Vous avez un compte Amazon ? Adieu le mot de passe et la vérification en deux étapes !

Alexandre Schmid
24 octobre 2023 à 18h00
42
Une passkey pour se connecter à son compte Amazon © Amazon
Une passkey pour se connecter à son compte Amazon © Amazon

Plus sécurisée et plus pratique que le mot de passe, la passkey (clé d'accès) vient protéger nos comptes Amazon.

L'évolution est encore lente, mais les passkeys commencent petit à petit à émerger pour remplacer nos mots de passe. Nouvel acteur majeur à adopter cette technologie, Amazon, qui annonce la prise en charge des passkeys sur les navigateurs et les applications mobiles.

Comment configurer une passkey sur Amazon ?

Il va désormais être possible de configurer une passkey pour accéder plus facilement et de manière sécurisée à son compte Amazon Shopping (Boutique Amazon) sur smartphone et tablette. La fonctionnalité est déjà déployée pour les utilisateurs d'iOS, et elle le sera prochainement sur les appareils Android.

Pour paramétrer une passkey, rendez-vous dans la section « Votre compte », puis sélectionnez « Connexion et sécurité ». À côté de la mention « Passkeys », appuyez sur « Configurer ». Suivez ensuite simplement les instructions à l'écran pour achever le processus.

Une fois que la passkey est validée, les utilisateurs peuvent se connecter à leur compte Amazon sur un terminal compatible en utilisant leurs données biométriques (empreinte digitale ou reconnaissance faciale) ou en tapant le PIN de leur appareil.

Il suffira désormais d'utiliser ses données biométriques pour accéder à Amazon Shopping © Screen Post
Il suffira désormais d'utiliser ses données biométriques pour accéder à Amazon Shopping © Screen Post

Déverrouiller son appareil = se connecter à son compte

L'intérêt des clés d'accès est qu'elles ne peuvent pas être écrites ou devinées : il faut un accès physique à l'appareil autorisé pour accéder au compte. Contrairement au mot de passe, la passkey ne peut pas être partagée par accident à un acteur malveillant. Ce système est aussi plus rapide que le recours à la double authentification.

« Lorsqu'un client utilise une passkey sur son appareil, cela prouve qu'il possède son appareil et qu'il est capable de le déverrouiller. Les clients n'ont plus à se soucier de mémoriser des mots de passe uniques ou d'utiliser des identifiants faciles à deviner, comme des noms ou des dates de naissance », rappelle Amazon.

Les grands acteurs de la tech comme Google, Microsoft et Apple travaillent depuis des années au remplacement des mots de passe. Ceux-ci ont encore de belles années à vivre, mais l'on devrait progressivement pouvoir s'en passer sur les grandes plateformes numériques.

Source : Amazon

Alexandre Schmid

Alexandre Schmid

Gamer et tech enthusiast, j’ai fait de mes passions mon métier. Diplômé d’un Master en RNG sur Hearthstone. Rigole aux blagues d’Alexa.

Lire d'autres articles

Gamer et tech enthusiast, j’ai fait de mes passions mon métier. Diplômé d’un Master en RNG sur Hearthstone. Rigole aux blagues d’Alexa.

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (42)

