Je pense que nombre d'entre vous ont lu l'article de Philippe Wolf
sur l'authentification biométrique dans le n° 46 de la revue du CNRS
(http://www.sg.cnrs.fr/FSD/securite-systemes/revues-pdf/num46.pdf).
Eh bien, certaines "PME" se laissent encore séduire par les sirènes de
l'authentification biométrique.
Vu sur la brochure Sélection PME express de février 2005 :
"Les portables IBM Thinkpad T42 intègrent en effet un lecteur d'empreinte
digitale. Oubliez vos mots de passe : vous accédez à vos e-mails, à vos
comptes en ligne et à vos fichiers confidentiels gràce à une simple
empreinte digitale."
Ah oui !... la "PME" s'appelle IBM. On n'est pas arrivés...
On 16 Feb 2005 21:00:39 GMT, Jean-Marie Delapierre :
Ah oui !... la "PME" s'appelle IBM. On n'est pas arrivés...
S'il y a des cons pour acheter, il se trouvera toujours quelqu'un pour vendre.
En prime, pour justifier le prix des portables IBM, il faut mettre tous les gadgets à la mode, indépendamment de leur utilité.
-- ;-)
Christophe Casalegno
Jean-Marie Delapierre wrote:
Bonsoir,
Je pense que nombre d'entre vous ont lu l'article de Philippe Wolf sur l'authentification biométrique dans le n° 46 de la revue du CNRS (http://www.sg.cnrs.fr/FSD/securite-systemes/revues-pdf/num46.pdf).
Je n'ai pas lu l'article mais rien que le titre 'authentification' biométrique fait peur. La biométrie permet certes une identification intéressante, mais en aucun cas amha, une authentification.
Je pense que nombre d'entre vous ont lu l'article de Philippe Wolf
sur l'authentification biométrique dans le n° 46 de la revue du CNRS
(http://www.sg.cnrs.fr/FSD/securite-systemes/revues-pdf/num46.pdf).
Je n'ai pas lu l'article mais rien que le titre 'authentification'
biométrique fait peur. La biométrie permet certes une identification
intéressante, mais en aucun cas amha, une authentification.
Je pense que nombre d'entre vous ont lu l'article de Philippe Wolf sur l'authentification biométrique dans le n° 46 de la revue du CNRS (http://www.sg.cnrs.fr/FSD/securite-systemes/revues-pdf/num46.pdf).
Je n'ai pas lu l'article mais rien que le titre 'authentification' biométrique fait peur. La biométrie permet certes une identification intéressante, mais en aucun cas amha, une authentification.
Le Thu, 17 Feb 2005 00:49:20 +0000, Christophe Casalegno a écrit :
Je n'ai pas lu l'article mais rien que le titre 'authentification' biométrique fait peur. La biométrie permet certes une identification intéressante, mais en aucun cas amha, une authentification.
Justement, elle ne permet _que_ l'identification, mais argue que la crédence d'identification ne peut être ni volée à son propriétaire, ni usurpée, et que par voie de conséquence, elle réaliserait les conditions nécessaires pour une authentification. Toute personne ayant réfléchi 5 minutes à la question ne peut arriver qu'à la conclusion que ça ne tient pas la route. Et en plus, c'est prouvé empiriquement...
Ce qui est délire avec la biométrie, c'est que finalement, à part les vendeurs de solutions biométriques, les seuls qui en parlent comme de la solution miracle, ce sont les scénaristes et autres auteurs de romans, qui passent cependant leur temps à les faire contourner par leurs personnage. À chaque fois qu'on va voir un système biométrique (empreinte digitale, empreinte rétinienne, reconnaissance vocale, etc.), dans un film ou un roman, il est là précisément pour se faire contourner... Aller, rigolons un peu :
En particulier cet extrait dont la logique m'échappe :
Dans le cas de la biométrie, on ne pourra pas modifier le "mot de passe" -le trait biométrique-, mais par contre, il est évident qu'il faudra faire pareil que le mot de passe qui est enregistré (sur la carte à puce ou ailleurs): il faudra l'ENCRYPTER. Une fois que la signature biométrique est correctement encryptée, alors on pourra l'utiliser comme un mot de passe classique, et ainsi la révoquer.
