Biometrie centralisee et CNIL

Le
Fred
Bonjour,
nous sommes qux prises avec une société qui veut absolument imposer
un système de bio centralisée (sur un PC portable !) en pretextant
que ce ne sont pas les empreintes qui sont stockées mais des
"certificats biometriques", et qu'ils ne sont pas dans une "base de
données" mais dans une "collection de certificats" (!)
Avez vous des arguments plus convaincants que ce qu'on trouve sur le
site de la CNIL pour persuader les décideurs que c'est une piste au
mieux vouée au démontage et au pire éthiquement dangereuse ?
Merci.
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 3
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Jeremy JUST
Le #3396621
Le 14 Apr 2008 15:54:30 GMT,

nous sommes qux prises avec une société qui veut absolument imposer
un système de bio centralisée (sur un PC portable !) en pretextant
que ce ne sont pas les empreintes qui sont stockées mais des
"certificats biometriques"


Ce sont des empreintes digitales?
Si oui, il faut considérer que ce sont des données publiquement
accessibles: il est très facile de récupérer les empreintes digitales
d'une personne à son insu (sur une tasse, une souris...) et de s'en
servir sur un lecteur:

http://www.zdnet.fr/actualites/telecoms/0,39040748,2110454,00.htm

http://www.20minutes.fr/article/222848/High-Tech-La-fronde-contre-les-empreintes-digitales-et-le-fichage-des-deplacements.php


Si la personne malveillante est moins subtile, elle peut simplement
couper un doigt pour pénétrer dans le système.
La Française des Jeux avait fugitivement installé des lecteurs
d'empreintes digitales sur les portes de ses salles informatiques. Mais
elle a jugé que les doigts de ses salariés risquaient trop, et elle est
revenue à de bons vieux codes numériques.


et qu'ils ne sont pas dans une "base de données" mais dans une
"collection de certificats" (!)


Pour la CNIL, ces subtilités de langage ne tiennent pas: s'il s'agit
d'« traitement de données à caractère personnel », c'est soumis à
déclaration.


Ils causent plus spécifiquement des empreintes digitales ici:
http://www.generation-nt.com/biometrie-guide-cnil-empreinte-digitale-legislation-actualite-66003.html


--
Jérémy JUST
Fred
Le #3402891
Jeremy JUST wrote:

Pour la CNIL, ces subtilités de langage ne tiennent pas: s'il s'agit
d'« traitement de données à caractère personnel », c'est soumis à
déclaration.


Merci !

--
Frédéric

Sylvain SF
Le #3597561
Jeremy JUST wrote on 14/04/2008 21:40:

Ce sont des empreintes digitales?
Si oui, il faut considérer que ce sont des données publiquement
accessibles: il est très facile de récupérer les empreintes digitales
d'une personne à son insu (sur une tasse, une souris...) et de s'en
servir sur un lecteur:


oui mais non (il ne faut pas prendre les séries américaines au pied de
la lettre; récupérer au petit bonheur une empreinte utilisable n'est pas
systématique - par ailleurs cela ne change rien au pb du PO.)

Si la personne malveillante est moins subtile, elle peut simplement
couper un doigt pour pénétrer dans le système.


quel mauvais système fonctionne encore avec es doigts froids ??
ah oui des capacitifs peut être, ils devraient être interdits
s'ils n'ont pas déjà été abondonné.


La Française des Jeux avait fugitivement installé des lecteurs
d'empreintes digitales sur les portes de ses salles informatiques. Mais
elle a jugé que les doigts de ses salariés risquaient trop, et elle est
revenue à de bons vieux codes numériques.


hmmm, ragot, rumeur, ?....

et qu'ils ne sont pas dans une "base de données" mais dans une
"collection de certificats" (!)


Pour la CNIL, ces subtilités de langage ne tiennent pas: s'il s'agit
d'« traitement de données à caractère personnel », c'est soumis à
déclaration.


on est plus sur le sujet.
la CNIL autorise (après dépot obligeatoire de demande préalable)
les systèmes impliquant des empreintes biométriques si a) le stockage
et la comparaison d'empreintes est faite dans un device sécurisé
(matching-on-card par exemple dans une carte à puce), b) l'empreinte
est un élément nécessaire du système de sécurité (pas une simple
commodité intrusive).

en clair, si les empreintes (images ou minuties) sont stockées sur un PC
et si la bio. n'est qu'un caprice d'un décideur, la CNIL refusera.