Sweety
Cette solution n’est pas envisageable sur un pc gamer.
Bestdoud
Et nos données biométriques elle vont où ?<br /> Est ce que cela fait appel à une fonction du téléphone et seul le téléphone à accès à nos données ?<br /> Comment font ils le lien entre notre compte Amazon et le verrouillage par le smartphone<br /> Ils feraient mieux d’activer le mots de passe de la banque pour valider le paiement car amazon valide le paiement sans rien demander<br /> Je sais pas si c’est du au fait que j’ai enregistré ma carte sur leur site
christoliquide
Pour Amazon, il demande une clé USB pour finaliser. Je vois pas comment ca peut fonctionner si on nous demande une clé USB.
MattS32
Sweety:<br /> Cette solution n’est pas envisageable sur un pc gamer.<br /> Pourquoi pas ? Amazon ne le supporte pour l’instant que dans les applis mobiles, mais techniquement rien ne les empêche de le supporter un jour sur le site et donc que ça fonctionne sur n’importe quel PC compatible avec les clés d’accès.<br /> Bestdoud:<br /> Et nos données biométriques elle vont où ?<br /> Normalement pas plus loin que le lecteur d’empreintes. Dans le pire des cas, jusqu’à l’OS. Jamais à Amazon.<br /> Bestdoud:<br /> Est ce que cela fait appel à une fonction du téléphone et seul le téléphone à accès à nos données ?<br /> Oui, si tu le fait sur un téléphone Android ou iOS, ça utilisera les fonctions de biométrie natives de l’OS.<br /> Bestdoud:<br /> Comment font ils le lien entre notre compte Amazon et le verrouillage par le smartphone<br /> Tu te connectes une première fois avec ton login/mot de passe. Là tu demandes d’activer la fonctionnalité. Ça va générer une clé d’authentification cryptographique que ton appareil va stocker dans son gestionnaire de clés (en général, géré par l’OS).<br /> Quand tu reviens sur Amazon plus tard depuis le même appareil (en théorie, y compris avec une autre application que celle de départ, tant qu’elle gère aussi l’authentification par clé d’accès… mais je ne sais pas s’il existe un système pour restreindre les clés d’accès à une application… en tout cas par expérience sous Windows toutes celles que j’ai créées avec un navigateur sont ensuite disponible dans les autres navigateurs), l’appli va demander au gestionnaire de clés s’il y a une clé correspondant à ton login pour Amazon. Si oui, le gestionnaire de clés t’authentifie (c’est là qu’intervient éventuellement la biométrie) pour autoriser l’accès à la clé. Amazon peut alors vérifier que la clé est valide pour ton compte, et si oui, ouvrir l’accès à ton compte.
Bilbo
Les gens n’y comprennent rien et pour ce qui me concerne je ne vois pas l’intérêt par rapport à la double authentification par SMS.<br /> Empreintes digitales ou iris, tout cela peut être piraté en un rien de temps. Quand au code PIN, en quoi un code à 4 chiffres est-il plus sûr qu’un mot de passe sécurisé proposé par Google ? Je ne vois pas …
MattS32
Bilbo:<br /> Quand au code PIN, en quoi un code à 4 chiffres est-il plus sûre qu’un mot de passe sécurisé proposé par Google ? Je ne vois pas …<br /> Ce n’est pas juste un PIN. C’est la combinaison appareil physique + PIN. Celui qui te vole juste ton mot de passe peut accéder à ton compte. Celui qui te vole juste ton PIN ne peut pas, il lui faut en plus ton appareil.<br /> Et l’intérêt c’est du coup notamment d’être plus robuste face à des keyloggers. Non seulement les keyloggers et autres softs espions ne pourront généralement pas capturer le PIN (car il est saisi dans un contexte sécurisé, pas dans le contexte d’une application lambda), mais en plus, quand bien même il serait capturé, il ne sera pas utilisable.<br /> Et ce code n’est en outre pas forcément un code à 4 chiffres, ça peut être plus long et ça peut contenir d’autres caractères, comme n’importe quel mot de passe.
Bilbo
Durant un démarrage récent, W10 m’a imposé de créer un code pin, OU une reconnaissance faciale, OU une empreinte. J’ai donc mis un code PIN à 4 chiffres, comme pour un mobile finalement, c’est ce qui a débloqué le démarrage de W10 …<br /> (Ce code à 4 chiffres est bien quelque part sur le disque dur ! )
MattS32
Bilbo:<br /> Ce code à 4 chiffres est bien quelque part sur le disque dur !<br /> Absolument pas. Il y a un système de validation cryptographique. Sur le disque, ce qui est stocké c’est par exemple (j’ai pas les détails d’implémentation de Windows Hello, donc je donne un exemple de principe, Hello peut fonctionner directement, mais en tout cas ne stocke pas le code PIN) une clé K chiffrée avec une clé K’ dérivée de ton mot de passe et des données chiffrées avec la clé K ou des signatures calculées avec la clé K.<br /> Chaque fois que tu as besoin d’accéder à des données chiffrées avec K ou de vérifier une signature calculée avec K, ton ordinateur va te demander ton code PIN, calculer K’ et l’utiliser pour déchiffrer K.<br /> À aucun moment le code PIN (ou K’) n’est stocké sur l’ordinateur, c’est demandé quand il y en a besoin.
xeno
Quelqu’un peut il m’expliquer comment je fais pour changer mes données bio métriques ?
MattS32
Ce ne sont pas tes données biométriques qui servent à t’identifier auprès d’un service externe. Aucune raison d’avoir à les changer.<br /> Elles servent uniquement à t’authentifier auprès de ton appareil et ne quittent pas cet appareil. Et tu peux utiliser autre chose que des données biométriques pour ça.
Bilbo
Pas convaincu, le simple fait de saisir le code PIN au clavier est déjà un problème: il faudrait à minima un clavier virtuel, comme pour certaines applications bancaires, avec une disposition aléatoire des chiffres qui sont saisis à la souris. Taper sur un clavier peut facilement être enregistré par un logiciel espion.<br /> J’ai beaucoup plus confiance dans le système FIDO, une clé physique USB sans laquelle une machine est inutilisable.
MattS32
Bilbo:<br /> Pas convaincu, le simple fait de saisir le code PIN au clavier est déjà un problème<br /> Non. La saisi se fait dans un contexte sécurisé. C’est pas une saisie classique. Comme la saisie du mot de passe du compte utilisateur au démarrage de l’ordinateur.<br /> De plus ce PIN ne sert à rien sans la machine. Donc celui qui te vole le PIN, il ne peut strictement rien en faire, il lui faut aussi la machine.<br /> Bilbo:<br /> J’ai beaucoup plus confiance dans le système FIDO, une clé physique USB sans laquelle une machine est inutilisable.<br /> Pour l’accès à un service en ligne, c’est à peu près le même niveau de sécurité qu’une clé d’accès. Dans un cas il faut te voler la clé physique USB et son éventuel code de déverrouillage (et la plupart n’en ont pas !), dans l’autre il faut te voler l’appareil sur lequel tu as la clé d’accès et son code de déverrouillage (et là il y en a à priori obligatoirement un, les gestionnaires de clés d’accès ne fonctionnent pas s’il n’y a pas de mécanisme de verrouillage de l’appareil).<br /> Et dans les deux cas en cas de vol tu peux révoquer l’accès.
juju251
Bilbo:<br /> Les gens n’y comprennent rien et pour ce qui me concerne **je ne vois pas l’intérêt par rapport à la double authentification par SMS. **<br /> La double authentification par SMS, c’est juste absolument pas robuste.<br /> CF (par exemple) ceci :<br /> nextinpact.com – 12 May 17<br /> SS7 : après des interceptions de SMS, la sécurité des réseaux mobiles en...<br /> L’opérateur allemand O2-Telefonica a confirmé récemment&nbsp;que certains de ses clients avaient vu leur compte bancaire piraté, grâce à l’interception de SMS envoyés lors d'une authentification à double facteurs. Un problème qui souli...<br /> (même si, un piratage de ce genre n’arrive pas tous les jours, ce n’est pas impossible.<br /> Bilbo:<br /> J’ai beaucoup plus confiance dans le système FIDO, une clé physique USB sans laquelle une machine est inutilisable.<br /> Auquel cas, il faut absolument que la clé physique soit protégée par un code d’accès (ou que ce soit un moyen de double authentification).<br /> Edit : Pour le système mis en place par Amazon, une question me vient :<br /> Ont-ils pensés au cas où le smartphone n’est pas protégé par un code ou une empreinte ?<br /> Je verrais bien le coup où les mobiles sans protection exposent le compte Amazon. <br /> C’est plus une question rhétorique qu’autre chose : J’imagine qu’ils y ont pensé. ^^
tehtwig
Le 2FA par SMS c’est vraiment si t’as rien d’autre. C’est vulnérable au SIM swap, bonjour les dégâts.
MattS32
juju251:<br /> Ont-ils pensés au cas où le smartphone n’est pas protégé par un code ou une empreinte ?<br /> Ils n’ont même pas à y penser : cette partie de l’authentification est délégué à l’OS, qui ne fournit tout simplement pas de service d’authentification aux applications s’il n’y a pas de PIN, mot de passe ou empreinte définie.<br /> Par contre ça pourrait éventuellement être géré indépendamment du verrouillage de l’OS : on pourrait tout a fait définir que l’accès à l’appareil n’est pas protégé mais que l’accès aux clés l’est. Ce n’est toutefois pas l’approche adoptée par Google sous Android (pas de clés d’accès si pas de verrouillage). Je ne sais pas ce qu’il en est chez Apple. Mais par contre avec des gestionnaires de clés indépendants de l’OS (Dashlane, bientôt Bitwarden) ça deviendra possible de décorréler les deux.<br /> juju251:<br /> La double authentification par SMS, c’est juste absolument pas robuste.<br /> Et ça nécessite de capter un réseau mobile…
MattS32
Fatima:<br /> Personne ne sait.<br /> Les modes de fonctionnement des systèmes d’authentification biométriques sont largement décrits et documentés.<br /> Fatima:<br /> De toute façon c’est une aubaine pour ces multinationales d’obtenir des millions même milliards d’empreintes<br /> Et ça leur rapporterait quoi concrètement d’avoir ton empreinte digitale ?<br /> Mais bon, je dois être bête et ignorant, alors que toi tu es sans doute un sachant
MattS32
Et je répète la question : concrètement, avoir une empreinte digitale de quelqu’un, ça apporte quoi à Apple ou Google ? Que dalle.<br /> Et si Apple récupérait les empreintes et les partageait avec le FBI comme ton petit doigt te le fait imaginer, le FBI n’aurait pas besoin de payer très cher des entreprises de sécurité étrangère pour trouver des failles dans les systèmes de sécurité des appareils Apple quand il veut accéder au contenu de l’iPhone d’un terroriste par exemple…<br /> Mais bon, tout ça doit être inventé en fait, pour nous faire croire que. Seuls les sachants sachent la vraie vérité réelle <br /> Et du coup, je suppose que le FBI qui a les empreintes d’à peu près 100% de la population adulte américaine doit faire exprès de laisser certains crimes non élucidés malgré les relevés d’empreinte sur la scène de crime juste pour faire croire qu’ils ont pas les empreintes de tout le monde, c’est ça ?
Laurent_Marandet
L article ne précise pas si les clés physiques acceptées par Amazon sont à la orme Fido2 U2f. Ces clés sont géniales, je déteste la validation par appli mobile de la banque, les sms ou mails de paypal.
pinkfloyd
ben l’application Amazon peut t’authentifier par empreintre, meme si le téléphone n’ait pas locké avec …
MattS32
Sous iOS ? Parce que sous Android (du moins la version qui est sur les Pixel), ce n’est pas possible, dès lors qu’on désactive le verrouillage de l’appareil, on perd la possibilité de s’identifier par empreinte dans les applications :<br /> image504×1122 38.5 KB
frigolu
Je suis passé aux passkeys pour 2 comptes (pas Amazon) pour essayer mais j’ai une question…<br /> Que se passe-t-il si je perds ou qu’on me vole les dispositifs utilisés pour me connecter, et qui sont nommément enregistrés sur le site ou service en question ? Par exemple pour un compte, j’ai activé l’empreinte via mon téléphone actuel et via un MacBook. Si ces appareils me sont volés, s’ils sont détruits, ou que je les vends, que se passe-t-il, comment puis-je être identifié et me connecter ? Que va-t-on me demander pour prouver que c’est bien moi ?<br /> J’ai perdu l’accès à 3 comptes mail pour des procédures de sécurité des comptes. La validation en 2 étapes me réclamait d’autoriser la demande sur mon téléphone. Or je n’avais plus le téléphone qui avait servi à l’activation, et n’avait évidemment aucune demande sur mon nouveau téléphone. Toutes les options proposées étaient impossibles (sms impossible car le numéro enregistré était un ancien numéro, mail de secours impossible car le fournisseur a fermé). Et impossible d’enregistrer mon nouveau téléphone car il faut d’abord valider l’autorisation avec l’ancien… J’ai alors tenté de récupérer ces comptes via une procédure qui demande des tas d’infos, mais les infos fournies se sont avérées insuffisantes. Impossible de récupérer ces comptes donc, où comment des mesures censées protéger notre compte se retournent contre nous, simplement parce-qu’on a … changé de téléphone et de numéro !<br /> Alors bien sûr, pour certains comptes j’ai des séries de numéros à usage unique, ou un email voire 2 de secours. Mais en fait, sur la plupart des comptes, j’ai une dizaine de mesures (2 emails de secours, SMS, validation par application sur smartphone, passkeys sur plusieurs appareils, codes de validation de secours, ET mot de passe). Mais du coup, le mot de passe est encore là.
Muggsy68
Tu perds ton tel il est mort et tu l’a bien dans l’os le plus souvent. Alors que pour la double authentification par sms, il suffit de mettre la sim dans un autre téléphone
MattS32