Genre, si mon mot de passe est compromis, changer sa méthode de chiffrement permettrait de résoudre le problème ? Gni ?
Bref... "My name is Wender Brandes, my voice is my passport"...
-- CC> Ah, et c'est aussi la faute de fral ??? Pauvre fille, cencuree par des nains, torturee par des singes, bientot abonnee a AOL. -+-ED In :Guide du Neuneu d'Usenet-Grandeur et décadence du neuneu -+-
Le Thu, 17 Feb 2005 00:49:20 +0000, Christophe Casalegno a écrit :
Je n'ai pas lu l'article mais rien que le titre 'authentification'
biométrique fait peur. La biométrie permet certes une identification
intéressante, mais en aucun cas amha, une authentification.
Justement, elle ne permet _que_ l'identification, mais argue que la
crédence d'identification ne peut être ni volée à son propriétaire,
ni usurpée, et que par voie de conséquence, elle réaliserait les
conditions nécessaires pour une authentification. Toute personne ayant
réfléchi 5 minutes à la question ne peut arriver qu'à la conclusion
que ça ne tient pas la route. Et en plus, c'est prouvé empiriquement...
Ce qui est délire avec la biométrie, c'est que finalement, à part les
vendeurs de solutions biométriques, les seuls qui en parlent comme de la
solution miracle, ce sont les scénaristes et autres auteurs de romans,
qui passent cependant leur temps à les faire contourner par leurs
personnage. À chaque fois qu'on va voir un système biométrique
(empreinte digitale, empreinte rétinienne, reconnaissance vocale, etc.),
dans un film ou un roman, il est là précisément pour se faire
contourner... Aller, rigolons un peu :
En particulier cet extrait dont la logique m'échappe :
Dans le cas de la biométrie, on ne pourra pas modifier le "mot de passe"
-le trait biométrique-, mais par contre, il est évident qu'il faudra
faire pareil que le mot de passe qui est enregistré (sur la carte à
puce ou ailleurs): il faudra l'ENCRYPTER. Une fois que la signature
biométrique est correctement encryptée, alors on pourra l'utiliser
comme un mot de passe classique, et ainsi la révoquer.
Genre, si mon mot de passe est compromis, changer sa méthode de
chiffrement permettrait de résoudre le problème ? Gni ?
Bref... "My name is Wender Brandes, my voice is my passport"...
--
CC> Ah, et c'est aussi la faute de fral ???
Pauvre fille, cencuree par des nains, torturee par des singes, bientot
abonnee a AOL.
-+-ED In :Guide du Neuneu d'Usenet-Grandeur et décadence du neuneu -+-
Le Thu, 17 Feb 2005 00:49:20 +0000, Christophe Casalegno a écrit :
Je n'ai pas lu l'article mais rien que le titre 'authentification' biométrique fait peur. La biométrie permet certes une identification intéressante, mais en aucun cas amha, une authentification.
Justement, elle ne permet _que_ l'identification, mais argue que la crédence d'identification ne peut être ni volée à son propriétaire, ni usurpée, et que par voie de conséquence, elle réaliserait les conditions nécessaires pour une authentification. Toute personne ayant réfléchi 5 minutes à la question ne peut arriver qu'à la conclusion que ça ne tient pas la route. Et en plus, c'est prouvé empiriquement...
