte_order : Je n'ai nullement affirmé que la GPL imposait de payer pour utiliser le code. J'ai juste rappeler que les GPLeux n'acceptaient pas, contrairement à ce que tu affirmais, que leur code soit « réutilisable à souhait sans payer ». Leur licence restreint la réutilisation — ce n'est donc pas « à souhait ». Et elle ne dit nulle part qu'une utilisation non prévue par cette licence se fera forcément sans payer — c'est donc leur faire bien trop d'honneur que de considérer qu'ils accepteraient par défaut que tout autre utilisation se fasse aussi sans payer (ce que ta phrase impliquait).
avatar DickyPoo | 
@ byte_order : « Par contre, en aucun cas cette restriction est levée par un payement. A priori, toute utilisation non prévue par la licence est une violation de cette licence, par définition » Un code peut parfaitement être fourni à deux personnes/entités différentes sous deux licences différentes. Un GPLeux peut donc tout à fait distribuer son code sous licence GPL pour tous ceux désireux de l'utiliser en accord avec les termes de cette licence, tout en proposant à ceux qui voudraient aller plus loin d'être autorisés à le faire moyennant paiement (et ça ne représente du coup en aucun cas une violation de licence). La double licence, ça se pratique régulièrement. La seule difficulté se pose pour les développements collaboratifs, où il faut bien sûr que tous les auteurs soient d'accord.
avatar DickyPoo | 
@ RyDroid : Le seul problème est cet usage abusif du terme « libre » pour décrire quelque chose qui repose sur des contraintes fortes.
avatar YanDerS | 
si à l'occasion de Touch ID sur les nouveaux iPhone 5S tu veux nous faire une fixette d'épouvante sur Apple, c'est vraiment occulter ce qui se passe partout depuis des années maintenant. Ceci ne valide en rien le fait que des empreintes scannées soient redistribués à tous les services de sécurité des Etats, c'est simplement pour rappeler c'est déjà en cours, que si ce n'est pas Apple maintenant, ce sera un autre plus tard (comme un marchand de serrure, une firme automobile, etc.), bref que c'est déjà le train forcé des évolutions technologiques qui fait qu'il est déjà difficile d'aller contre. A moins de tout arrêter, ce qui est quasiment impensable à l'heure actuelle. Donc j'ai bien peur qu'il faille faire avec, en restant vigilant en soutenant tout ce qui est de la préservation, du respect, du développement et de l'application des Droits sur les Libertés individuelles
avatar YanDerS | 
c'est vrai et aucun autre marchand de quelques produit que ce soit qui utilise la technologie d'identification par reconnaissance d'empreinte digitale ne dira, ô grand jamais, que les scans seront mis en ligne ou distribués à tous services qui les demanderont ou qui en forceront l'acquisition. Oui, Apple ment, même en assurant de bonne foi, ce qui est fort possible, qu'elle fera tout pour l'instant pour rendre l'accès aux scans impossible ou, plutôt, le moins facile d'accès, etc. Mais comme on sait qu'il n'y a rien dans le monde numérique qui puisse résister, qu'on ne puisse plus rien garantir désormais sur quoi que ce soit, elle ne peut être qu'en flagrant délit de mensonge commercial. Sa seule décharge sera que tous les autres seront à la même enseigne. Que ceux-ci pourront -ou sont déjà en train de- jouer les hypocrites en n'abordant pas, en éludant le sujet ou en minimisant le plus possible les risques. Ce sera leur seul gage d'honnêteté. Je vais dire des banalités Apple est dans une position particulière, qui ne l'excuse en rien mais qui est de devoir exister en rendant attractifs ses produits, donc celle de les promouvoir grâce à l'apport de nouvelles technologies ( qui ont toutes, on le sait, leurs contreparties négatives, comme ce sera le cas avec les GoogleGlass, les iWatch&co -biométries diverses et propres à chaque individu, etc) dans une échelle assez conséquente par rapport à ses concurrents. Samsung excepté. Ce qui fait que ses produits ont un impact plus critique que d'autres. C'est ce qui fait aussi qu'elle est plus regardée, plus scrutée que d'autres et que pour vendre, elle se croit obligée de rassurer en donnant des gages auxquels presque plus personne ne croit. Ainsi en va-t-il du commerce.