Les clés d’accès sont stockées sur l’appareil qu’on utilise pour aller sur le service. Donc on s’en fout de les perdre si on perd l’appareil, puisque de toute façon à partir de ce moment là, on ne l’utilise plus pour accéder au service.<br /> Mais si je perds mon téléphone, je ne perds pas les clés d’accès que j’ai sur mon PC dans Windows Hello. Et inversement, si je perds mon PC, je ne perds pas les clés d’accès qui est est dans mon téléphone…<br /> J’ai l’impression que beaucoup de gens confondent les clés d’accès et le 2FA via téléphone. Ce n’est pas la même chose.<br /> Les clés d’accès sont là pour remplacer le mot de passe par un système d’authentification tiers et déconnecté quand on se connecte à un service en ligne depuis un appareil avec lequel on s’y est déjà connecté une fois. Ce n’est pas un second facteur d’authentification.<br /> Et pour la 2FA, perso je préfère largement TOTP plutôt qu’un SMS, quand TOTP est proposé… Tellement plus pratique de ne dépendre ni d’un appareil (on peut avoir le générateur sur plusieurs appareils) ni d’un réseau (le TOTP fonctionne de façon totalement offline, faut juste que l’appareil qui génère soit à l’heure).
Leo999
Quand je regarde les commentaires, tout ca me fait penser un peu au alarmes dans les maisons et voitures. Ca coute cher, ca crée des milliers de contraintes aux utilisateurs MAIS ca gene absolument pas les voleurs! <br /> Ca me gonfle déja teeeeeeellement de mettre verouillage sur mon telephone! . J’etais tout content de changer de banque pour pouvoir mettre ma CB sur mon gogole wallet… Tout ca pour que cet emmerdeur m’oblige a verouiller le tel! au lieu de me demander la meme procédure UNIQUEMENT quand je veux payer…
juju251
Muggsy68:<br /> Tu perds ton tel il est mort et tu l’a bien dans l’os le plus souvent. Alors que pour la double authentification par sms, il suffit de mettre la sim dans un autre téléphone<br /> Souvent, il y a des codes de secours …<br /> Sinon, authentificateur physique (genre Yubikey + leur générateur de codes 2FA) + 2FA.<br /> Bon, faut pas perdre la clé …<br /> … Perso, j’en ai une principale et une en backup. <br /> Après, oui, cela fait des contraintes, mais bon …<br /> Leo999:<br /> Quand je regarde les commentaires, tout ca me fait penser un peu au alarmes dans les maisons et voitures. Ca coute cher, ca crée des milliers de contraintes aux utilisateurs MAIS ca gene absolument pas les voleurs! <br /> Source ?<br /> Non, parce que balancer une «&nbsp;info&nbsp;» comme ça, sans rien avancer de plus, tout le monde sait le faire.<br /> Leo999:<br /> Ca me gonfle déja teeeeeeellement de mettre verouillage sur mon telephone! .<br /> C’est gênant à ce point ?
Fatima
«&nbsp;Quand le FBI nous a demandé les données qui étaient en notre possession, nous les avons fournies, insiste TimCook&nbsp;»<br /> Le FBI a demandé à Apple avoir un programme pour accéder à l’IPhone sans passer par Apple.<br /> Qu’ils ont d’ailleurs trouver depuis.<br /> Quelle naïveté.
MattS32
Fatima:<br /> « Quand le FBI nous a demandé les données qui étaient en notre possession, nous les avons fournies, insiste TimCook »<br /> Le FBI a demandé à Apple avoir un programme pour accéder à l’IPhone sans passer par Apple.<br /> Oui, les données qu’Apple avait en sa possession. Mais Apple n’a jamais donné les informations permettant de déchiffrer le contenu d’un iPhone. Parce que justement elle n’a pas ces données en sa possession : elle ne connait pas les codes de déverrouillage des iPhone, elle ne connait pas les empreintes digitales des utilisateurs d’iPhone.<br /> Mais bon, tu saches les choses tellement mieux que le non sachant que je suis. Du coup, je peux d’ailleurs te retourner ta question initiale : tu es dev chez Apple pour sacher tout ça ?
Fatima
MattS32:<br /> elle ne connait pas les codes de déverrouillage des iPhone, elle ne connait pas les empreintes digitales des utilisateurs d’iPhone.<br /> Si Apple le dit c’est que c’est vrai… Le marketing.
MattS32
Fatima:<br /> Si Apple le dit c’est que c’est vrai… Le marketing.<br /> Non. L’application des bonnes pratiques de la cryptographie, dans un OS dont les entrailles ont été analysées dans tous les sens par des milliers d’experts en sécurité. Des vrais qui savent de quoi ils parlent. Pas des sachants.<br /> Accessoirement, il y a un principe de base pour conserver une information secrète : il faut minimiser le nombre de personnes qui la connaissent. Hors les équipes de dev système d’Apple, c’est des milliers de personnes, et surtout, des centaines qui entrent et sortent d’Apple chaque année. Imaginer un seul instant qu’une bombe comme le fait qu’Apple mentirait sur le chiffrement des iPhone puisse rester secrète dans un tel contexte, c’est vraiment être complètement inconscient de la réalité…<br /> Et sinon, tu n’as toujours pas répond à la question fondamentale : qu’est ce qu’Apple aurait à gagner en récupérant les empreintes digitales et les codes PIN de ses clients ? À comparer à ce qu’elle aurait à perdre si elle le faisait et que ça finissait par ce savoir (et ça finirait inévitablement par se savoir).
Leo999
Source : je suis electricien batiment depuis 15ans, j’en ai installé/depanné et deposé par mal… Souvent posées apres un cambriolage dans le voisinage ou les proches. Au début c’est bien, et ca deviens vite un enfer de contraintes plus que ca ne rassure ( devoir donner le code, le bip aur proches, sui les paument, entretenir, ne pas oublier de la mettre la couper sans parler des declenchements intenpestifs suite a des defaillances ou fausses manip <br /> Et au final, les gens ne font meme pu attention quand une alarme sonne, du fait manque de fiabilité ressenti.<br /> De toute facon, generalement, les braqueurs sont plus rapides que les reactions.<br /> Source les vidéos des cameras de plusieurs maisons de clients ( et perso) qui se sont faitent braquer quand meme… En quelques minutes c’est torché!<br /> D’allleurs, pour les voitures c’est tellement efficace qu’elle en sont toutes equipees d’aujourd’hui ( et remplacer un bete neiman m fracturable, par un systeme keyless relié a l’OBD n’a pas changé grand chose, si ce n’est les outils des voleurs )<br /> Concernant le verouillage du tel, oui je trouve ca juste insupportable… Retaper un code/ faire une forme, viser le lecteur d’empreinre etc… A chaque sms/message/ mail recu… c’est chiant.<br /> Comme de se voir imposé une casse spécifique pour un mdp, Ou les changements obligatoires etc…<br /> Je peux comprendre les enjeux, mais les methodes mises a dispositions sont souvent trop contraignantes. Par essence, le numerique est crackable, la seule parade qu’on a, c’est le temps , la duree pour cracker, mais a la base, ca cree des contraintes, qui pour moi, sont trop grandes.<br /> Du coup, OUI, devoir mettre un mot de passe pour verouiller mon telephone complet, uniquement parceque l’appli qui gere le paiement par CB ne donne pas la possibilité de valider l’action pas une securité spécifique et uniquement les 3 fois par jour ou je l’utilise, est pour moi completement avsurde et rebarbatif
Rainforce
Bonjour @MattS32,<br /> MattS32:<br /> De plus ce PIN ne sert à rien sans la machine. Donc celui qui te vole le PIN, il ne peut strictement rien en faire, il lui faut aussi la machine.<br /> MattS32:<br /> Ça va générer une clé d’authentification cryptographique que ton appareil va stocker dans son gestionnaire de clés (en général, géré par l’OS).<br /> Donc potentiellement Piratable / Copiable vers une autre Machine ? et ce, de manière non vérifiable / non visible pour l’utilisateur.<br /> MattS32:<br /> Et l’intérêt c’est du coup notamment d’être plus robuste face à des keyloggers. Non seulement les keyloggers et autres softs espions ne pourront généralement pas capturer le PIN (car il est saisi dans un contexte sécurisé, pas dans le contexte d’une application lambda), mais en plus, quand bien même il serait capturé, il ne sera pas utilisable.<br /> MattS32:<br /> Tu te connectes une première fois avec ton login/mot de passe. Là tu demandes d’activer la fonctionnalité.<br /> Donc Piratable / Keyloggable de la même manière qu’auparavant, à la première connection ?<br /> MattS32:<br /> Et ce code n’est en outre pas forcément un code à 4 chiffres, ça peut être plus long et ça peut contenir d’autres caractères, comme n’importe quel mot de passe.<br /> Soit c’est fait pour une sécurité plus sûre et plus simple, soit avec un code Pin simple, facilement mémorisable / piratable en regardant derrière une épaule. 1234 ( avant de voler la machine ). Les gens qui faisaient des schémas pour déverrouiller sous Android autrefois, était de la même manière, visuellement facilement mémorisable ( avant un vol par exemple ).<br /> Soit c’est pour au final avoir un Pin type 2ièm mot de passe que l’on tape à chaque fois, exactement comme avant ; ce qui permet à l’usage et dans le temps de faire totalement oublier aux utilisateurs leur 1ier mots de passe ( ceux des comptes d’origine qui te permet de générer / regénérer ta clef à la première connection ) et donc de te faire perdre dans la foulée et de manière irréversible l’accès aux différents comptes en ligne.<br /> Est-ce que je me trompe dans ces 4 réponses ?<br /> Ou, ai-je mal compris le fonctionnement du Passkey ?<br /> Cordialement,<br /> Merci
MattS32
Rainforce:<br /> Donc potentiellement Piratable / Copiable vers une autre Machine ? et ce, de manière non visible pour l’utilisateur.<br /> Oui, s’il y a une faille majeure dans l’OS. Autrement, non : la clé d’authentification est stockée dans une zone sécurisée (dans le cas où c’est l’OS qui gère) qui n’est pas accessible à un processus n’ayant pas un niveau de privilèges très élevé.<br /> Et la clé est bien entendu stockée chiffrée, et pour la déchiffrer il faut aussi récupérer la clé de chiffrement, qui est dérivée du code PIN (donc il le faut) et si possible d’une clé matérielle (c’est notamment là qu’intervient la puce TPM quand il y en a une… et voler la clé d’une puce TPM, c’est vraiment pas chose facile : même l’OS n’a pas accès aux clés privés du module TPM, quand elles sont utilisées elles sont stockées dans une enclave sécurisée de la mémoire). En l’absence de TPM, d’autres identifiants hardware peuvent éventuellement être utilisés dans le chiffrement de la clé pour s’assurer qu’elle ne soit pas déchiffrable/utilisable facilement sur une autre machine.<br /> Rainforce:<br /> Donc Piratable / Keyloggable de la même manière qu’auparavant, à la première connection ?<br /> Oui. Mais du coup uniquement à la première connexion. Alors que si on continue à se connecter avec le mot de passe, il peut être récupéré à chaque connexion. Et si on choisi «&nbsp;maintenir la connexion&nbsp;» pour ne pas avoir à saisir le mot de passe à chaque fois, là le site va déposer un cookie dans le navigateur, ce qui n’est pas du tout sécurisé (stocké non chiffré par défaut, accessible à n’importe quel processus et généralement réutilisable sur n’importe quel autre navigateur ou client HTTP)<br /> Rainforce:<br /> Soit c’est fait pour une sécurité plus sûre et plus simple, soit avec un code Pin simple, facilement mémorisable / piratable en regardant derrière une épaule. 1234 ( avant de voler la machine ).<br /> Le code PIN peut être à plus de 4 caractères et contenir autre chose que des chiffres. On peut aussi le remplacer par d’autres modes d’authentification (biométrie, clé physique…).<br /> Et comme ce code est le même partout, même s’il ne fait que quelques caractères, l’utilisateur va très vite prendre l’habitude de le taper très vite, rendant difficile sa mémorisation pour un observateur… J’ai déjà fait le test avec des collègues, mon PIN à 8 chiffres, aucun n’a réussi à me donner plus que les 3 premiers chiffres dans l’ordre… d’autant plus difficile qu’avec l’habitude on n’utilise même pas forcément le même doigt pour taper un même chiffre selon sa position : en faisant mon geste au ralenti je me suis rendu compte que sans même le faire consciemment, les deux chiffres en double dans mon PIN ne sont pas tapés deux fois avec le même doigt quand je tape vite…<br /> Rainforce:<br /> ce qui permet à l’usage et dans le temps de faire totalement oublier aux utilisateurs leur 1ier mots de passe ( ceux des comptes d’origine qui te permet de générer / regénérer ta clef à la première connection ) et donc de te faire perdre dans la foulée et de manière irréversible l’accès aux différents comptes en ligne.<br /> Alors pour ça, tu sais, y a un truc qui a été inventé il y a fort longtemps : le gestionnaire de mots de passe… Un truc qui est de toute façon indispensable aujourd’hui si tu veux un minimum de sécurité, parce qu’on a tellement de comptes en ligne qu’il est humainement quasiment impossible de retenir tous les mots de passe…<br /> En outre, la plupart des services en ligne ont des procédures de réinitialisation en cas de mot de passe perdu, donc la perte du mot de passe n’est que rarement synonyme de perte irréversible de l’accès au compte…
Bombing_Basta
Quand je paye sur amazon avec ma CB, je dois entrer un code à 8 chiffres envoyé par SMS par ma banque, et depuis peu, ensuite aussi entrer mon pin à 8 chiffres d’accès à mon compte bancaire en ligne, tout ceci sur une page de paiement générée par ma banque, avec le même clavier virtuel aléatoire que pour le site de ma banque.<br /> Bref, je pense que ce n’est pas amazon qui décide de ça, mais ta banque.
Rainforce