Ce qui est délire avec la biométrie, c'est que finalement, à part les vendeurs de solutions biométriques, les seuls qui en parlent comme de la solution miracle, ce sont les scénaristes et autres auteurs de romans, qui passent cependant leur temps à les faire contourner par leurs personnage. À chaque fois qu'on va voir un système biométrique (empreinte digitale, empreinte rétinienne, reconnaissance vocale, etc.), dans un film ou un roman, il est là précisément pour se faire contourner... Aller, rigolons un peu :
En particulier cet extrait dont la logique m'échappe :
Dans le cas de la biométrie, on ne pourra pas modifier le "mot de passe" -le trait biométrique-, mais par contre, il est évident qu'il faudra faire pareil que le mot de passe qui est enregistré (sur la carte à puce ou ailleurs): il faudra l'ENCRYPTER. Une fois que la signature biométrique est correctement encryptée, alors on pourra l'utiliser comme un mot de passe classique, et ainsi la révoquer.
Genre, si mon mot de passe est compromis, changer sa méthode de chiffrement permettrait de résoudre le problème ? Gni ?
Bref... "My name is Wender Brandes, my voice is my passport"...
-- CC> Ah, et c'est aussi la faute de fral ??? Pauvre fille, cencuree par des nains, torturee par des singes, bientot abonnee a AOL. -+-ED In :Guide du Neuneu d'Usenet-Grandeur et décadence du neuneu -+-
Eric Razny
Cedric Blancher wrote:
Bref... "My name is Wender Brandes, my voice is my passport"...
... and i'm a fucking smocker with a fuckin' throat cancer so my passport changes everyday :)
Tout ça pour dire qu'il me semble (je n'arrive plus à mettre la main sur le papier) que les données biométriques classique (hors adn) peuvent changer suffisament au fil du temps pour de toute façon poser un problème d'identification à terme. Mais bon, il faut bien vendre sur l'effet 9/11 :-(
Eric.
-- L'invulnérable : Je ne pense pas etre piratable, infectable par un trojen oui! Vu sur fcs un jour de mars 2004.
Cedric Blancher wrote:
Bref... "My name is Wender Brandes, my voice is my passport"...
... and i'm a fucking smocker with a fuckin' throat cancer so my
passport changes everyday :)
Tout ça pour dire qu'il me semble (je n'arrive plus à mettre la main sur
le papier) que les données biométriques classique (hors adn) peuvent
changer suffisament au fil du temps pour de toute façon poser un
problème d'identification à terme. Mais bon, il faut bien vendre sur
l'effet 9/11 :-(
Eric.
--
L'invulnérable :
Je ne pense pas etre piratable, infectable par un trojen oui!
Vu sur fcs un jour de mars 2004.
Bref... "My name is Wender Brandes, my voice is my passport"...
... and i'm a fucking smocker with a fuckin' throat cancer so my passport changes everyday :)
Tout ça pour dire qu'il me semble (je n'arrive plus à mettre la main sur le papier) que les données biométriques classique (hors adn) peuvent changer suffisament au fil du temps pour de toute façon poser un problème d'identification à terme. Mais bon, il faut bien vendre sur l'effet 9/11 :-(
Eric.
-- L'invulnérable : Je ne pense pas etre piratable, infectable par un trojen oui! Vu sur fcs un jour de mars 2004.
Cedric Blancher
Le Thu, 17 Feb 2005 10:34:38 +0000, Eric Razny a écrit :
Tout ça pour dire qu'il me semble (je n'arrive plus à mettre la main sur le papier) que les données biométriques classique (hors adn) peuvent changer suffisament au fil du temps pour de toute façon poser un problème d'identification à terme.
L'ADN constituant une donnée tellement facile à se procurer qu'il me semble difficile de s'appuyer dessus pour réaliser ne serait-ce qu'une identification...
-- J'ai courru tout le diocese... j'ai pas trouve d'eau benite, alors j'ai pris d'l'essence ordinaire. Vous savez combien ca coute ca ? Bientot 3 balles... Remarquez, on aurait fait venir l'exorciseur... on aurait achete des cierges. Ca aurait pas coute 3 balles non plus. -+- JP Belmondo, Flic ou Voyou
Le Thu, 17 Feb 2005 10:34:38 +0000, Eric Razny a écrit :
Tout ça pour dire qu'il me semble (je n'arrive plus à mettre la main sur
le papier) que les données biométriques classique (hors adn) peuvent
changer suffisament au fil du temps pour de toute façon poser un
problème d'identification à terme.