avatar agerber | 
Est ce que la cnil a autorisé du pompage par les NSA aupres des providers ou directement sur les tuyaux. Je pense pas non plus que les hackers vont faire une demande auprès de la CNIL. Enfin , j'en doute. Des mots de passes tu en as plein. Des doigts on les change pas.
avatar agerber | 
il existe un moyen autre : la calculette et depuis la nuit de temps. C'est a dire un matériel différencié et indépendant matériellement de ton systeme qui fait la transaction. c'est un genre de calculette au format cb, le site te donne un code, tu rentres le code dans la calculette qui te sort un autre code, code que tu vas recopier dans l'interface de paiement. ainsi meme en cas de perte de cb ou vol de tes identifiants sur le net, sans ta calculette personnelle, il ne pourra rien faire. C'est quelque chose de + puissant que la verif par sms par exemple.
avatar Guillaumeg33 | 
À la différence du libre qui communique sur les “procédés” employé, Apple ne les donnent certainement pas “immédiatement”. Donc la question reste ouverte (pour qui est capable d'investigation dans ce sens) jusqu'à preuve du contraire. En attendant plus d'information non moins intéressantes dans ce sens, l'appel du libre tombe à pique tout en restant connecté à une réalité qui risque vite de nous dépasser lorsque les capteurs biométriques vont se généraliser, il ne faut pas en douter.
avatar agerber | 
Il est vrai qu'avec l'affaire prism et les dénégations dans un premier temps des firmes US , leur crédibilité ou" leur parole"en a pris un sérieux coup. Au delà c'est le risque de voir a un moment donné ses empreintes sur le web. Et quand on connait les failles de sécurité sur les OS ou d'apps. La faille sur le forum dev d'apple en est un parfait éclairage. D'ailleurs le jailbreak repose lui même sur des failles. Le jeu en vaut il la chandelle ? je pense vraiment pas. D'autres solutions matérielles étaient possibles.
avatar Founs | 
Ça me fait penser aux gauchistes qui gueulaient contre la puce d'identification RFID implantable sous la peau et qui ont tous un smartphone aujourd'hui.
avatar alex2065 | 
moi perso les flic on déjà mes empreintes donc je m'en fou mais dite vous que pour un passeport il prenne aussi votre empreinte donc argument nul pour vous tous vous nous somme tous ficher déjà ouvrer les yeux merci
avatar philippesca | 
Ironie on: Nul besoin de déployer beaucoup d'effort pour recueillir les empreintes de quelqu'un possédant un iphone, il suffit d'un peu de poussières faites exprès et d'un morceau de scotch. En effet l'écran est recouvert de toutes sortes d'empreintes! Ironie off
avatar fornorst | 
J'aime les logiciels libres et la lutte contre les brevets logiciels, mais parfois la fsf en fait un peu trop. Toujours dans l'excès, cette ONG se discrédite auprès du grand public, si tant est que ce public la connaisse. Ils défendent une informatique d'ingénieur au détriment des utilisateurs et il me semble que c'est un aussi grand danger.
avatar kalynoh | 
Je suis tout à fait d'accord avec la FSF, c'est on ne peut plus liberticide de permettre aux gens de stocker uniquement en local leur empreinte pour leur simplifier la vie. Ils devraient prendre exemple sur les acteurs du libre comme google, c'est tellement moins liberticide de permettre au gouvernement américain d'avoir accès aux micro de tous les androphone sans l'autorisation de l'utilisateur. CA, c'est la vrai liberté !
avatar kalynoh | 
Bah justement, apple te laisse le privilège de décider, touch ID est une fonction désactivable, que l'utilisateur peut utiliser ou pas selon son bon vouloir, ce qui n'est pas le cas avec l'espionnage d'android. Donc c'est carrément hypocrite de reprocher à une marque de faire un service optionnel et de pousser les gens vers un système qui oblige à abandonner sa sécurité et sa vie privé.
avatar agerber | 
ddrmysti tu crois Apple ? t'as bien de la chance. Il parait aussi qu'elle connaissait pas prism.
avatar fornorst | 
@rikki finefleur Il ne s'agit pas de croire Apple mais d'avoir confiance en une boîte. Sans confiance, pas de commerce.