Sylvain.


Jeremy JUST
Le #3613231
Le 14 Apr 2008 22:42:17 GMT,

oui mais non (il ne faut pas prendre les séries américaines au pied de
la lettre; récupérer au petit bonheur une empreinte utilisable n'est
pas systématique


J'avais donné l'URL d'un cas de la vie réelle. Même si la plupart des
empreintes sont inutilisables, il suffit de quelques unes pour rendre
le système inefficace. C'est un peu comme s'il tombait, deux ou trois
fois dans la journée, un post-it avec ton mot de passe.

En plus, il n'y a pas de moyen de se protéger contre ces fuites, sauf
en portant des gants en permanence.


Si la personne malveillante est moins subtile, elle peut simplement
couper un doigt pour pénétrer dans le système.
quel mauvais système fonctionne encore avec es doigts froids ??



Il suffit de coincer le bout de doigt sous son aisselle pendant
quelques minutes pour le remettre à la bonne température.


La Française des Jeux avait fugitivement installé des lecteurs
d'empreintes digitales sur les portes de ses salles informatiques.
Mais elle a jugé que les doigts de ses salariés risquaient trop, et
elle est revenue à de bons vieux codes numériques.
hmmm, ragot, rumeur, ?....



Journal de 20h, TF1, vers la fin des années 90, ou début 2000.
Je n'ai pas cherché à retrouver l'info sur internet.


--
Jérémy JUST

Sylvain SF
Le #3613221
Jeremy JUST wrote on 15/04/2008 02:00:

J'avais donné l'URL d'un cas de la vie réelle. Même si la plupart des
empreintes sont inutilisables, il suffit de quelques unes pour rendre
le système inefficace. C'est un peu comme s'il tombait, deux ou trois
fois dans la journée, un post-it avec ton mot de passe.


non, pas comme si.

En plus, il n'y a pas de moyen de se protéger contre ces fuites, sauf
en portant des gants en permanence.


rien de nouveau sous le latex.

Il suffit de coincer le bout de doigt sous son aisselle pendant
quelques minutes pour le remettre à la bonne température.


tu as testé ? merci pour le protocole de tests et les résultats.

Journal de 20h, TF1, vers la fin des années 90, ou début 2000.
Je n'ai pas cherché à retrouver l'info sur internet.


je n'ai jamais regardé le 20h de TF1 mais je ne doute pas que c'est
une très mauvaise source.

Sylvain.

Sylvain SF
Le #3613211
Jeremy JUST wrote on 15/04/2008 02:00:

En plus, il n'y a pas de moyen de se protéger contre ces fuites, sauf
en portant des gants en permanence.


et btw, avec un lecteur thermique on capture de très belles
empreintes même avec des gants en latex (protocole: le doigt
glissé dans un préservatif).

comme quoi, les idées reçues ont une certaine limite.

Sylvain.

Jeremy JUST
Le #3700311
Le 15 Apr 2008 00:30:37 GMT,

En plus, il n'y a pas de moyen de se protéger contre ces fuites,
sauf en portant des gants en permanence.
et btw, avec un lecteur thermique on capture de très belles

empreintes même avec des gants en latex


Je résume:
- Tu m'affirmes que les empreintes digitales sont une donnée privée
parfaitement sûre.
- Tu me dis que même avec des gants en latex, il est facile de les
capturer.

Je ne comprends pas ton raisonnement.


D'autre part, d'un point de vue pratique, il est impossible de passer
la journée avec des gants en latex, pour deux raisons:
- avec l'humidité des mains, le latex se fragilise, et il faut changer
de gants toutes les vingt minutes environ. Ce problème n'existe plus
si on prend des gants en nitrile, par exemple
- pour avoir travaillé six à 10 heures par jours avec des gants en
latex (en les changeant donc régulièrement), je peux te dire que
c'est le maximum faisable. À ce traitement, les ongles partent en
petits morceaux, la peau pèle et la pulpe des doigts devient
insensible.

Quand je parlais de gants portés en permanence pour protéger contre
les copies d'empreintes digitales, je pensais plus à des gants en
coton. Mais ça reste une contrainte importante.


