Bonjour,
nous sommes qux prises avec une société qui veut absolument imposer
un système de bio centralisée (sur un PC portable !) en pretextant
que ce ne sont pas les empreintes qui sont stockées mais des
"certificats biometriques", et qu'ils ne sont pas dans une "base de
données" mais dans une "collection de certificats" (!)
Avez vous des arguments plus convaincants que ce qu'on trouve sur le
site de la CNIL pour persuader les décideurs que c'est une piste au
mieux vouée au démontage et au pire éthiquement dangereuse ?
Merci.
Quelqu'un qui viendrait récupérer mes empreintes digitales dans mon labo
Ou n'importe où ailleurs (chez toi, dans un bar, etc.)
Sylvain SF
Dominique ROUSSEAU wrote on 17/04/2008 14:50:
C'est pourtant comme celà, par exemple, que c'est utilisé sur les différents laptops qui incluent un lecteur d'empreinte : identification + authentification.
j'ai seulement indiqué que le PO n'avait pas explicitement indiqué qu'on lui imposait de la biométrie comme authentication et que dès lors l'argumentaire résolument-anti-bio de Jérémy me paraissait hors sujet.
reste que évidemment la bio. est utilisé *à certains endroits* comme moyen d'authentification, là où la commodité (que j'évoquais) est un apport acceptable par rapport à la diminution (éventuelle) de la sécurité.
Voir l'argumentaire d'IBM, par exemple : http://www.pc.ibm.com/europe/fingerprint/en/?europe&cc=europe
commençant par "in an environment full of complexity", l'article s'adresse bien à des personnes qui ne veulent pas faire l'évaluation sécuritaire de leurs besoins, et / ou qui ne peuvent pas gérer facilement les contraintes d'une autre sécurité (comme mémoriser des mots de phrases aléatoires régulièrement modifiés) - ce type de bio. avec gestion SSO des credentials applicatifs est évidemment sensé ... si on ne fait pas n'importe quoi avec.
pour ce type de public, une protection bio. de leur PC est tout à fait satisfaite (le PC a l'habitude d'être laisser sans sur- veillance, il ne contient rien de vital pour l'individu ou son entreprise (comprendre il ne devrait rien contenir de) etc).
avant de rejeter catégoriquement les méthodes biométriques, il me parait opportun de définir les risques. si, par exemple, un méchant voulait absolument rentrer dans un labo, qu'importe si les terminaux sont protégés par PIN ou bio, il menacera physiquement un employé et/ou sa famille et obtiendra tous les sésames. la bio. n'est pas moins secure si elle ou un PIN est le seul élément constituant la sécurité globale.
on peux néanmoins noter qu'un PIN se communique très facilement sous la menace, son empreinte moins - et non un capteur correct n'acceptera ni une moulage ni un doigt coupé.
par ailleurs, parler du méchant terroriste oublie qu'une entreprise doit également se protéger contre ses propres employés, identifier en même temps que l'on authentifie a souvent un sens.
cette identification a évidemment encore plus de sens si le personnel impliqué doit "pointer" de manière nominative (pour un tour de garde, ou comme intervenant dans une chaine d'opérations auditables).
factuellement, la bio. sert aujourd'hui comme moyen d'identification sans service donné au porteur (passeport et demain carte identité), comme moyen d'identification avec service non sensible (contrôle d'accès physique, à un garage, une voiture; tracking, ...) et comme moyen d'authentification sur des devices ne contenant pas les plans de la bombe H (soit un % non négligeable de PC, PDA et GSM), pour ces devices, cette auth. bio. est très souvent suffisante.
Sylvain.
Dominique ROUSSEAU wrote on 17/04/2008 14:50:
C'est pourtant comme celà, par exemple, que c'est utilisé sur les
différents laptops qui incluent un lecteur d'empreinte : identification
+ authentification.
j'ai seulement indiqué que le PO n'avait pas explicitement indiqué
qu'on lui imposait de la biométrie comme authentication et que dès
lors l'argumentaire résolument-anti-bio de Jérémy me paraissait
hors sujet.
reste que évidemment la bio. est utilisé *à certains endroits* comme
moyen d'authentification, là où la commodité (que j'évoquais) est un
apport acceptable par rapport à la diminution (éventuelle) de la
sécurité.