avatar kalynoh | 
C'est pas une question de croire, c'est une question que là le service sera effectivement désactivable, et que même activé les données seront stockés en local (et vu la mode sur l'espionnage, on peut être sur que les petits malins vont tout faire pour détecter tout ce qui entre et sort d'iOS 7, donc apple n'aurait aucun intérêt à mentir à ce sujet). Du coup, même si apple n'est pas forcément clean sur tous les points, sur celui là je doute franchement qu'ils nous disent que les donnés ne seront pas transmises si elle le sont en réalité.
avatar jbdw21 | 
“Un peuple prêt à sacrifier un peu de liberté pour un peu de sécurité ne mérite ni l’une ni l’autre, et finit par perdre les deux.” Benjamin Franklin, 1785–1788
avatar PachaColbert | 
@ T-Dii Heureusement que Google les scanne. Ça coûte cher et la France n'avait à une époque même pas les moyens de le faire. Après les droits sur ces œuvres scannées, c'est un autre problème.
avatar agerber | 
la différence c'est qu'un mot de passe est commun a tous, et une empreinte est personnelle. Donc plus d'anonymat sur le net ! Pour les pays democratiques, ca peut aller (quoique quoique..). Autre part , c'est différent. Et dans les deux cas , vaut mieux pas avoir tes empreintes sur net.
avatar belcikowski | 
au les pauvres choux ; la question qu'ils devraient se poser , esce qu'ils auront des boutons quand les smartphones android en seront équipés également .... beaucoup de bruit une fois de plus pour pas grand chose ......
avatar Tyrael | 
Ça aurait pu être crédible s'ils étaient alarmés aussi bruyamment des précédent téléphones / ordis avec lecteur d'empreintes et s'ils ne recommandaient l'utilisation d'un fork d'Android quand on sait que la NSA a mis la patte à toutes les implémentations de SSL et TSL fournies par des OSes mis au point par des boites américaines en laissant soin d'y laisser des failles qu'ils exploitent (dixit Snowden). Qu'est ce qui est le plus dangereux : avoir son empreinte chifrée dans un téléphone éventuellement hackable à distance ou confier toutes ses données personnelles systématiquement récupérées par la NSA à Google, copains comme cochons avec cette dernière depuis 10 ans...
avatar Tyrael | 
Comme dit par SH2009, il y a bien plus de risques à avoir un code à 4 chiffres ou un mot de passe alphanumérique. Et mon empreinte, la PJ l'a obtenue illégalement il y a des années après une manif étudiante donc, a fortiori, interpol et grâce aux anglais, les services américains
avatar BSG75 | 
@byte_order "Encore une fois, ce n'est pas l'accès à l'empreinte qui pose vraiment problème, mais le fait de pouvoir désormais que ton doigt (et forcément lui) a valider le paiement du péage de St Machin, puis l'achat de telle application, puis à servi pour signer numériquement ton courriel envoyé 5 minutes plus tard et enfin à renouveler ton abonnement à GayLuron, que tu caches à ton épouse. Ce scénario est fictionnel. Toute coïncidence avec une expérience vécue serait fortuite ;-) Le problème n'est pas dans l'existance d'une "clé" d'identification unique (les doigts existent depuis toujours, hein) mais dans la traçabilité individualisée des gestes au quotidien." Voilà, c'est la question du recoupement, comme toujours. Merci byte, très rares sont ceux qui soulèvent le véritable revers de la médaille. Sinon, oui, c'est extrêmement pratique. Le problème n'est pas là.
avatar Kevelian | 
ça serait cool si capteur donne les empreinte du celui qui aura volé un 5S .... Sinon a part ça c'est bateau cette fonction , j'y vois pas mal de soucis arriver ... un seul exemple: Le contrôle parental sera t'il parental avec touch ID ou pas ?? et s'enregistrer avec ses empreintes sur iTunes c'est assez moyen a mon avis
avatar kalynoh | 
Là par contre ça risquerait de poser problème juridiquement, avec l'utilisateur et le transfère d'information biométrique sans l'aval du propriétaire et sans décision de justice.
avatar pr0de | 
La FSF se trompe si Apple a dit vrai. À savoir que ces empreintes sont stockées en local et jamais sur iCloud ou quoique ce soit d'autre. Touch ID n'est PAS ouvert aux applications tierces. Quant aux capteurs d'empreintes, ça fait bien longtemps que cela existe sur des PC portables entre autres, et là on n'entend pas la FSF râler. La question des données personnelles est primordiale. Aujourd'hui, nous devenons des données analysées et monétisées non pas pour notre individu, mais en tant qu'élément d'une masse. Ne croyez pas que PRISM et autres programmes de surveillance ne s'intéressent qu'aux terroristes. Ils s'intéressent à vos goûts, à vos habitudes, vos fréquentation. Avec ce genre de données, on peut organiser des révolutions (Égypte), provoquer des mouvements de masse, faire consommer des produits ciblés. Et ça c'est flippant. Beaucoup plus qu'un capteur d'empreintes qui stocke ses données en LOCAL.