Merci @MattS32 pour votre réponse.<br /> MattS32:<br /> Et la clé est bien entendu stockée chiffrée, et pour la déchiffrer il faut aussi récupérer la clé de chiffrement, qui est dérivée du code PIN (donc il le faut) et si possible d’une clé matérielle (c’est notamment là qu’intervient la puce TPM quand il y en a une… et voler la clé d’une puce TPM, c’est vraiment pas chose facile : même l’OS n’a pas accès aux clés privés du module TPM, quand elles sont utilisées elles sont stockées dans une enclave sécurisée de la mémoire). En l’absence de TPM, d’autres identifiants hardware peuvent éventuellement être utilisés dans le chiffrement de la clé pour s’assurer qu’elle ne soit pas déchiffrable/utilisable facilement sur une autre machine.<br /> Donc contrairement à ce que je disais et d’aprés vous, il ne suffit pas uniquement d’avoir la clé chiffré et le code PIN pour pouvoir «&nbsp;déchiffrer&nbsp;» l’accès au compte sur une autre machine. Autrement dit, il faut encore «&nbsp;autre chose&nbsp;» qui appartient uniquement à la machine source et que la machine cible n’a pas, et ce «&nbsp;quelque chose&nbsp;» est difficile à «&nbsp;trouver / copier&nbsp;» sur la machine source et / ou à «&nbsp;émuler&nbsp;» sur la machine cible. Ai-je bien compris le principe ?<br /> MattS32:<br /> Oui. Mais du coup uniquement à la première connexion. Alors que si on continue à se connecter avec le mot de passe, il peut être récupéré à chaque connexion. Et si on choisi « maintenir la connexion » pour ne pas avoir à saisir le mot de passe à chaque fois, là le site va déposer un cookie dans le navigateur, ce qui n’est pas du tout sécurisé (stocké non chiffré par défaut, accessible à n’importe quel processus et généralement réutilisable sur n’importe quel autre navigateur ou client HTTP)<br /> Effectivement !<br /> MattS32:<br /> Et comme ce code est le même partout<br /> Ne peux-ton pas créer 2 codes PIN différents sur 2 machines différentes, pour l’accès à un même compte en ligne ?<br /> MattS32:<br /> Et comme ce code est le même partout, même s’il ne fait que quelques caractères, l’utilisateur va très vite prendre l’habitude de le taper très vite, rendant difficile sa mémorisation pour un observateur…<br /> Le fait de taper le même code PIN tout le temps et pour tout les comptes, peux aussi faciliter ( par multiplication ) son interception …<br /> MattS32:<br /> Alors pour ça, tu sais, y a un truc qui a été inventé il y a fort longtemps : le gestionnaire de mots de passe… Un truc qui est de toute façon indispensable aujourd’hui si tu veux un minimum de sécurité, parce qu’on a tellement de comptes en ligne qu’il est humainement quasiment impossible de retenir tous les mots de passe…<br /> Moi j’utilise «&nbsp;un algo mémo&nbsp;» basé sur l’Url et le Username, certes surement moins complexe qu’un pass généré par un gestionnaire, mais il ne reste du coup que dans ma tête. Il peut être facile avec un accès machine d’accéder à tous les mots de passe d’un gestionnaire qui se trouvent du coup au même endroit, non ?. Cela peut être dommage d’avoir le mot de pass compte bien crypté quelque part via le Pin, mais potentiellement facilement accessible via l’accès a un gestionnaire de mot de passes une fois logué sur la machine, non ?<br /> MattS32:<br /> En outre, la plupart des services en ligne ont des procédures de réinitialisation en cas de mot de passe perdu, donc la perte du mot de passe n’est que rarement synonyme de perte irréversible de l’accès au compte…<br /> Effectivement ! sauf si l’on fait comme @frigolu <br /> frigolu:<br /> J’ai perdu l’accès à 3 comptes mail pour des procédures de sécurité des comptes. La validation en 2 étapes me réclamait d’autoriser la demande sur mon téléphone. Or je n’avais plus le téléphone qui avait servi à l’activation, et n’avait évidemment aucune demande sur mon nouveau téléphone. Toutes les options proposées étaient impossibles (sms impossible car le numéro enregistré était un ancien numéro, mail de secours impossible car le fournisseur a fermé). Et impossible d’enregistrer mon nouveau téléphone car il faut d’abord valider l’autorisation avec l’ancien… J’ai alors tenté de récupérer ces comptes via une procédure qui demande des tas d’infos, mais les infos fournies se sont avérées insuffisantes. Impossible de récupérer ces comptes donc, où comment des mesures censées protéger notre compte se retournent contre nous, simplement parce-qu’on a … changé de téléphone et de numéro !<br /> En attendant votre réponse,<br /> Merci pour ces premiers éclaircissements.
MattS32
Rainforce:<br /> Autrement dit, il faut encore « autre chose » qui appartient uniquement à la machine source et que la machine cible n’a pas, et ce « quelque chose » est difficile à « trouver / copier » sur la machine source et / ou à « émuler » sur la machine cible. Ai-je bien compris le principe<br /> Oui, si TPM ou équivalent est utilisé pour la sécurisation de la clé d’accès. Mais ça ne sera pas forcément toujours le cas. C’est le cas sur les smartphones dotés d’une enclave sécurisée (iPhone, Pixel, mais sans doute aussi la plupart des Android de dernières années, en particulier sur le haut de gamme). À priori aussi oui si on utilise Windows Hello ou l’équivalent sous macOS. Non par contre si on utilise une solution comme un gestionnaire de mot de passe pour partager les clés d’accès entre plusieurs machines : de fait dans ce cas le stockage doit se faire indépendamment de la machine.<br /> Rainforce:<br /> Ne peux-ton pas créer 2 codes PIN différents sur 2 machines différentes, pour l’accès à un même compte en ligne ?<br /> Oui, par partout j’entendais «&nbsp;partout sur la machine&nbsp;». Sur deux machines différentes, on peut effectivement utiliser deux PIN différents si on le souhaite.<br /> Rainforce:<br /> Moi j’utilise « un algo mémo » basé sur l’Url et le Username, certes surement moins complexe qu’un pass généré par un gestionnaire, mais il ne reste du coup que dans ma tête.<br /> Si cet algo est suffisamment simple pour être mémorisé, il y a un risque que quelqu’un qui met la main sur un ou éventuellement plusieurs de tes mots de passe puisse comprendre l’algo et générer les autres… Je fait ça aussi pour les quelques sites les plus importants (mail notamment), mais j’ajoute une petite part de cryptographie (4 à 8 caractères en plus) que je mémorise et que j’enregistre dans mon gestionnaire de mot de passe sans le préfixe «&nbsp;algo mémo&nbsp;». Pour les sites moins important, c’est 100% cryptographique et stocké dans le gestionnaire.<br /> Rainforce:<br /> mais potentiellement facilement accessible via l’accès a un gestionnaire de mot de passes une fois logué sur la machine, non ?<br /> Un bon gestionnaire de mots de passe stocke de manière chiffrée et ne se déverrouille, avec son propre mot de passe + de préférence du 2FA, que quand c’est nécessaire (et les clés d’accès permettent de réduire la fréquence à laquelle on déverrouille le gestionnaire de mots de passe). Bien sûr il y a toujours un risque supplémentaire par rapport à des mots de passe uniquement dans la tête de l’utilisateur (mais en contrepartie, il limite le risque de vols de mots de passe par keylogger, avec la saisie automatique). Mais c’est vraiment ingérable autrement quand on a énormément de mots de passe.<br /> Rainforce:<br /> Effectivement ! sauf si l’on fait comme @frigolu <br /> Oui bien sûr, il faut s’assurer que les procédures de récupération restent opérationnelles… Pour ma part je tiens à jour une base contenant tous mes comptes et les infos qui y sont associées : adresse mail, adresse physique, numéro de téléphone, numéro de CB, RIB. Ainsi quand l’une de ces données change, en deux clics je sors la liste de tous les comptes associés et je peux aller les mettre à jour.
Rainforce
Bonjour @MattS32 et merci à nouveau pour votre réponse.<br /> MattS32:<br /> Oui, si TPM ou équivalent est utilisé pour la sécurisation de la clé d’accès. Mais ça ne sera pas forcément toujours le cas. C’est le cas sur les smartphones dotés d’une enclave sécurisée (iPhone, Pixel, mais sans doute aussi la plupart des Android de dernières années, en particulier sur le haut de gamme). À priori aussi oui si on utilise Windows Hello ou l’équivalent sous macOS.<br /> Ok !<br /> MattS32:<br /> Non par contre si on utilise une solution comme un gestionnaire de mot de passe pour partager les clés d’accès entre plusieurs machines : de fait dans ce cas le stockage doit se faire indépendamment de la machine.<br /> Je ne savais pas que cela pouvait ce faire. Dans ce cas la, le chiffrement de la clé repose uniquement sur le code PIN je suppose ? Est-ce que cela ne réduit pas la sécurité de ce mode de fonctionnement «&nbsp;PassKey&nbsp;» de fait ?<br /> MattS32:<br /> Oui, par partout j’entendais « partout sur la machine ». Sur deux machines différentes, on peut effectivement utiliser deux PIN différents si on le souhaite.<br /> Effectivement, mais du coup je me posais aussi la question. <br /> MattS32:<br /> Si cet algo est suffisamment simple pour être mémorisé, il y a un risque que quelqu’un qui met la main sur un ou éventuellement plusieurs de tes mots de passe puisse comprendre l’algo et générer les autres…<br /> Effectivement, je pense que dans mon cas il faudra récupérer plusieurs couple ( Url / Login / Pass ) et un peu d’imagination pour arriver à le deviner.<br /> MattS32:<br /> Un bon gestionnaire de mots de passe stocke de manière chiffrée et ne se déverrouille, avec son propre mot de passe + de préférence du 2FA, que quand c’est nécessaire (et les clés d’accès permettent de réduire la fréquence à laquelle on déverrouille le gestionnaire de mots de passe).<br /> J’avais testé Bitwarden à un moment, il faudrait que je le réinstalle alors pour revoir tout cela. Vous voulez dire qu’a chaque connection sur un site vous tapez le mot de passe maitre du gestionnaire + le code 2FA ? mais de quelle clés d’accès pour réduire la fréquence parlez-vous ? je pense que n’ai pas bien compris toute cette partie. <br /> MattS32:<br /> (mais en contrepartie, il limite le risque de vols de mots de passe par keylogger, avec la saisie automatique)<br /> Ah cela je ne le savais pas ! Je pensais qu’un keylogger pouvais aussi enregister la saisie automatique fait par un gestionnaire de mots de passe. Bon à savoir …<br /> MattS32:<br /> mais j’ajoute une petite part de cryptographie (4 à 8 caractères en plus) que je mémorise et que j’enregistre dans mon gestionnaire de mot de passe sans le préfixe « algo mémo ». Pour les sites moins important, c’est 100% cryptographique et stocké dans le gestionnaire.<br /> Ce n’est pas bête.<br /> MattS32:<br /> Pour ma part je tiens à jour une base contenant tous mes comptes et les infos qui y sont associées : adresse mail, adresse physique, numéro de téléphone, numéro de CB, RIB. Ainsi quand l’une de ces données change, en deux clics je sors la liste de tous les comptes associés et je peux aller les mettre à jour.<br /> Je fais aussi un peu cela, mais en moins évolué que vous, il faudra un jour que je pense à l’améliorer. <br /> Merci en tout cas pour votre temps et toutes ces explications bien utiles.<br /> En attendant vos nouvelles précisions.<br /> Cordialement,
MattS32
Rainforce:<br /> Je ne savais pas que cela pouvait ce faire. Dans ce cas la, le chiffrement de la clé repose uniquement sur le code PIN je suppose ? Est-ce que cela ne réduit pas la sécurité de ce mode de fonctionnement « PassKey » de fait ?<br /> Oui, c’est moins sûr que si c’est stocké par le gestionnaire de l’OS. Mais ça n’est pas moins sûr qu’un mot de passe stocké dans le même gestionnaire de mots de passe.<br /> Rainforce:<br /> Vous voulez dire qu’a chaque connection sur un site vous tapez le mot de passe maitre du gestionnaire + le code 2FA<br /> Oui sur mes PC. Sur le téléphone, c’est juste avec mon empreinte par contre.<br /> Rainforce:<br /> mais de quelle clés d’accès pour réduire la fréquence parlez-vous ? je pense que n’ai pas bien compris toute cette partie.<br /> Avec les clés d’accès, on se connecte moins souvent avec le mot de passe. Donc on déverrouille moins souvent le gestionnaire de mot de passe (si on stocke les clés d’accès au niveau de l’OS, pas dans les gestionnaire de mots de passe…), ce qui limite le risque que son mot de passe maître soit volé.<br /> Rainforce:<br /> Ah cela je ne le savais pas ! Je pensais qu’un keylogger pouvais aussi enregister la saisie automatique fait par un gestionnaire de mots de passe. Bon à savoir …<br /> Non, il ne peut pas. Par contre il peut y avoir d’autres logiciels malveillants (sous forme d’extension du navigateur) qui peuvent arriver à choper la saisie automatique. Mais pas un simple keylogger.
Rainforce
MattS32:<br /> Oui, c’est moins sûr que si c’est stocké par le gestionnaire de l’OS. Mais ça n’est pas moins sûr qu’un mot de passe stocké dans le même gestionnaire de mots de passe.<br /> Ok.<br /> MattS32:<br /> Oui sur mes PC. Sur le téléphone, c’est juste avec mon empreinte par contre.<br /> Ok.<br /> MattS32:<br /> Non, il ne peut pas. Par contre il peut y avoir d’autres logiciels malveillants (sous forme d’extension du navigateur) qui peuvent arriver à choper la saisie automatique. Mais pas un simple keylogger.<br /> D’accord.<br /> MattS32:<br /> Avec les clés d’accès, on se connecte moins souvent avec le mot de passe. Donc on déverrouille moins souvent le gestionnaire de mot de passe (si on stocke les clés d’accès au niveau de l’OS, pas dans les gestionnaire de mots de passe…), ce qui limite le risque que son mot de passe maître soit volé.<br /> Effectivement puisque l’on déverrouille à chaque fois avec le PIN dans Windows Hello, si j’ai bien compris.<br /> Et bien encore merci pour toutes ces explications.<br /> Je pense que l’on a vraiment fait le tour du sujet.<br /> Une nouvelle fois merci, et très bonne journée à vous.<br /> Rainforce
tinou7789
Pas très fiable comme source <br /> On est en 2023, déverrouiller son tel c’est instantané maintenant que ce soit via l’empreinte ou via reco faciale (sauf si t’as plus de doigts ou plus de tete).<br /> Mais par contre comparer un système d’authentification tel que celui présenter avec de l’installation de contrôle d’accès/surveillance de bâtiment sans vouloir manquer de respect à personne chacun son domaine de compétence.