Voir l'argumentaire d'IBM, par exemple :
http://www.pc.ibm.com/europe/fingerprint/en/?europe&cc=europe
commençant par "in an environment full of complexity", l'article
s'adresse bien à des personnes qui ne veulent pas faire l'évaluation
sécuritaire de leurs besoins, et / ou qui ne peuvent pas gérer
facilement les contraintes d'une autre sécurité (comme mémoriser
des mots de phrases aléatoires régulièrement modifiés) - ce type
de bio. avec gestion SSO des credentials applicatifs est évidemment
sensé ... si on ne fait pas n'importe quoi avec.
pour ce type de public, une protection bio. de leur PC est tout
à fait satisfaite (le PC a l'habitude d'être laisser sans sur-
veillance, il ne contient rien de vital pour l'individu ou son
entreprise (comprendre il ne devrait rien contenir de) etc).
avant de rejeter catégoriquement les méthodes biométriques, il me
parait opportun de définir les risques. si, par exemple, un méchant
voulait absolument rentrer dans un labo, qu'importe si les terminaux
sont protégés par PIN ou bio, il menacera physiquement un employé
et/ou sa famille et obtiendra tous les sésames. la bio. n'est pas
moins secure si elle ou un PIN est le seul élément constituant la
sécurité globale.
on peux néanmoins noter qu'un PIN se communique très facilement
sous la menace, son empreinte moins - et non un capteur correct
n'acceptera ni une moulage ni un doigt coupé.
par ailleurs, parler du méchant terroriste oublie qu'une entreprise
doit également se protéger contre ses propres employés, identifier
en même temps que l'on authentifie a souvent un sens.
cette identification a évidemment encore plus de sens si le personnel
impliqué doit "pointer" de manière nominative (pour un tour de garde,
ou comme intervenant dans une chaine d'opérations auditables).
factuellement, la bio. sert aujourd'hui comme moyen d'identification
sans service donné au porteur (passeport et demain carte identité),
comme moyen d'identification avec service non sensible (contrôle
d'accès physique, à un garage, une voiture; tracking, ...) et comme
moyen d'authentification sur des devices ne contenant pas les plans
de la bombe H (soit un % non négligeable de PC, PDA et GSM), pour
ces devices, cette auth. bio. est très souvent suffisante.
C'est pourtant comme celà, par exemple, que c'est utilisé sur les différents laptops qui incluent un lecteur d'empreinte : identification + authentification.
j'ai seulement indiqué que le PO n'avait pas explicitement indiqué qu'on lui imposait de la biométrie comme authentication et que dès lors l'argumentaire résolument-anti-bio de Jérémy me paraissait hors sujet.
reste que évidemment la bio. est utilisé *à certains endroits* comme moyen d'authentification, là où la commodité (que j'évoquais) est un apport acceptable par rapport à la diminution (éventuelle) de la sécurité.
Voir l'argumentaire d'IBM, par exemple : http://www.pc.ibm.com/europe/fingerprint/en/?europe&cc=europe
commençant par "in an environment full of complexity", l'article s'adresse bien à des personnes qui ne veulent pas faire l'évaluation sécuritaire de leurs besoins, et / ou qui ne peuvent pas gérer facilement les contraintes d'une autre sécurité (comme mémoriser des mots de phrases aléatoires régulièrement modifiés) - ce type de bio. avec gestion SSO des credentials applicatifs est évidemment sensé ... si on ne fait pas n'importe quoi avec.
pour ce type de public, une protection bio. de leur PC est tout à fait satisfaite (le PC a l'habitude d'être laisser sans sur- veillance, il ne contient rien de vital pour l'individu ou son entreprise (comprendre il ne devrait rien contenir de) etc).
avant de rejeter catégoriquement les méthodes biométriques, il me parait opportun de définir les risques. si, par exemple, un méchant voulait absolument rentrer dans un labo, qu'importe si les terminaux sont protégés par PIN ou bio, il menacera physiquement un employé et/ou sa famille et obtiendra tous les sésames. la bio. n'est pas moins secure si elle ou un PIN est le seul élément constituant la sécurité globale.
on peux néanmoins noter qu'un PIN se communique très facilement sous la menace, son empreinte moins - et non un capteur correct n'acceptera ni une moulage ni un doigt coupé.
par ailleurs, parler du méchant terroriste oublie qu'une entreprise doit également se protéger contre ses propres employés, identifier en même temps que l'on authentifie a souvent un sens.
cette identification a évidemment encore plus de sens si le personnel impliqué doit "pointer" de manière nominative (pour un tour de garde, ou comme intervenant dans une chaine d'opérations auditables).
factuellement, la bio. sert aujourd'hui comme moyen d'identification sans service donné au porteur (passeport et demain carte identité), comme moyen d'identification avec service non sensible (contrôle d'accès physique, à un garage, une voiture; tracking, ...) et comme moyen d'authentification sur des devices ne contenant pas les plans de la bombe H (soit un % non négligeable de PC, PDA et GSM), pour ces devices, cette auth. bio. est très souvent suffisante.