avatar YanDerS | 
ils me font penser aux gars du CIVC qui se sont réveillés tout d'un coup à l'annonce d'une possible utilisation du terme Champagne. Alors que celui-ci était déjà utilisé sans qu'ils aient dit quoi que ce soit. Là c'est un peu pareil sauf à dire en forme d'hommage implicite, que la solution Apple serait tellement mieux faite, efficace et opérationnelle... qu'elle en constituerait un 1er vrai danger, et qu'à contrario, tout ce qui s'est fait dans le genre gadget jusqu'à présent, ne presentait pas de reelle menace, au point de ne pas avoir eu la dignité de les alerter. C'est pas gentil du tout ça... :nonnon:
avatar agerber | 
béber1 Juste que c'est pas un gadget. Pas du tout même.
avatar eipem | 
Moi ce qui me fait marrer c'est qu'on a pas beaucoup entendu la FSF quand c'est un constructeur Android qui a sorti son lecteur d'empreintes... Comment tu veux être crédible en étant partial ?
avatar agerber | 
joneskind [ Que ce soit android ou apple , ca empeche pas de réfléchir. Et on s'en tape de la FSF. A moins d'avoir perdu son cerveau personnel. Ceux qui ne voit pas de dangers sur ces genres de techniques connectés au web, ben.. Quand goog (votre ennemi juré) le fera, on verra vos réactions.. Bref..
avatar Azety | 
@byte_order Une erreur s'est glissée dans ton discours ! Bien que l'empreinte digitale ne soit - aux dires d'Apple- ni envoyée, ni sauvegardée sur ses serveurs, elle est obligatoirement sauvegardée quelque part ! Sinon il n'est pas possible de l'iPhone puisse identifier l'empreinte de l'utilisateur. Ce quelque part est un coin du processeur A7, sur le mobile même et de manière crypté ( d'où sûrement la nécessité de passé le calcul en 64bit). Voir les vidéos de présentation de l'iPhone 5S....
avatar fornorst | 
@Hi me On peut aussi imaginer que la sauvegarde du calcul de ton empreinte sur iCloud ne présente aucun intérêt, et que donc ce n'est pas sauvegardé sur iCloud. (Partie suivante n'ayant rien a voir avec hi me) Et j'apprécie l'humour de la situation des gens qui s'offusquent que des données biométriques soient utilisées sur un appareil pour en garantir un accès sécurisé mais qui de toute façon publient chaque instant de leur vie sur Facebook, Twitter ou Google+, sauvegarde leurs données sur iCloud, dropbox ou consorts, font l'inventaire de leur matériel informatique sur les forums et commentaires de MacG, etc ... À priori, Apple dit ne pas recueillir ces données, donc je fais confiance. Si je n'ai pas confiance, soit je n'achète pas, soit je native pas la fonctionnalité.
avatar Kevelian | 
le jour ou Apple utilisera ce fichier pour se connecter et vous dira vous pouvez pas acheter sur store US parce vous êtes enregistré en France alors là ça sera lever de boucliers mais ça sera trop tard
avatar winstonsmith | 
Evidemment quand un téléphone sous Android (potentiellement plus ouvert qu'un iPhone donc) était sorti avec un lecteur d'empreintes (l'Atrix, si je ne m'abuse), personne n'avait rien dit alors qu'il y avait Google derrière. Bref.
avatar YanDerS | 
:'-))
avatar boccob | 
Apple a dit que JAMAIS au grand JAMAIS votre empreinte digitale ne sortira de votre iPhone. Ca doit donc être vrai. Tient, ce n'est pas ce que le gouvernement US disait à propos de la condidentialité des communications ?
avatar eipem | 
@elamapi : Le gouvernement américain a déjà tes empreintes... À moins que tu ne sois jamais sorti de chez toi (passeport biométrique toussa) Tu tournes en rond.

Pages

CONNEXION UTILISATEUR