StephaneGotcha
Le code PIN 0000 serait donc contre toute attente, le plus sécurisé? <br /> (Juste avant le 1234)
Leo999
Alors je vais faire plus simple :<br /> Ca me gonfle, que je soit FORCÉ de mettre un verouillage sur mon tel.<br /> Ca portera moins a controverse dis comme ca.<br /> Et non je ne veux pas mettre d’empreinte, et non je ne veux pas mettre la reco faciale. Je veux mon tel deverouillé, et accessible facilement, et l’utiliser facilemement. Et pour eviter les problemes, je fais attention a mon tel.<br /> Que l’appli de paiement soit derriere un code, ok, ma CB physique aussi, mais pas le tel complet pour utiliser juste ca en plus.<br /> Etre géné 50 fois par jour, a cause d’UNE fonction moderne, bien pratique, et ce afin de contrer une eventuelle hypothétique tentative de vol, qui plus est, couverte par les assurances… Non!<br /> Et je ne compare pas la technilogie, elle est largement plus evoluée dans ce cas précis ( meme si evolué ne veux pas forcement dire plus efficace ou pratique mais laaaaa… )<br /> Je compare pour l’utilisateur : ca ajoute enormément de compléxite/ complications /contraintes / etapes pour lui tout en eliminant pas complétement le risque, et en créant d’autres ( genre le post plus haut qui disait qu’il avait plus acces a son propre mail…)<br /> ( sinon, la , ca va? Je reste suffisement dans mon domaine de compétence d’utilisateur? )
Fodger
Une belle merde si il en est. Qui si le mobile n’est pas disponible ? Qui si tu n’as pas activé les fonctions biométriques sur l’appareil ?<br /> #OnMetTousLesOeufsDansLeMêmePanierEtCestTrèsCon
juju251
Leo999:<br /> Etre géné 50 fois par jour, a cause d’UNE fonction moderne, bien pratique, et ce afin de contrer une eventuelle hypothétique tentative de vol, qui plus est, couverte par les assurances… Non!<br /> Les données ne sont pas couvertes pas les assurances. Et je ne parle pas forcément que de perte simple, mais d’une éventuelle utilisation frauduleuse / contre la personne.<br /> Autre chose, pas nécessairement un vol de smartphone, mais son accès physique pour par exemple installer une application dans le but d’espionner son propriétaire …<br /> Mais bon, j’imagine déjà la réponse qui va suivre … <br /> Leo999:<br /> Je veux mon tel deverouillé, et accessible facilement, et l’utiliser facilemement. Et pour eviter les problemes, je fais attention a mon tel.<br /> Et bien ne le verrouille pas. Problème réglé.
MattS32
Fodger:<br /> Une belle merde si il en est. Qui si le mobile n’est pas disponible ? Qui si tu n’as pas activé les fonctions biométriques sur l’appareil ?<br /> #OnMetTousLesOeufsDansLeMêmePanierEtCestTrèsCon<br /> Tu n’as juste pas compris.<br /> Qui si le mobile n’est pas disponible =&gt; Les clés d’accès sont stockées sur l’appareil avec lequel tu accèdes au compte. Pas sur un autre. Donc si ton mobile n’est pas accessible, c’est que tu utilises un autre appareil, et tu n’as pas besoin des clés d’accès qui sont sur ton mobile.<br /> Qui si tu n’as pas activé les fonctions biométriques sur l’appareil =&gt; Les clés d’accès ne sont pas obligatoirement protégées par biométrie, elles peuvent l’être par n’importe quel moyen d’authentification (PIN, mot de passe, clé physique…).<br /> Bref, pour la nième fois : clés d’accès != 2FA != authentification déléguée à un appareil tiers
Fodger
Calme toi; tu ne vois pas toutes les situations possibles manifestement.<br /> L’idée repose essentiellement un principe utilisé depuis longtemps, et qui est similaire aux connexions openssh (vive le marketing, ils n’ont rien inventé).<br /> C’est pour les utilisateurs avertis.<br /> Généraliser cette technique à l’utilisateur lambda qui ne comprendra rien aux histoires de clés, l’exposera fera forcément d’avantage en oubliant notamment qu’un accès de base client suffira alors pour accéder aux services tiers d’emblée utilisant ce principe.
MattS32
Fodger:<br /> Calme toi;<br /> C’est mignon de dire ça quand on qualifie un truc de «&nbsp;belle merde&nbsp;» sur la base d’arguments qui n’ont rien à voir avec le sujet…<br /> Fodger:<br /> tu ne vois pas toutes les situations possibles manifestement.<br /> Non, vraiment, il y a confusion. Les clés d’accès ne sont pas du 2FA. L’utilisation du téléphone pour se connecter sur un autre appareil, c’est du 2FA.<br /> Ce sont deux choses bien distinctes.<br /> Les clés d’accès sont stockées sur l’appareil qui est utilisé pour se connecter, la différence c’est qu’au lieu de mémoriser un identifiant de session dans un cookie du navigateur, non sécurisé, l’identifiant (la clé d’accès) est stocké dans un espace dédié et sécurisé, généralement géré par l’OS.<br /> Fodger:<br /> Généraliser cette technique à l’utilisateur lambda qui ne comprendra rien aux histoires de clés, l’exposera<br /> L’utilisateur lambda, aujourd’hui, il mémorise sa connexion dans un cookie quand c’est possible, pour pas avoir à taper son mot de passe à chaque fois. Et quand c’est pas possible (banque par exemple, qui généralement ne proposent pas l’enregistrement), il le tape à chaque fois (donc exposition à un keylogger).<br /> Dans ces deux cas, utiliser une clé d’accès est plus sûr. Et sans avoir besoin de comprendre particulièrement comment ça marche.<br /> Aujourd’hui, grâce à la clé d’accès, chaque fois que je me connecte à Boursorama, je ne saisis que le code PIN de mon ordinateur, n’exposant donc pas mon mot de passe qui pourrait servir à se connecter depuis un autre appareil s’il était volé. Et sans que j’ai besoin d’avoir mon téléphone. Ni besoin que la biométrie soit activée sur mon ordinateur.<br /> Fodger:<br /> un accès de base client suffira alors pour accéder aux services tiers d’emblée utilisant ce principe<br /> ???
Fodger
Le 2FA n’est pas du tout généralisé, loin de là.<br /> Ils partent de se débarrasser du F2A pour utiliser le passkey qui reprend le principe des connexions ssh clé privée + clé publique. Il n’y a pas de confusion possible, sauf peut être pour toi.<br /> Tous les utilisateurs qui font preuve de prudence n’enregistrent pas leur mdp, et au moins ils sont clairement avertis au moment de le faire (en principe).<br /> Le keylogger si tu le choppes, il récupérera aussi ton pin pour l’accès à l’ordi, ton argument ne tient pas. Et il n’y a pas que les keyloggers, la copie de clés privées ça se fait aussi ce que tu sembles ne pas comprendre.<br /> En réalité, le problème reste le même, c’est d’abord une affaire de pratique et ça se destine surtout.<br /> Et ce genre d’outil d’authentification rend la connexion transparente et donc n’est pas adapté pour l’utilisateur lambda du grand publique qui oubliera sa présence pour les services installés sur sa machine.<br /> Donc en cas de prise de contrôle temporaire de sa machine (session mal verrouillée, perte du code pin, malware etc.), l’accès aux services installés sera immédiat car plus aucun mdp n’est demandé. C’est d’ailleurs que subissent certaines boîtes où les employés sont mal formés, avec des systèmes trop interconnectés, qui se retrouvent alors avec toutes leurs données cryptées.<br /> C’est une fausse bonne idée à mon sens, au moins le F2A (très chiant parfois) fait prendre conscience du mécanisme d’authentification.
MattS32
Fodger:<br /> Il n’y a pas de confusion possible, sauf peut être pour toi.<br /> C’est bien toi qui semblait faire la confusion en croyant que le téléphone est nécessaire pour utiliser les clés d’accès («&nbsp;Qui si le mobile n’est pas disponible ?&nbsp;»)…<br /> Fodger:<br /> Tous les utilisateurs qui font preuve de prudence n’enregistrent pas leur mdp, et au moins ils sont clairement avertis au moment de le faire (en principe).<br /> Pareil pour l’enregistrement d’une clé d’accès : l’authentification par le gestionnaire de clés est aussi demandée au moment d’en enregistrer une, donc ça ne peut pas se faire sans s’en rendre compte. Un service ne peut pas enregistrer une clé d’accès à ton insu, ni même simplement parce que tu cliques sur «&nbsp;OK&nbsp;» partout sans faire attention.<br /> Fodger:<br /> Le keylogger si tu le choppes, il récupérera aussi ton pin pour l’accès à l’ordi, ton argument ne tient pas.<br /> Sauf que le PIN ne sert à rien sans avoir aussi la possibilité de prendre le contrôle de l’ordinateur… Ce qu’un simple keylogger ne permet pas…<br /> Fodger:<br /> Et il n’y a pas que les keyloggers, la copie de clés privées ça se fait aussi ce que tu sembles ne pas comprendre.<br /> Bien sûr, ça se fait. Mais quand elles sont stockées dans une enclave sécurisée, c’est autrement plus compliqué que de voler un cookie sur un navigateur…<br /> Car je rappelle que c’est bien ça le but premier de la clé d’accès : une solution meilleure que le cookie pour enregistrer le fait qu’un compte s’est déjà connecté depuis la machine et ne plus lui redemander le mot de passe du compte lors des reconnexions ultérieures…<br /> Fodger:<br /> Et ce genre d’outil d’authentification rend la connexion transparente<br /> Non, ce n’est pas transparent, puisqu’à chaque connexion il faut s’authentifier auprès du gestionnaire de clés d’accès…<br /> Fodger:<br /> Donc en cas de prise de contrôle temporaire de sa machine (session mal verrouillée, perte du code pin, malware etc.), l’accès aux services installés sera immédiat car plus aucun mdp n’est demandé.<br /> Aucun mot de passe, mais le PIN sera toujours demandé… Donc si tu oublies de verrouiller ta machine, le collègue qui essayerait d’en profiter ne pourra pas accéder aux services dont l’accès est contrôlé par une clé d’accès…<br /> Fodger:<br /> C’est une fausse bonne idée à mon sens, au moins le F2A (très chiant parfois) fait prendre conscience du mécanisme d’authentification.<br /> C’est marrant, mais le 2FA, c’est exactement ce à quoi on pourrait faire le reproche lapidaire de ton premier message dans la discussion : «&nbsp;Qui si le mobile n’est pas disponible ?&nbsp;»… Parce que pour l’utilisateur lambda, dans l’écrasante majorité des cas, le 2FA c’est justement le mobile (SMS, TOTP sur une application mobile, application de la banque sur le téléphone).<br /> Et le but des clés d’accès n’est pas de remplacer le 2FA de toute façon… C’est uniquement de remplacer le 1er facteur d’authentification (mot de passe remplacé par clé d’accès, et donc par authentification du gestionnaire de clés d’accès) sur les appareils connus. On peut tout a fait combiner la clé d’accès avec un second facteur TOTP, SMS ou clé physique par exemple.<br /> Par exemple, sur le site de ma banque, j’utilise désormais une clé d’accès pour me connecter, mais le site me demande quand même toujours un code envoyé par SMS pour faire les opérations sensibles. La clé d’accès n’a remplacé que le mot de passe du compte.
Fodger
Demander un mot de passe, ou un code pin c’est toujours le même principe seule la sémantique change. Et le code n’est pas systématiquement demandé, tout dépend de la façon dont a été conçu le service.<br /> Un système comme le passkey ne vaut que si tu propriétaires de l’appareil ce système, que tu le veuilles ou non sorti de ce contexte c’est aussi vulnérable que les autres techniques. Et tu l’as compris toi même puisque tu vois bien qu’on combine plusieurs techniques.<br /> C’est la base.
MattS32
Fodger:<br /> Demander un mot de passe, ou un code pin c’est toujours le même principe seule la sémantique change.<br /> Non, et c’est justement là tout l’intérêt des clés d’accès.<br /> Demander le mot de passe, c’est demander un élément qui, s’il est compromis au moment de sa saisie, est utilisable n’importe où ailleurs pour se connecter au compte.<br /> Demander une authentification liée à la machine, comme c’est le cas avec les clés d’accès tant qu’on ne les met pas dans un gestionnaire indépendant de la machine, c’est demander un élément qui, s’il est compromis, n’est utilisable qu’en ayant en plus l’accès à la machine.<br /> On introduit donc un élément de sécurité supplémentaire.<br /> Fodger:<br /> Et le code n’est pas systématiquement demandé, tout dépend de la façon dont a été conçu le service.<br /> Avec les clés d’accès, si. Il n’est pas possible d’accéder à la clé d’accès sans demander d’authentification.<br /> Fodger:<br /> Un système comme le passkey ne vaut que si tu propriétaires de l’appareil<br /> Bien entendu. Personne n’a jamais prétendu que c’était destiné à être utilisé sur des machines partagées… Le fait même que ça repose actuellement quasi systématiquement sur l’authentification par l’OS implique que ça ne puisse être utilisé que sur une machine dont on est l’utilisateur régulier…
Bilbo
Si je comprends bien il faut associer le PIN à un lecteur biométrique: avez-vous un lecteur d’empreinte à me conseiller, un produit bien noté qui irait sur mon PC ? Merci d’avance
MattS32
Non, le PIN est une alternative à la biométrie. Il n’est pas nécessaire d’avoir un lecteur d’empreintes.<br /> À partir du moment où tu as un PC sous Windows, tu peux y utiliser les clés d’accès, avec les mêmes méthodes d’authentification que celles que tu utilises pour te connecter à ton compte Windows (sauf le mot de passe semble-t-il) : code PIN, empreinte, reconnaissance de visage, clé physique.<br /> Si pour l’instant tu ne te connectes à Windows qu’avec un mot de passe, tu peux activer le PIN dans Paramètres &gt; Comptes &gt; Options de connexion.
Fodger