Sylvain.
Olivier Miakinen
[ informations et opinions à propos de la biométrie ]
Merci pour tout ceci, c'était très clair et très intéressant.
Cordialement, -- Olivier Miakinen (Et dire que je te confondais avec le trolleur de chez Infonie)
[ informations et opinions à propos de la biométrie ]
Merci pour tout ceci, c'était très clair et très intéressant.
Cordialement,
--
Olivier Miakinen
(Et dire que je te confondais avec le trolleur de chez Infonie)
[ informations et opinions à propos de la biométrie ]
Merci pour tout ceci, c'était très clair et très intéressant.
Cordialement, -- Olivier Miakinen (Et dire que je te confondais avec le trolleur de chez Infonie)
Eric Razny
Bonjour.
Le Thu, 17 Apr 2008 18:07:32 +0000, Sylvain SF a écrit :
reste que évidemment la bio. est utilisé *à certains endroits* comme moyen d'authentification, là où la commodité (que j'évoquais) est un apport acceptable par rapport à la diminution (éventuelle) de la sécurité.
Voir l'argumentaire d'IBM, par exemple : http://www.pc.ibm.com/europe/fingerprint/en/?europe&cc=europe
commençant par "in an environment full of complexity", l'article s'adresse bien à des personnes qui ne veulent pas faire l'évaluation sécuritaire de leurs besoins, et / ou qui ne peuvent pas gérer facilement les contraintes d'une autre sécurité (comme mémoriser des mots de phrases aléatoires régulièrement modifiés) - ce type de bio. avec gestion SSO des credentials applicatifs est évidemment sensé ... si on ne fait pas n'importe quoi avec.
Et encore, big blue n'a pas été jusqu'à faire mirroiter une quelconque meilleure sécurité dans ce mode. Il précise même :
"Enhanced security: Personal computers today often store sensitive and confidential data. They are also the access point to corporate networks. As systems become smaller and more mobile, they are more at risk of being lost or stolen. Use of a fingerprint reader in combination with a password offers a much higher level of authentication security for access to data or networks than can be achieved with a single form of authentication."
et on parle bien là, dans le cadre d'une sécurité accrue, d'identification *avec* un mot de passe pour l'autentification.
IBM laisse donc le choix à l'utilisateur, même si amha ils ne mettent pas suffisament l'accent sur les inconvénients de la méthode sans password.
-- Eric
Bonjour.
Le Thu, 17 Apr 2008 18:07:32 +0000, Sylvain SF a écrit :
reste que évidemment la bio. est utilisé *à certains endroits* comme
moyen d'authentification, là où la commodité (que j'évoquais) est un
apport acceptable par rapport à la diminution (éventuelle) de la
sécurité.
Voir l'argumentaire d'IBM, par exemple :
http://www.pc.ibm.com/europe/fingerprint/en/?europe&cc=europe
commençant par "in an environment full of complexity", l'article
s'adresse bien à des personnes qui ne veulent pas faire l'évaluation
sécuritaire de leurs besoins, et / ou qui ne peuvent pas gérer
facilement les contraintes d'une autre sécurité (comme mémoriser des
mots de phrases aléatoires régulièrement modifiés) - ce type de bio.
avec gestion SSO des credentials applicatifs est évidemment sensé ... si
on ne fait pas n'importe quoi avec.
Et encore, big blue n'a pas été jusqu'à faire mirroiter une quelconque
meilleure sécurité dans ce mode. Il précise même :
"Enhanced security: Personal computers today often store sensitive and
confidential data. They are also the access point to corporate networks.
As systems become smaller and more mobile, they are more at risk of being
lost or stolen. Use of a fingerprint reader in combination with a password
offers a much higher level of authentication security for access to data
or networks than can be achieved with a single form of authentication."
et on parle bien là, dans le cadre d'une sécurité accrue,
d'identification *avec* un mot de passe pour l'autentification.
IBM laisse donc le choix à l'utilisateur, même si amha ils ne mettent
pas suffisament l'accent sur les inconvénients de la méthode sans
password.
Le Thu, 17 Apr 2008 18:07:32 +0000, Sylvain SF a écrit :
reste que évidemment la bio. est utilisé *à certains endroits* comme moyen d'authentification, là où la commodité (que j'évoquais) est un apport acceptable par rapport à la diminution (éventuelle) de la sécurité.
