Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Proton Pass ajoute le support de la biométrie, mais uniquement pour les abonnés

Le 09 août à 08h28

Proton n’en finit plus d’annoncer des nouveautés depuis quelques mois. Depuis juin, on a ainsi vu le gestionnaire de mots de passe intégré obtenir ses applications pour Mac et Linux, un équivalent de Google Docs avec une IA générative. Hier, on notait l’arrivée de nouveaux serveurs pour le VPN, du support de Stealth pour Windows et des icônes discrètes pour la version Android.

Et voilà que Proton annonce encore une nouveauté : la prise en charge de la biométrie pour Pass. Sous Windows, l’application gère ainsi Pass, tandis que sous macOS, c’est TouchID. Ce support est réservé aux personnes ayant au moins l’abonnement Pass Plus à partir de 1,99 euros par mois, ou la formule Unlimited.

Proton Pass ajoute en outre une fonction qui lui faisait défaut, la gestion des identités. On peut donc créer une identité et lui rattacher diverses informations : nom, courriel, numéros de téléphone, date de naissance, genre, adresses, numéro de Sécurité sociale, sites web, profils de médias sociaux et autres. L’objectif des identités est bien sûr de pouvoir remplir rapidement les formulaires.

« Identities vous permet d'organiser et de sécuriser plus facilement vos informations personnelles sur toutes les plateformes. Cette fonctionnalité est disponible pour l'ensemble de la communauté Proton Pass et est progressivement mise en place à partir d'aujourd'hui. Elle sera disponible sur toutes les principales plateformes », a précisé Proton dans son annonce hier soir.

Le 09 août à 08h28

Commentaires (27)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar
Ça en fait de choses qui sont gratuites chez les concurrents et payantes chez Proton…
votre avatar
Il faut aimer vivre dangereusement (et/ou vivre dans une grotte) pour être prêt à utiliser une version gratuite d'un service de gestionnaire de mots de passe.
votre avatar
Ca compte KeePass dans le "gratuit" pas fiable :windu:
votre avatar
Il me semble que Proton Pass tombe avant tout dans la catégorie service.

Certes le code est open-source, mais le véritable usage attendu du l'outil c'est via un compte Proton, se basant sur l'infrastructure Proton ; contrairement à KeePass où c'est à l'utilisateur de gérer le stockage, la disponibilité et la sécurité des données.
votre avatar
C'est une façon de voir les choses. Dans un autre sens, on peut aussi se demander comment sont financées les nouvelles fonctionnalités "gratuites" chez la concurrence...
votre avatar
Chez certains concurrents et chez Proton, ce qui est gratuit est financé par les abonnements payants, donc la fonction liée à la biométrie a été financée par les abonnements payants.

Autant, je comprends que l'on fasse payer par un abonnement des choses qui coûtent tous les mois, comme le stockage, la bande passante, les serveurs, autant une fonction qui est locale à l'ordinateur, j'ai plus du mal à comprendre.
Et ce d'autant plus qu'une empreinte digitale, n'est pas un moyen fiable d'authentification contrairement à ce qu'ils disent. Donc, faire payer une fonction qui affaiblit la sécurité pour la facilité d'utilisation, c'est très moyen pour une société qui vit en vendant de sécurité.
votre avatar
une empreinte digitale, pas fiable ?
votre avatar
Oui, pour de l'authentification. Tu en mets partout (ce n'est donc pas un secret) et ça se copie. Certains l'ont même copiée à partir de photos.

Pour t'identifier, aucun problème (savoir qui tu es), son utilisation par la police est là pour le prouver quand elle est utilisée correctement.
votre avatar
copier une empreinte digitale à partir d'une photo ?
pour des tests avec une photo en méga résolution ouais. je veux bien le croire.
Mais dans la vraie vie il va falloir se lever de bonne heure pour faire une photo de mes empreintes digitales..
votre avatar
Preuve du concept en 2014 avec une photo publique d'une ministre allemande (qui a eu depuis un destin européen):
https://www.nouvelobs.com/rue89/rue89-nos-vies-connectees/20141228.RUE7217/pour-pirater-une-empreinte-digitale-cette-photo-suffit.html

Dans la vraie vie, tu as sûrement des photos de toi sur les réseaux sociaux et certaines où l'on voit bien tes mains. Reste le modèle de menace: une personne qui est assez motivée pour reproduire ton empreinte et déverrouiller ton appareil numérique.
Menace peu courante chez le grand public, mais dès que tu as des responsabilités sur des sujets sensibles …
Et j'ignore si il n'existe pas un moyen de simplier le processus : tu donnes une photos et il te sort la fausse empreinte 15min après.
votre avatar
Ce n'est pas si compliqué, certains ont reproduit les empreintes d'Angela Merkel avec une simple photo de presse, une imprimante laser, et de la colle à bois. :)

Par contre les empreintes d'Angela ne suffiront pas à déverrouiller sa base Proton, il faudra avoir accès à sa base Proton, et à son tel qu'elle a enrôlé avec sa base proton. ;)
votre avatar
Il y a aussi le temps humain régulier pour le maintien et l'évolution du code.
votre avatar
Qu'il y ait des utilisateurs gratuits en plus des utilisateurs payants ne change rien au coût de la maintenance.
votre avatar
Ton empreinte n'est jamais utilisée directement, elle sert à déverrouiller une passphrase ou un certificat généré, par le tel / PC.