Le code PIN est tout aussi vulnérable que le mot de passe, tu saisies l’information dans les deux cas. Dans un cas on est en général sur du numérique, l’autre c’est de l’alpha, donc c’est tout ça fait similaire.<br /> Oui le couple clé primaire - clé publique évite une saisie supplémentaire mais que tu le veuilles ou non, si l’accès à la machine propriétaire est hacké de x façon il est alors tout à fait possible de copier la clé privée pour la renvoyer sur une autre machine sans que tu le saches.<br /> Donc ça reste plus sécurisé pour les échanges distants pour peu que ta machine reste inaccessible à un tiers.<br /> Enfin l’utilisation du passekey n’impose en rien la présence d’une étape supplémentaire dans le processus d’authentification avec d’un code pin, d’une biométrie, d’un mdp ou encore un schéma. C’est une suggestion, ce qui est logique puisque le but est de se passer du mot de passe.<br /> Webauthn qui exploite le mécanisme pour les services Web, est déjà lui plus contraignant.
MattS32
Fodger:<br /> Le code PIN est tout aussi vulnérable que le mot de passe, tu saisies l’information dans les deux cas. Dans un cas on est en général sur du numérique, l’autre c’est de l’alpha, donc c’est tout ça fait similaire.<br /> Non, car la saisie ne se fait pas dans le même contexte : simple navigateur, où le mot de passe saisi est extrêmement facile d’accès, pour un keylogger ou pour une extension du navigateur vs modale sécurisée de l’OS, théoriquement même protégée des keyloggers (sauf faille de l’OS… mais ça fait une difficulté supplémentaire).<br /> Et surtout, je le répète : le mot de passe volé peut servir ensuite pour se connecter au service depuis n’importe quelle autre machine. Pas le PIN, qui sert à s’authentifier sur la machine, pas sur le service.<br /> Fodger:<br /> si l’accès à la machine propriétaire est hacké<br /> Oui, dans le pire des cas (et il faut l’accès à la machine + le PIN ou autre moyen d’authentification, l’accès simple ne suffit pas), aucune solution n’est sûre. Mais on n’est pas forcément toujours dans le pire des cas…
Rainforce
Bonjour @MattS32<br /> Je viens de faire quelque tests concrets avec Windows Hello, Gmail et Passkey.<br /> Question subsidiaire: Est-ce que d’aprés toi la fenêtre «&nbsp;Windows Security&nbsp;» pour taper le PIN pour se connecter à Gmail ( via le Passkey ) est Keylogger-Proof ou non ?<br /> MattS32:<br /> Et comme ce code est le même partout, même s’il ne fait que quelques caractères, l’utilisateur va très vite prendre l’habitude de le taper très vite, rendant difficile sa mémorisation pour un observateur…<br /> Suite à mes tests quelque chose me chagrine. Si je me connecte à 27 sites, sécurisé via ce même PIN. N’importe qui avec ce PIN et ma Machine, peut en plus de se logger à ma machine, se connecter a mes 27 comptes en ligne et changer le système de sécurité de ces 27 comptes, dont leur mots de passe. Je viens de faire un test sur Gmail et cela a bien entendu fonctionné. Le PIN se retrouve être un SuperPassword qui donne totalement accès à tous les comptes configuré ( via cette méthode du Passkey ). Cela me parait tout de même assez problématique, qu’en penses-tu ?<br /> On peut certes utiliser la biométrie, mais le fait de pouvoir mettre mon doigt sur le capteur même après ma mort ( ou sous la contrainte ) me pose problème.<br /> Il y’a la reconnaissance Facial via Windows Hello si j’ai bien compris, qui semble mieux. Mais la encore cela signifie d’avoir une cam 100% du temps active / piratable qui te regarde. Cela me gène aussi.<br /> Je n’ai pas encore installer Bitwarden, mais sur le papier l’option d’un gestionnaire de mots de passe bien configuré / sécurisé, me parait largement mieux que cette histoire de passkey. ( enfin même s’il faudra que je retest Bitwarden pour le certifier )<br /> Que penses-tu de cette analyse ?<br /> Cordialement,
MattS32
Rainforce:<br /> Est-ce que d’aprés toi la fenêtre « Windows Security » pour taper le PIN pour se connecter à Gmail ( via le Passkey ) est Keylogger-Proof ou non ?<br /> Elle devrait normalement l’être. J’ai testé avec un keylogger basic, il n’a rien vu. Elle est aussi à l’épreuve des extensions de navigateur, qui peuvent très facilement capturer les mots de passe.<br /> Après, c’est sans doute pas infaillible non plus. Un keylogger suffisamment bas niveau (au pire, «&nbsp;branché&nbsp;» directement au pilote du clavier… ou un keylogger physique sur un clavier filaire) arrivera à le récupérer.<br /> Rainforce:<br /> Si je me connecte à 27 sites, sécurisé via ce même PIN. N’importe qui avec ce PIN et ma Machine, peut en plus de se logger à ma machine, se connecter a mes 27 comptes en ligne et changer le système de sécurité de ces 27 comptes, dont leur mots de passe. Je viens de faire un test sur Gmail et cela a bien entendu fonctionné. Le PIN se retrouve être un SuperPassword qui donne totalement accès à tous les comptes configuré ( via cette méthode du Passkey ). Cela me parait tout de même assez problématique, qu’en penses-tu ?<br /> Alors oui, en cas d’accès à la fois à la machine et au PIN, ça ouvre l’accès à tous les sites pour lesquels tu as un passkey. Tout comme ça ouvre accès à tous les sites pour lesquels tu as un cookie d’identification.<br /> Par contre ça ne donne pas nécessairement la possibilité de changer les accès à ces comptes : ça ce n’est pas une caractéristique intrinsèque de la clé d’accès. Le site auquel tu te connectes sait si tu t’es connecté avec un ou deux facteurs, avec un mot de passe ou avec une clé d’accès, etc… Après, c’est à lui de décider ce qu’il t’autorise à faire sans authentification complémentaire.<br /> Effectivement, et ça m’étonne beaucoup, Google autorise l’accès aux options du compte avec la clé d’accès, alors qu’avec une connexion par cookie il redemande le mot de passe. Bon cela dit, ça montre à quel point Google a confiance en la sécurité de ce nouveau système…<br /> Mais par exemple sur Boursorama Bank, ce n’est pas le cas, si je me suis connecté avec une clé d’accès, il me demande le mot de passe quand je cherche à le modifier. Vraiment, sur ce point, c’est un choix du site.<br /> Merci pour l’info du coup, je vais désactiver le passkey sur mon Gmail…<br /> Rainforce:<br /> mais le fait de pouvoir mettre mon doigt sur le capteur même après ma mort ( ou sous la contrainte ) me pose problème.<br /> Alors sur ce point, le capteurs récents sont souvent capables de distinguer un doigt mort d’un doigt vivant. Après, le côté sous la contrainte, là oui, si tu penses que c’est une situation qui risque de t’arriver et si tu as des choses que tu veux protéger même dans ce cas, n’utilise pas la biométrie…<br /> Rainforce:<br /> Mais la encore cela signifie d’avoir une cam 100% du temps active / piratable qui te regarde. Cela me gène aussi.<br /> Pas nécessairement. Les webcams récentes ont souvent un cache physique, il suffit donc de l’enlever quand on veut utiliser la reconnaissance faciale. On peut même sur certaines avoir la reconnaissance faciale tout en cachant l’objectif : la reconnaissance facile passe par un capteur dédié, dans l’infrarouge. Bien sûr, ce capteur pourrait en théorie aussi servir à espionner. Mais en pratique, c’est une autre affaire, car il n’est pas accessible directement comme le capteur principal, et en plus pour fonctionner correctement il doit aussi allumer le «&nbsp;flash&nbsp;» IR de la webcam, qui émet en général aussi dans le visible.<br /> Sinon tu as aussi une autre alternative au PIN, c’est la clé de sécurité physique, que tu gardes avec toi et branche quand tu en as besoin. Par rapport au PIN, ça limite encore un peu plus le risque de vol simultané de la clé et de de la machine, tout en évitant le recours à la biométrie. Mais je ne sais pas quels sont les clés physiques compatibles, j’en ai deux, une très vieille Yubikey de première génération et une Feitian Fido (la version «&nbsp;générique&nbsp;» de la Google Titan 1ère génération USB+BLE+NFC), aucune des deux n’est reconnue par Hello.
Rainforce
@MattS32 merci pour ta réponse.<br /> MattS32:<br /> Effectivement, et ça m’étonne beaucoup, Google autorise l’accès aux options du compte avec la clé d’accès, alors qu’avec une connexion par cookie il redemande le mot de passe. Bon cela dit, ça montre à quel point Google a confiance en la sécurité de ce nouveau système…<br /> Merci pour l’info du coup, je vais désactiver le passkey sur mon Gmail…<br /> Oui dans mon test j’ai pu changer le password Gmail en me connectant via le PIN et sans qu’il me demande l’ancien password. Il aurait été bien que tu faces aussi le test, afin de double-valider le mien, au cas…<br /> MattS32:<br /> Mais par exemple sur Boursorama Bank, ce n’est pas le cas, si je me suis connecté avec une clé d’accès, il me demande le mot de passe quand je cherche à le modifier. Vraiment, sur ce point, c’est un choix du site.<br /> Ok, je ne peux pas test, je n’ai pas cette bank, mais je te crois. Et il est à la discrétion du site de redemander le mot de passe du compte pour tout changement dans les paramètres de sécurité dudit compte, comme tu l’as très bien dit en effet.<br /> MattS32:<br /> Pas nécessairement. Les webcams récentes ont souvent un cache physique, il suffit donc de l’enlever quand on veut utiliser la reconnaissance faciale.<br /> Souvent, ok je ne pensais pas, je pensais que c’était même rare. Mais oui cela résout une partie du problème.<br /> MattS32:<br /> On peut même sur certaines avoir la reconnaissance faciale tout en cachant l’objectif : la reconnaissance facile passe par un capteur dédié, dans l’infrarouge. Bien sûr, ce capteur pourrait en théorie aussi servir à espionner. Mais en pratique, c’est une autre affaire, car il n’est pas accessible directement comme le capteur principal, et en plus pour fonctionner correctement il doit aussi allumer le « flash » IR de la webcam, qui émet en général aussi dans le visible.<br /> Ok, je ne connais pas. Quelles sont les cam qui font ça ?<br /> MattS32:<br /> Mais je ne sais pas quels sont les clés physiques compatibles, j’en ai deux, une très vieille Yubikey de première génération et une Feitian Fido (la version « générique » de la Google Titan 1ère génération USB+BLE+NFC), aucune des deux n’est reconnue par Hello.<br /> Je te rassure j’ai 2 Yubikey aussi une Neo et une Nano ( je crois ) et les 2 n’ont pas fonctionné dans Hello non plus, par contre je suis arrivé avec Hello a réinitialisé une, qui ne fonctionne du coup plus dans gmail ou elle était enregistré. mdr. J’ai due la réenregistré à nouveau.<br /> Pour résumer je pense que la meilleure option c’est la cam que tu me décris juste avant ma question sur c’elle-çi en 4). Et du coup elle m’interesse beaucoup. Car a part sous la contrainte ( ou l’on peut de toute façon tout récupérer, pass, empreinte, pin, facial ) en plus de la simplicité à l’usage, son système me semble plus difficile a usurper. Qu’en penses tu ?
MattS32
Rainforce:<br /> Il aurait été bien que tu faces aussi le test, afin de double-valider le mien, au cas…<br /> Je n’ai peut-être pas été suffisamment clair dans mon messages précédent : j’ai bien fait le test, et je confirme qu’on peut changer le mot de passe en ne s’étant authentifié que via la clé d’accès.<br /> Rainforce:<br /> Souvent, ok je ne pensais pas, je pensais que c’était même rare.<br /> C’est devenu quasi systématique sur le PC portables «&nbsp;pro&nbsp;», on le retrouve aussi sur quasiment toutes les webcams Logitech récentes, et même certains modèles encore commercialisés ont été «&nbsp;mis à jour&nbsp;» avec un cache (par exemple la C920, qui doit bien avoir 5-6 ans, et qui a maintenant une déclinaison C920s avec un cache).<br /> Rainforce:<br /> Ok, je ne connais pas. Quelles sont les cam qui font ça ?<br /> Toutes les webcams compatibles Hello ont un capteur infrarouge. C’est un prérequis pour être compatible Hello. En général, les webcams «&nbsp;externes&nbsp;» le font avec deux capteurs (et deux objectifs du coup) séparés, tandis que les webcams de portables ont plutôt un capteur unique qui peut être utilisé soit en IR soit en couleurs visibles.<br /> Après, la possibilité d’utiliser Hello tout en ayant caché l’objectif principal quand il y en a deux, ça dépend comment est fait le cache. Par exemple sur la mienne, une Logitech Brio, le cache est une pièce en plastique clipsée sur le corps de la webcam. Elle est assez large pour cacher les deux objectifs et le flash infrarouge, mais comme on peut la placer n’importe où en largeur, on peut aussi cacher seulement l’objectif «&nbsp;couleur&nbsp;» et laisser l’objectif et le flash IR. Sur d’autres ce n’est pas possible, par exemple au boulot j’ai une Lenovo 500, là le cache est intégré dans le corps de la caméra et coulisse. Mais tel qu’il est foutu, ça cache en premier l’objectif IR, puis l’objectif «&nbsp;couleur&nbsp;» et enfin le flash IR. Du coup pas possible de cacher juste l’objectif «&nbsp;couleur&nbsp;» tout en gardant Hello (cela dit, ça reste possible, quelque soit le modelè de webcam, tant qu’elle a deux objectifs, en se faisant son propre cache…).<br /> Rainforce:<br /> Car a part sous la contrainte ( ou l’on peut de toute façon tout récupérer, pass, empreinte, pin, facial ) en plus de la simplicité à l’usage, son système me semble plus difficile a usurper. Qu’en penses tu ?<br /> Je ne saurais pas dire ce qui est le plus sûr entre la reconnaissance faciale et l’empreinte digitale. Et le PIN est mieux sur certains points (notamment, plus dur à obtenir sous la contrainte), moins sur d’autres (risques de récupération avec un keylogger bas niveau ou par vidéo). Pour info, au niveau d’Android, Google considère le PIN comme plus sûr que la biométrie (et impose en outre de créer un PIN pour pouvoir activer la biométrie… il me semble que c’est le cas aussi avec Hello).
Rainforce
