Empreinte digi­tale et sécu­rité


Nouveau télé­phone avec un capteur d’em­preinte digi­tale. Il n’y a pas à dire, c’est super pratique et le compro­mis de sécu­rité est plutôt bien adapté au cas d’usage.

Compro­mis ? C’est évident pour les geeks sécu­rité alors je m’adresse aux autres. Tout est histoire de compro­mis entre la faci­lité d’uti­li­sa­tion et le niveau de sécu­rité recher­ché.

L’em­preinte digi­tale est facile à utili­ser mais assure un assez mauvais niveau de sécu­rité.

Security - xkcd 358
Secu­rity – xkcd 538

Donc, qu’est prêt à faire celui qui veut accé­der à vos données ?

Si vous ne vous cachez pas sérieu­se­ment à chaque fois que vous déver­rouillez votre télé­phone, le code PIN ou le schéma à la Android ne sécu­risent que contre le vol à l’ar­ra­chée, quand le voleur ne vous connait pas et ne peut rien obte­nir de vous.

Si votre voleur est prêt à fouiller votre télé­phone sans votre accord, il est certai­ne­ment prêt à loucher par dessus votre épaule pour voir votre PIN ou votre schéma quand vous le tracez. Pour un schéma il peut même parfois se conten­ter des traces de doigts sur l’écran pour peu que vous ayez oublié de les effa­cer.

C’est *là* que l’em­preinte digi­tale est inté­res­sante. Elle est est simple à utili­ser mais ne peut pas être repro­duite sans un mini­mum d’ef­forts.

* * *

Si par contre votre attaquant est prêt à être… méchant, alors l’em­preinte digi­tale est la pire des solu­tions.

Le plus simple : Même un grin­ga­let peut vous prendre par surprise et retour­ner votre poignet dans votre dos pour vous faire déver­rouiller le télé­phone par la contrainte.

Le plus discret : Récu­pé­rer une de vos empreintes quelque part où vous la lais­sez – c’est à dire partout, tout au long de la jour­née – et créer une fausse empreinte propre à leur­rer le capteur permis­sif du télé­phone. N’im­porte qui en est capable avec assez de volonté.

Contre quelqu’un prêt à faire un mini­mum d’ef­forts il ne reste qu’un mot de passe ou un schéma suffi­sam­ment complexe que vous gardez confi­den­tiel. Rien ne battra même un bête code PIN si l’ap­pa­reil limite le nombre de tenta­tives.

Le problème c’est que tour­ner le dos à vos proches à chaque déver­rouillage de télé­phone puis s’as­su­rer de ne pas lais­ser de traces sur l’écran, ce n’est pas neutre au jour le jour. Bien entendu, si vous allez dans cette direc­tion, il faut que le disque du télé­phone soit chif­fré, que le télé­phone se verrouille immé­dia­te­ment quand vous le lais­sez sur une table, et que l’éven­tuel schéma à tracer soit très complexe. Sinon autant reve­nir à l’em­preinte digi­tale.

 


2 réponses à “Empreinte digi­tale et sécu­rité”

  1. Il y a au moins un cas où une empreinte digitale est moins efficace : dans un certain nombre de pays (par exemple aux US), la police ne peut pas forcer quelqu’un à révéler un mot de passe, mais on peut tout à fait lui forcer à poser son doigt sur un lecteur d’empreinte.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.