Tu ne pourras jamais utiliser ton empreinte pour déverrouiller tes données depuis un périphérique inconnu (alors uqe c'est possible avec un mot de passe):
Le service ne connait pas ton empreinte, mais seulement un certificat d'un tel ou PC, et c'est ce certificat qui est déverrouillé localement en biométrie.
votre avatar
Merci pour ces précisions, mais elles ne changent rien à ce que j'ai dit. Lire mes autres commentaires et celui de @Soriatane pour plus de précisions.

On est d'accord sur le fait qu'un mot de passe seul n'est pas le meilleur moyen d’authentification.
votre avatar
Bah je te cites "tu en mets partout (ce n'est donc pas un secret)"

=> c'est faux, ton empreinte ne sorts jamais de ton téléphone...
votre avatar
Dès que tu prends quelque chose avec tes doigts, tu y mets tes empreintes digitales. Il n'y a plus qu'à les relever pour avoir ton secret.

Édit : le premier endroit où il y a tes empreintes digitales, c'est sur ton téléphone, pas dedans.
votre avatar
"Et ce d'autant plus qu'une empreinte digitale, n'est pas un moyen fiable d'authentification contrairement à ce qu'ils disent. Donc, faire payer une fonction qui affaiblit la sécurité pour la facilité d'utilisation, c'est très moyen pour une société qui vit en vendant de sécurité."

Ça aussi c'est faux : une auth par empreinte n’affaiblit pas la sécurité, la sécurité est celle d'un certificat, largement supérieur au mot de passe.

"Dès que tu prends quelque chose avec tes doigts, tu y mets tes empreintes digitales. Il n'y a plus qu'à les relever pour avoir ton secret."

Encore raté le secret n'est pas les empreintes, mais le certificat dans l'enclave de ton téléphone.
votre avatar
Mais les empreintes donnent l'accès au certificat. C'est là que se situe l'affaiblissement de la sécurité.
votre avatar
Non, les empreintes seules ne donnent accès à rien du tout. Il faut le téléphone déverrouillé ET bypasser l'empreinte pour que le TPM/enclave donne accès au certificat.
votre avatar
Téléphone que tu déverrouilles avec la même empreinte :langue: !
votre avatar
Non, pas au redémarrage à froid :D
votre avatar
La sécurité dépend du maillon le plus faible. Ici ton empreinte qui peut être récupéré par différents moyens.
votre avatar
C'est faux ici, cf #1.21
votre avatar
Ce n'est pas la mécanique de certification derrière qui est contestée, mais le fait que sa clé de déverrouillage (l'empreinte digitale) est aisément reproductible.

(et, accessoirement, très difficile à changer)

Tu peux mettre tous les certificats du monde, si la passphrase c'est 1234, la sécu est foirée.
votre avatar
C'est un facteur supplémentaire : il faut accès à la base proton, l'accès au certificat et l'empreinte (ou son code pin).

Un certificat sans mdp / code pin est déjà pas mal sécurisé: il faut un accès à sa clé privée, qui ne sort jamais du device. Une empreinte ajoute une sécurité supplémentaire, en ayant le device le certificat n'est accessible qu'en poutrant le code pin, ou en bypassant le scan de l'empreinte (ce qui, en fonction des lecteurs, n'est pas forcément possible même en ayant accès à l'empreinte).

À nouveau, dire que le secret est l'empreinte qu'on laisse partout est factuellement faux, le secret est la clée privée du certificat qui n'est accessible sur le téléphone qu'en ayant scanné son doigt.

Edit : ta banque sécurise ton compte avec un code pin de 4 à 8 chiffres, pourtant c'est sécurisé, la raison est que des mesures de verrouillage + contrôle d'IP sont mises en place. "1234" en mdp c'est nul, "1234" en passphrase d'un certificat c'est relativement sécurisé.
votre avatar
Du moment que les "payants" paient pour les fonctionnalités offertes aux "gratuits", ça ne me choque pas du tout que ces mêmes "payants" bénéficient de fonctionnalités/confort supplémentaire.

C'est le prix à payer pour que ces features ne soient pas payées par les datas des utilisateurs ... et ceux que ça défrisent peuvent bien aller offrir leurs data à Google !

Proton Pass ajoute le support de la biométrie, mais uniquement pour les abonnés

Fermer