@MattS32<br /> MattS32:<br /> Je n’ai peut-être pas été suffisamment clair dans mon messages précédent : j’ai bien fait le test, et je confirme qu’on peut changer le mot de passe en ne s’étant authentifié que via la clé d’accès.<br /> Ok, donc double-test bien validé. Merci.<br /> MattS32:<br /> Toutes les webcams compatibles Hello ont un capteur infrarouge. C’est un prérequis pour être compatible Hello. En général, les webcams « externes » le font avec deux capteurs (et deux objectifs du coup) séparés, tandis que les webcams de portables ont plutôt un capteur unique qui peut être utilisé soit en IR soit en couleurs visibles.<br /> D’accord, et il est toujours possible d’obturer c’elle du laptop et d’y brancher une externe.<br /> MattS32:<br /> Après, la possibilité d’utiliser Hello tout en ayant caché l’objectif principal quand il y en a deux, ça dépend comment est fait le cache. Par exemple sur la mienne, une Logitech Brio, le cache est une pièce en plastique clipsée sur le corps de la webcam. Elle est assez large pour cacher les deux objectifs et le flash infrarouge, mais comme on peut la placer n’importe où en largeur, on peut aussi cacher seulement l’objectif « couleur » et laisser l’objectif et le flash IR.<br /> Ok, je vois: https://youtu.be/hm0F1Uuh568?t=182<br /> MattS32:<br /> Sur d’autres ce n’est pas possible, par exemple au boulot j’ai une Lenovo 500, là le cache est intégré dans le corps de la caméra et coulisse. Mais tel qu’il est foutu, ça cache en premier l’objectif IR, puis l’objectif « couleur » et enfin le flash IR. Du coup pas possible de cacher juste l’objectif « couleur » tout en gardant Hello (cela dit, ça reste possible, quelque soit le modelè de webcam, tant qu’elle a deux objectifs, en se faisant son propre cache…).<br /> Oui en mettant un bout de scotch noir juste sur l’objectif «&nbsp;couleur&nbsp;» je suppose.<br /> MattS32:<br /> Je ne saurais pas dire ce qui est le plus sûr entre la reconnaissance faciale et l’empreinte digitale. Et le PIN est mieux sur certains points (notamment, plus dur à obtenir sous la contrainte), moins sur d’autres (risques de récupération avec un keylogger bas niveau ou par vidéo). Pour info, au niveau d’Android, Google considère le PIN comme plus sûr que la biométrie (et impose en outre de créer un PIN pour pouvoir activer la biométrie… il me semble que c’est le cas aussi avec Hello).<br /> Ok, je pense que dans ce cas la, le PIN est juste la sortie de secours en cas de pb avec le capteur biométrique. Cela dit l’avantage avec la cam, c’est que je suppose que les accès aux comptes sont instantanés ( pas de PIN a taper à chaque fois, pas de geste à faire pour poser son doigt quelque part à chaque fois ). La cam externe peut aussi faire office de cam ( lol ) alors qu’un capteur digital externe ne sert à rien d’autre. Mais aussi à l’image du PIN qui permet de ne pas taper / exposer son password, la cam permet de ne pas taper / exposer son PIN. Que penses tu de cette analyse ? est-on bien d’accord ?<br /> MattS32:<br /> on peut aussi cacher seulement l’objectif « couleur » et laisser l’objectif et le flash IR.<br /> Donc tu confirmes que pour Windows Hello, SEUL l’objectif et le flash IR suffise pour l’authentification Windows Hello ? D’ailleurs peut-on s’authentifier aussi sans le flash IR ?<br /> Je ne sais pas trop ce qu’est un objectif IR ( Infrarouge ? ), mais du coup que voit il ? que capte t’il exactement ?<br /> Merci à toi encore pour toutes ces précisions.<br /> En attente de ta réponse.<br /> Cordialement,
MattS32
Rainforce:<br /> Que penses tu de cette analyse ? est-on bien d’accord ?<br /> Yep, avec la caméra c’est vraiment super rapide, et sans avoir à faire d’action particulière. L’empreinte, c’est aussi rapide, mais ça nécessite une action (à noter quelques cas intelligents, par exemple sur les Galaxy Book, quand on appuie sur le bouton power, même si l’OS n’est pas encore démarré, le capteur garde la signature de l’empreinte et la passe à l’OS dès qu’il a démarré, ce qui évite de remettre le doigt sur le capteur), et le PIN c’est un peu plus lent, avec un petit risque en plus de se le faire piquer.<br /> Rainforce:<br /> Donc tu confirmes que pour Windows Hello, SEUL l’objectif et le flash IR suffise pour l’authentification Windows Hello ? D’ailleurs peut-on s’authentifier aussi sans le flash IR ?<br /> Sans l’objectif couleur, ça marche, c’est devenu ma config par défaut. Sans le flash IR, ça ne marche pas avec ma Brio, ça reste bloqué que «&nbsp;Nous vous recherchons&nbsp;» :<br /> Attention, ça ne veut pas forcément dire que c’est le cas avec toutes les webcam Hello, certaines ont peut-être un capteur plus sensible… Mais toutes celles que j’ai pu voir ont un flash IR.<br /> Rainforce:<br /> Je ne sais pas trop ce qu’est un objectif IR ( Infrarouge ? ), mais du coup que voit il ? que capte t’il exactement ?<br /> Oui, c’est ça, infrarouge. Il voit une image du visage en noir est blanc. L’avantage par rapport à une prise de vue en couleurs visibles, c’est que les contrastes et ombres sont quasiment indépendants de l’éclairage ambiant, et que c’est totalement à l’abri d’une attaque par photo.<br /> À partir de cette image, Hello repère un certain nombre de points caractéristiques et ce sont ces points caractéristiques qui sont comparés au modèle de référence (l’image complète n’est jamais stockée, seulement sa signature via ces points caractéristiques, comme pour les empreintes).<br /> Si tu veux en savoir plus, il y a quelques explications complémentaires chez Microsoft (en anglais) : Windows Hello face authentication | Microsoft Learn
Rainforce
@MattS32<br /> MattS32:<br /> Yep, avec la caméra c’est vraiment super rapide, et sans avoir à faire d’action particulière. L’empreinte, c’est aussi rapide, mais ça nécessite une action (à noter quelques cas intelligents, par exemple sur les Galaxy Book, quand on appuie sur le bouton power, même si l’OS n’est pas encore démarré, le capteur garde la signature de l’empreinte et la passe à l’OS dès qu’il a démarré, ce qui évite de remettre le doigt sur le capteur), et le PIN c’est un peu plus lent, avec un petit risque en plus de se le faire piquer.<br /> Merci pour toutes ces précisions.<br /> MattS32:<br /> Sans le flash IR, ça ne marche pas avec ma Brio, ça reste bloqué que « Nous vous recherchons » … Attention, ça ne veut pas forcément dire que c’est le cas avec toutes les webcam Hello, certaines ont peut-être un capteur plus sensible… Mais toutes celles que j’ai pu voir ont un flash IR.<br /> Flash IR, cela veut dire qu’il y’a un Flash «&nbsp;qui éblouie&nbsp;» ( lol ) ou c’est juste une Led qui s’allume ?<br /> MattS32:<br /> Il voit une image du visage en noir est blanc. L’avantage par rapport à une prise de vue en couleurs visibles, c’est que les contrastes et ombres sont quasiment indépendants de l’éclairage ambiant, et que c’est totalement à l’abri d’une attaque par photo.<br /> Ok.<br /> MattS32:<br /> partir de cette image, Hello repère un certain nombre de points caractéristiques et ce sont ces points caractéristiques qui sont comparés au modèle de référence (l’image complète n’est jamais stockée, seulement sa signature via ces points caractéristiques, comme pour les empreintes).<br /> D’accord et cela fonctionne vraiment bien ? faut s’y reprendre s’y on bouge ? faut être bien en face ? il y’a t’il des contraintes à l’usage ?<br /> MattS32:<br /> Si tu veux en savoir plus, il y a quelques explications complémentaires chez Microsoft (en anglais) : Windows Hello face authentication | Microsoft Learn<br /> Ok, effectivement je vais aller voir tout cela, ce genre d’Auth. m’interesse et le Black Friday / Noel arrivent à grand pas …<br /> Une dernière question un peu HS. est-ce que des extensions / plugins navigateurs peuvent d’aprés toi enregistrer / récupérer les pass de Bitwarden ? Il me semble que je t’ai vu parler de ça, mais juste pour la phase de «&nbsp;weblogin&nbsp;» basique / manuel ( sans Bitwarden ) il me semble, donc je me pose aussi cette question.<br /> Un très grand merci pour tout ce savoir que tu partages ici.<br /> Cordialement,
MattS32
Rainforce:<br /> Flash IR, cela veut dire qu’il y’a un Flash « qui éblouie » ( lol ) ou c’est juste une Led qui s’allume ?<br /> C’est un flash fait par une LED, mais principalement en lumière infrarouge, donc ça n’éblouis pas, puisqu’on ne le voit pas. On voit juste une lumière rouge scintillante, pas du tout éblouissante (là aussi, ça peut peut-être dépendre des modèles… sur la Logitech Brio et la Lenovo 500 en tout cas, c’est comme ça), surtout qu’on ne regarde pas spécialement la caméra à ce moment là.<br /> Rainforce:<br /> D’accord et cela fonctionne vraiment bien ? faut s’y reprendre s’y on bouge ? faut être bien en face ? il y’a t’il des contraintes à l’usage ?<br /> Globalement, quand je suis en position normale d’utilisation de mon ordinateur, ça passe à tous les coups sans rien faire de particulier. Quand je prends un peu de recul, il arrive qu’il me demande de me rapprocher.<br /> Rainforce:<br /> st-ce que des extensions / plugins navigateurs peuvent d’aprés toi enregistrer / récupérer les pass de Bitwarden ?<br /> Les récupérer dans l’extension Bitwarden, à priori non, les extensions ont normalement chacune leur propre contexte «&nbsp;privé&nbsp;» inaccessible aux autres.<br /> Par contre quand Bitwarden (ou n’importe quel autre gestionnaire de mot de passe) remplis le mot de passe dans un formulaire de connexion, là une extension malveillante pourrait le récupérer. Ça tu ne peux rien faire contre, les extensions ont accès au DOM (l’objet qui représente la page web dans le moteur du navigateur), et dans ce DOM les mots de passe sont accessibles en clair. Tu ne peux prendre que des mesures préventives, en surveillant de temps en temps ta liste d’extension pour voir s’il n’y aurait pas un indésirable qui se serait glissé dans le lot.
Rainforce
MattS32:<br /> C’est un flash fait par une LED, mais principalement en lumière infrarouge, donc ça n’éblouis pas, puisqu’on ne le voit pas. On voit juste une lumière rouge scintillante, pas du tout éblouissante (là aussi, ça peut peut-être dépendre des modèles… sur la Logitech Brio et la Lenovo 500 en tout cas, c’est comme ça), surtout qu’on ne regarde pas spécialement la caméra à ce moment là.<br /> Ok.<br /> MattS32:<br /> Globalement, quand je suis en position normale d’utilisation de mon ordinateur, ça passe à tous les coups sans rien faire de particulier. Quand je prends un peu de recul, il arrive qu’il me demande de me rapprocher.<br /> Ok.<br /> MattS32:<br /> Les récupérer dans l’extension Bitwarden, à priori non, les extensions ont normalement chacune leur propre contexte « privé » inaccessible aux autres.<br /> Ok.<br /> MattS32:<br /> Par contre quand Bitwarden (ou n’importe quel autre gestionnaire de mot de passe) remplis le mot de passe dans un formulaire de connexion, là une extension malveillante pourrait le récupérer. Ça tu ne peux rien faire contre, les extensions ont accès au DOM (l’objet qui représente la page web dans le moteur du navigateur), et dans ce DOM les mots de passe sont accessibles en clair. Tu ne peux prendre que des mesures préventives, en surveillant de temps en temps ta liste d’extension pour voir s’il n’y aurait pas un indésirable qui se serait glissé dans le lot.<br /> Fichtre ! <br /> MattS32:<br /> On peut même sur certaines avoir la reconnaissance faciale tout en cachant l’objectif : la reconnaissance facile passe par un capteur dédié, dans l’infrarouge. Bien sûr, ce capteur pourrait en théorie aussi servir à espionner. Mais en pratique, c’est une autre affaire, car il n’est pas accessible directement comme le capteur principal, et en plus pour fonctionner correctement il doit aussi allumer le « flash » IR de la webcam, qui émet en général aussi dans le visible.<br /> MattS32:<br /> Oui, c’est ça, infrarouge. Il voit une image du visage en noir est blanc. L’avantage par rapport à une prise de vue en couleurs visibles, c’est que les contrastes et ombres sont quasiment indépendants de l’éclairage ambiant, et que c’est totalement à l’abri d’une attaque par photo.<br /> Cela veut-il dire par exemple qu’en obturant «&nbsp;l’objectif couleur&nbsp;» on ne peut absolument pas faire une Visio classique ( en noir et blanc ) en choisissant «&nbsp;l’objectif IR&nbsp;» ?. Ou autrement dit, la source IR n’est pas rendu accessible ( pour nous utilisateurs ) et donc on ne peut pas voir ce que cela donne, ou ce que Windows Hello voit ?<br />
MattS32
Rainforce:<br /> Cela veut-il dire par exemple qu’en obturant « l’objectif couleur » on ne peut absolument pas faire une Visio classique ( en noir et blanc ) en choisissant « l’objectif IR » ?. Ou autrement dit, la source IR n’est pas rendu accessible ( pour nous utilisateurs ) et donc on ne peut pas voir ce que cela donne, ou ce que Windows Hello voit ?<br /> D’après ce que j’ai lu, certains logiciels peuvent exploiter le capteur IR et montrer ce qu’il voit.<br /> Mais c’est pas reconnu comme une caméra normale, donc dans les logiciels classiques ça sera pas accessible.<br /> Je vais essayer d’en trouver un qui y arrive, parce que j’aimerai bien voir ce que le capteur est capable de voir sans le flash IR (donc potentiellement sans que je me rende compte que la caméra est active…).
Rainforce
MattS32:<br /> D’après ce que j’ai lu, certains logiciels peuvent exploiter le capteur IR et montrer ce qu’il voit.<br /> Mais c’est pas reconnu comme une caméra normale, donc dans les logiciels classiques ça sera pas accessible.<br /> Je vais essayer d’en trouver un qui y arrive, parce que j’aimerai bien voir ce que le capteur est capable de voir sans le flash IR (donc potentiellement sans que je me rende compte que la caméra est active…).<br /> Ok. Hâte d’avoir ton retour à ce sujet. Moi je vais aller regarder ce qui se fait en Cam. Windows Hello. Il faudra que je m’en prenne une, voir deux.<br /> Encore merci pour tout.
Voir tous les messages sur le forum