L'ADN constituant une donnée tellement facile à se procurer qu'il me
semble difficile de s'appuyer dessus pour réaliser ne serait-ce qu'une
identification...
--
J'ai courru tout le diocese... j'ai pas trouve d'eau benite, alors j'ai pris
d'l'essence ordinaire. Vous savez combien ca coute ca ? Bientot 3 balles...
Remarquez, on aurait fait venir l'exorciseur... on aurait achete des cierges.
Ca aurait pas coute 3 balles non plus. -+- JP Belmondo, Flic ou Voyou
Le Thu, 17 Feb 2005 10:34:38 +0000, Eric Razny a écrit :
Tout ça pour dire qu'il me semble (je n'arrive plus à mettre la main sur le papier) que les données biométriques classique (hors adn) peuvent changer suffisament au fil du temps pour de toute façon poser un problème d'identification à terme.
L'ADN constituant une donnée tellement facile à se procurer qu'il me semble difficile de s'appuyer dessus pour réaliser ne serait-ce qu'une identification...
-- J'ai courru tout le diocese... j'ai pas trouve d'eau benite, alors j'ai pris d'l'essence ordinaire. Vous savez combien ca coute ca ? Bientot 3 balles... Remarquez, on aurait fait venir l'exorciseur... on aurait achete des cierges. Ca aurait pas coute 3 balles non plus. -+- JP Belmondo, Flic ou Voyou
Mathieu Arnold
Cedric Blancher écrivait:
Bref... "My name is Wender Brandes, my voice is my passport"...
il manque "hi" au début, et "verify me" a la fin :-)
-- Mathieu Arnold
Cedric Blancher écrivait:
Bref... "My name is Wender Brandes, my voice is my passport"...
il manque "hi" au début, et "verify me" a la fin :-)
Genre, si mon mot de passe est compromis, changer sa méthode de chiffrement permettrait de résoudre le problème ? Gni ? ---
Si c'est un cryptage irréversible, ça peut marcher non ?
-- NSZ
Cedric Blancher
Le Thu, 17 Feb 2005 14:56:21 +0000, NonSenZ a écrit :
Cedric Blancher disait...
Genre, si mon mot de passe est compromis, changer sa méthode de chiffrement permettrait de résoudre le problème ? Gni ? Si c'est un cryptage irréversible, ça peut marcher non ?
Supposons que mot de passe soit "toto". Pour m'authentifier, il faut que je rentre "toto". Maintenant, je peux mettre en oeuvre n'importe quelle méthode de gestion du mot de passe, de chiffrement, de stockage, etc., du moment que je rentre "toto", ça marche, parce que c'est le bon mot de passe.
Revenons à notre empreinte digitale. Cette empreinte est lue par le capteur ce qui nous donne un bloc de données caractéristique qui va ensuite être stocké, éventuellement hashé. Quelle que soit la méthode de lecture (génération du bloc de données), quelle que soit la méthode de stockage (directe, hashage, etc.), si je présente la bonne empreinte, j'ai gagné, parce que la bonne empreinte donnera toujours le bon résultat, sinon, l'utilisateur valide ne peut plus se loguer avec cette empreinte (ce qui est le résultat d'une révocation).
Quand on révoque un mot de passe, c'est pas le framework de traitement du mot de passe qu'on révoque, c'est le mot de passe lui-même. Si on fait le parallèle avec la biométrie, l'équivalent du mot de passe est bien l'empreinte ; c'est donc elle qu'on doit révoquer, pas son système de traitement. Or, comme c'est une caractéristique biométrique, par essence, elle n'est pas révocable. CQFD.