--
Jérémy JUST

Sylvain SF
Le #3792821
Jeremy JUST wrote on 15/04/2008 20:50:

Je résume:
- Tu m'affirmes que les empreintes digitales sont une donnée privée
parfaitement sûre.


où as-tu lu ça ?
quelle définition donnes-tu à "donnée privée" et "sûre" dans ce
contexte?

- Tu me dis que même avec des gants en latex, il est facile de les
capturer.


j'ai indiqué "facile à capturer" en considérant évidemment le cas
d'une personne (même gantée) qui procède volontairement à une capture,
sur un capteur fait pour en posant sciemment son doigt où il faut.

à te lire, je sens venir le "il est facile de *capturer* les
empreintes de telle personne marchant gantée de l'autre coté
de la rue (ou autre scénario mal inspiré de je ne sais quelle
extrapolation).

Je ne comprends pas ton raisonnement.


si "raisonnement" est: affirmer une généralité (c'est mal, c'est pas
secure, ...) sur la base de 3 portes ouvertes (tel on trouve des bouts
d'empreintes sur des gobelets), mon intention n'était pas d'emettre un
"raisonnement".

D'autre part, d'un point de vue pratique, il est impossible de passer
la journée avec des gants en latex, pour deux raisons [...]


mis à part raison professionnelle forte, je ne vois pas l'intérêt.

Quand je parlais de gants portés en permanence pour protéger contre
les copies d'empreintes digitales, je pensais plus à des gants en
coton. Mais ça reste une contrainte importante.


mis à part raison professionnelle (ou phobie particulière), je ne vois
pas l'intérêt.

Sylvain.

Jeremy JUST
Le #3920871
Le 15 Apr 2008 23:15:16 GMT,

- Tu m'affirmes que les empreintes digitales sont une donnée privée
parfaitement sûre.
quelle définition donnes-tu à "donnée privée" et "sûre" dans ce

contexte?


Fournissant une sécurité comparable à ce que peut faire un mot de
passe correctement utilisé.


à te lire, je sens venir le "il est facile de *capturer* les
empreintes de telle personne marchant gantée de l'autre coté
de la rue (ou autre scénario mal inspiré de je ne sais quelle
extrapolation).


Le scénario serait: quelqu'un entre dans mon labo en même temps que
la femme de ménage le matin, regarde sur ma tasse, sur ma souris, sur
les portes des congélateurs, sur la surface des paillasses, etc. Il
relève toutes les empreintes. Il sort tranquillement du labo pour
préparer chez lui son matériel comme le fait le type de l'URL que j'ai
donnée au début.
Le lendemain, il revient et il se connecte aux serveurs sous mon nom.


--
Jérémy JUST

Sylvain SF
Le #4047021
Jeremy JUST wrote on 16/04/2008 21:43:

quelle définition donnes-tu à "donnée privée" et "sûre" dans ce
contexte?


Fournissant une sécurité comparable à ce que peut faire un mot de
passe correctement utilisé.


- un contrôle biométrique n'a absolument pas la même finalité
qu'un contrôle de passphrase (commodité et identification pour
le premier, authentification pour le second).

- remplacer un vague "sûre" par "correctement utilisé" reste
imprécis - un contrôle d'accès particulier n'a de sens que
dans un protocole strict et pour une finalité précise.

Le scénario serait: quelqu'un entre dans mon labo en même temps que
la femme de ménage le matin, regarde sur ma tasse, sur ma souris, sur
les portes des congélateurs, sur la surface des paillasses, etc. Il
relève toutes les empreintes. Il sort tranquillement du labo pour
préparer chez lui son matériel comme le fait le type de l'URL que j'ai
donnée au début.
Le lendemain, il revient et il se connecte aux serveurs sous mon nom.


hmm, je disais bien qu'importe le "scénario mal inspiré" ...

si n'importe qui peux entrer dans ton labo, sa sécurité physique est
nulle - tout le reste devient insignifiant, autant te piquer ton PC
ou ses disks.

s'il peux circuler librement, il peux accéder à n'importe quel cable
ethernet pour y poser ses écouteurs, à n'importe quel faux-plafond
pour y poser une caméra vers ton clavier, etc, etc, finalement il
accèdera facilement aux serveurs.

finalement la critique du contrôle biométrique est hors sujet
(non fondé) car ce qui est en cause ici serait le manque de
protection physique (pas logique).

Sylvain.


Publicité
Poster une réponse
Anonyme