Top gestionnaires de mot de passe

NordPass
NordPass Voir l'offre
Dashlane
Dashlane Voir l'offre
1Password
1Password Voir l'offre

Top app & logiciels

Avast One
Avast One TÉLÉCHARGER
Opera
Opera TÉLÉCHARGER
Norton 360
Norton 360 TÉLÉCHARGER
CyberGhost VPN
CyberGhost VPN TÉLÉCHARGER
Bitdefender Total Security
Bitdefender Total Security TÉLÉCHARGER
Origin
Origin TÉLÉCHARGER
ChatGPT
ChatGPT TÉLÉCHARGER
WinRAR
WinRAR TÉLÉCHARGER
Paint.NET
Paint.NET TÉLÉCHARGER
Adobe Photoshop CC 2024
Adobe Photoshop CC 2024 TÉLÉCHARGER
Tous les logiciels
Haut de page

Sur le même sujet

GitHub lance la connexion sans mot de passe avec des passkeys GitHub lance la connexion sans mot de passe avec des passkeys
Windows 11 veut remplacer vos gestionnaires de mots de passe... et il devient vraiment bon Windows 11 veut remplacer vos gestionnaires de mots de passe... et il devient vraiment bon
Exit les mots de passe, bonjour les clés biométriques : 1Password amorce le changement Exit les mots de passe, bonjour les clés biométriques : 1Password amorce le changement
Google explique pourquoi vous devriez privilégier les Google explique pourquoi vous devriez privilégier les "clés de sécurité" aux mots de passe
Compte Google : le mot de passe, c'est fini ! Voilà comment faire Compte Google : le mot de passe, c'est fini ! Voilà comment faire