J'ai peut-être mal saisi le raisonnement de l'auteur de la page, qui après quelques recherches s'avère être un spécialiste de la biométrie, travaillant pour un fabricant de chips biométriques, mais il me semble assez bancal.
-- BOFH excuse #125:
we just switched to Sprint.
Le Thu, 17 Feb 2005 14:56:21 +0000, NonSenZ a écrit :
Cedric Blancher disait...
Genre, si mon mot de passe est compromis, changer sa méthode de
chiffrement permettrait de résoudre le problème ? Gni ?
Si c'est un cryptage irréversible, ça peut marcher non ?
Supposons que mot de passe soit "toto". Pour m'authentifier, il faut que
je rentre "toto". Maintenant, je peux mettre en oeuvre n'importe quelle
méthode de gestion du mot de passe, de chiffrement, de stockage, etc., du
moment que je rentre "toto", ça marche, parce que c'est le bon mot de
passe.
Revenons à notre empreinte digitale. Cette empreinte est lue par le
capteur ce qui nous donne un bloc de données caractéristique qui va
ensuite être stocké, éventuellement hashé. Quelle que soit la méthode
de lecture (génération du bloc de données), quelle que soit la méthode
de stockage (directe, hashage, etc.), si je présente la bonne empreinte,
j'ai gagné, parce que la bonne empreinte donnera toujours le bon
résultat, sinon, l'utilisateur valide ne peut plus se loguer avec cette
empreinte (ce qui est le résultat d'une révocation).
Quand on révoque un mot de passe, c'est pas le framework de traitement du
mot de passe qu'on révoque, c'est le mot de passe lui-même. Si on fait
le parallèle avec la biométrie, l'équivalent du mot de passe est bien
l'empreinte ; c'est donc elle qu'on doit révoquer, pas son système de
traitement. Or, comme c'est une caractéristique biométrique, par
essence, elle n'est pas révocable. CQFD.
J'ai peut-être mal saisi le raisonnement de l'auteur de la page, qui
après quelques recherches s'avère être un spécialiste de la biométrie,
travaillant pour un fabricant de chips biométriques, mais il me semble
assez bancal.
Le Thu, 17 Feb 2005 14:56:21 +0000, NonSenZ a écrit :
Cedric Blancher disait...
Genre, si mon mot de passe est compromis, changer sa méthode de chiffrement permettrait de résoudre le problème ? Gni ? Si c'est un cryptage irréversible, ça peut marcher non ?
Supposons que mot de passe soit "toto". Pour m'authentifier, il faut que je rentre "toto". Maintenant, je peux mettre en oeuvre n'importe quelle méthode de gestion du mot de passe, de chiffrement, de stockage, etc., du moment que je rentre "toto", ça marche, parce que c'est le bon mot de passe.
Revenons à notre empreinte digitale. Cette empreinte est lue par le capteur ce qui nous donne un bloc de données caractéristique qui va ensuite être stocké, éventuellement hashé. Quelle que soit la méthode de lecture (génération du bloc de données), quelle que soit la méthode de stockage (directe, hashage, etc.), si je présente la bonne empreinte, j'ai gagné, parce que la bonne empreinte donnera toujours le bon résultat, sinon, l'utilisateur valide ne peut plus se loguer avec cette empreinte (ce qui est le résultat d'une révocation).
Quand on révoque un mot de passe, c'est pas le framework de traitement du mot de passe qu'on révoque, c'est le mot de passe lui-même. Si on fait le parallèle avec la biométrie, l'équivalent du mot de passe est bien l'empreinte ; c'est donc elle qu'on doit révoquer, pas son système de traitement. Or, comme c'est une caractéristique biométrique, par essence, elle n'est pas révocable. CQFD.
J'ai peut-être mal saisi le raisonnement de l'auteur de la page, qui après quelques recherches s'avère être un spécialiste de la biométrie, travaillant pour un fabricant de chips biométriques, mais il me semble assez bancal.