Voir l'argumentaire d'IBM, par exemple : http://www.pc.ibm.com/europe/fingerprint/en/?europe&cc=europe
commençant par "in an environment full of complexity", l'article s'adresse bien à des personnes qui ne veulent pas faire l'évaluation sécuritaire de leurs besoins, et / ou qui ne peuvent pas gérer facilement les contraintes d'une autre sécurité (comme mémoriser des mots de phrases aléatoires régulièrement modifiés) - ce type de bio. avec gestion SSO des credentials applicatifs est évidemment sensé ... si on ne fait pas n'importe quoi avec.
Et encore, big blue n'a pas été jusqu'à faire mirroiter une quelconque meilleure sécurité dans ce mode. Il précise même :
"Enhanced security: Personal computers today often store sensitive and confidential data. They are also the access point to corporate networks. As systems become smaller and more mobile, they are more at risk of being lost or stolen. Use of a fingerprint reader in combination with a password offers a much higher level of authentication security for access to data or networks than can be achieved with a single form of authentication."
et on parle bien là, dans le cadre d'une sécurité accrue, d'identification *avec* un mot de passe pour l'autentification.
IBM laisse donc le choix à l'utilisateur, même si amha ils ne mettent pas suffisament l'accent sur les inconvénients de la méthode sans password.
-- Eric
Xavier
"Fred" a écrit dans le message de news:
Bonjour, nous sommes qux prises avec une société qui veut absolument imposer un système de bio centralisée (sur un PC portable !) en pretextant que ce ne sont pas les empreintes qui sont stockées mais des "certificats biometriques", et qu'ils ne sont pas dans une "base de données" mais dans une "collection de certificats" (!) Avez vous des arguments plus convaincants que ce qu'on trouve sur le site de la CNIL pour persuader les décideurs que c'est une piste au mieux vouée au démontage et au pire éthiquement dangereuse ? Merci.
N'ai pas d'arguments, désolé. Mais je ne doute pas que l'on échappera pas à la généralisation du biométrique, à plus ou moins long terme. CNIL ou pas. Ici un dispositif de Fujitsu avec capteur enregistreur de l'image du réseau veineux de la main... Ils en ont déja vendu dans les cantines en UK ! http://193.128.183.41/home/v3__palmsecure.asp
"Fred" <fred@somewhere.com> a écrit dans le message de news:
66hd10F2juqu8U1@mid.individual.net...
Bonjour,
nous sommes qux prises avec une société qui veut absolument imposer
un système de bio centralisée (sur un PC portable !) en pretextant
que ce ne sont pas les empreintes qui sont stockées mais des
"certificats biometriques", et qu'ils ne sont pas dans une "base de
données" mais dans une "collection de certificats" (!)
Avez vous des arguments plus convaincants que ce qu'on trouve sur le
site de la CNIL pour persuader les décideurs que c'est une piste au
mieux vouée au démontage et au pire éthiquement dangereuse ?
Merci.
N'ai pas d'arguments, désolé.
Mais je ne doute pas que l'on échappera pas à la généralisation du
biométrique, à plus ou moins long terme. CNIL ou pas.
Ici un dispositif de Fujitsu avec capteur enregistreur de l'image du
réseau veineux de la main...
Ils en ont déja vendu dans les cantines en UK !
http://193.128.183.41/home/v3__palmsecure.asp
Bonjour, nous sommes qux prises avec une société qui veut absolument imposer un système de bio centralisée (sur un PC portable !) en pretextant que ce ne sont pas les empreintes qui sont stockées mais des "certificats biometriques", et qu'ils ne sont pas dans une "base de données" mais dans une "collection de certificats" (!) Avez vous des arguments plus convaincants que ce qu'on trouve sur le site de la CNIL pour persuader les décideurs que c'est une piste au mieux vouée au démontage et au pire éthiquement dangereuse ? Merci.
N'ai pas d'arguments, désolé. Mais je ne doute pas que l'on échappera pas à la généralisation du biométrique, à plus ou moins long terme. CNIL ou pas. Ici un dispositif de Fujitsu avec capteur enregistreur de l'image du réseau veineux de la main... Ils en ont déja vendu dans les cantines en UK ! http://193.128.183.41/home/v3__palmsecure.asp
Sylvain SF
Xavier wrote on 22/04/2008 01:02:
Ils en ont déja vendu dans les cantines en UK ! http://193.128.183.41/home/v3__palmsecure.asp
oui ils ont replacé ceux qu'ils venaient de démonter des cantines françaises, faute à la CNIL justement.
Sylvain.
Xavier wrote on 22/04/2008 01:02:
Ils en ont déja vendu dans les cantines en UK !
http://193.128.183.41/home/v3__palmsecure.asp
oui ils ont replacé ceux qu'ils venaient de démonter des cantines
françaises, faute à la CNIL justement.
Ils en ont déja vendu dans les cantines en UK ! http://193.128.183.41/home/v3__palmsecure.asp
oui ils ont replacé ceux qu'ils venaient de démonter des cantines françaises, faute à la CNIL justement.
Sylvain.
Xavier
Pour recentrer (un peu) vers le sujet du fil de discussion j'ai envie de poser la question autrement : Combien de temps la CNIL, cette entité unique au monde (à ma connaissance), va t'elle encore tenir ? Je suis certain que beaucoup d'hommes politiques (en particulier de la couleur actuellement au pouvoir) la verraient bien disparaître ! -peu de budgets, peu de moyens -une vocation de sauvegarde de la confidentialité des éléments de la vie privée qui, comme pour les "droits de l'homme", ne préoccupe vraiment que la France (et encore... bien peu de ses dirigeants en fait !) -un doigt pointé sans arrêt sur la sécurité par les politiques, les médias, etc, qui permet de faire tomber peu à peu toutes les limitations -des restrictions qui peuvent freiner certains développements (et surtout intérêts) commerciaux que la France, incapable de faire partager ses idéaux humanistes, ne voudra pas laisser à la concurrence étrangère -etc...
Pour recentrer (un peu) vers le sujet du fil de discussion j'ai envie de
poser la question autrement :
Combien de temps la CNIL, cette entité unique au monde (à ma
connaissance), va t'elle encore tenir ? Je suis certain que beaucoup
d'hommes politiques (en particulier de la couleur actuellement au
pouvoir) la verraient bien disparaître !
-peu de budgets, peu de moyens
-une vocation de sauvegarde de la confidentialité des éléments de la vie
privée qui, comme pour les "droits de l'homme", ne préoccupe vraiment
que la France (et encore... bien peu de ses dirigeants en fait !)
-un doigt pointé sans arrêt sur la sécurité par les politiques, les
médias, etc, qui permet de faire tomber peu à peu toutes les limitations
-des restrictions qui peuvent freiner certains développements (et
surtout intérêts) commerciaux que la France, incapable de faire partager
ses idéaux humanistes, ne voudra pas laisser à la concurrence étrangère
-etc...
Pour recentrer (un peu) vers le sujet du fil de discussion j'ai envie de poser la question autrement : Combien de temps la CNIL, cette entité unique au monde (à ma connaissance), va t'elle encore tenir ? Je suis certain que beaucoup d'hommes politiques (en particulier de la couleur actuellement au pouvoir) la verraient bien disparaître ! -peu de budgets, peu de moyens -une vocation de sauvegarde de la confidentialité des éléments de la vie privée qui, comme pour les "droits de l'homme", ne préoccupe vraiment que la France (et encore... bien peu de ses dirigeants en fait !) -un doigt pointé sans arrêt sur la sécurité par les politiques, les médias, etc, qui permet de faire tomber peu à peu toutes les limitations -des restrictions qui peuvent freiner certains développements (et surtout intérêts) commerciaux que la France, incapable de faire partager ses idéaux humanistes, ne voudra pas laisser à la concurrence étrangère -etc...
Fred
Xavier wrote:
Pour recentrer (un peu) vers le sujet du fil de discussion j'ai envie de poser la question autrement : Combien de temps la CNIL, cette entité unique au monde (à ma connaissance),
Non, il y a d'autres CNIL en Europe (G29), mais la question reste posée. Et raison de plus pour ne *rien* laisser passer, au jour le jour ! Merci à tous.
Xavier wrote:
Pour recentrer (un peu) vers le sujet du fil de discussion j'ai envie de
poser la question autrement :
Combien de temps la CNIL, cette entité unique au monde (à ma
connaissance),
Non, il y a d'autres CNIL en Europe (G29), mais la question reste posée.
Et raison de plus pour ne *rien* laisser passer, au jour le jour ! Merci
à tous.
Pour recentrer (un peu) vers le sujet du fil de discussion j'ai envie de poser la question autrement : Combien de temps la CNIL, cette entité unique au monde (à ma connaissance),
Non, il y a d'autres CNIL en Europe (G29), mais la question reste posée. Et raison de plus pour ne *rien* laisser passer, au jour le jour ! Merci à tous.
