Proton Pass ajoute le support de la biométrie, mais uniquement pour les abonnés

Par Vincent Hermann

Le 09 août à 08h28
Sécurité
2 min

Proton n’en finit plus d’annoncer des nouveautés depuis quelques mois. Depuis juin, on a ainsi vu le gestionnaire de mots de passe intégré obtenir ses applications pour Mac et Linux, un équivalent de Google Docs avec une IA générative. Hier, on notait l’arrivée de nouveaux serveurs pour le VPN, du support de Stealth pour Windows et des icônes discrètes pour la version Android.

Et voilà que Proton annonce encore une nouveauté : la prise en charge de la biométrie pour Pass. Sous Windows, l’application gère ainsi Pass, tandis que sous macOS, c’est TouchID. Ce support est réservé aux personnes ayant au moins l’abonnement Pass Plus à partir de 1,99 euros par mois, ou la formule Unlimited.

Proton Pass ajoute en outre une fonction qui lui faisait défaut, la gestion des identités. On peut donc créer une identité et lui rattacher diverses informations : nom, courriel, numéros de téléphone, date de naissance, genre, adresses, numéro de Sécurité sociale, sites web, profils de médias sociaux et autres. L’objectif des identités est bien sûr de pouvoir remplir rapidement les formulaires.

« Identities vous permet d'organiser et de sécuriser plus facilement vos informations personnelles sur toutes les plateformes. Cette fonctionnalité est disponible pour l'ensemble de la communauté Proton Pass et est progressivement mise en place à partir d'aujourd'hui. Elle sera disponible sur toutes les principales plateformes », a précisé Proton dans son annonce hier soir.

Commentaires (27)


Buck Abonné
Le 09/08/2024 à 09h34
Ça en fait de choses qui sont gratuites chez les concurrents et payantes chez Proton…
NiCr Abonné
Le 09/08/2024 à 09h47
Il faut aimer vivre dangereusement (et/ou vivre dans une grotte) pour être prêt à utiliser une version gratuite d'un service de gestionnaire de mots de passe.
Ramaloke Abonné
Le 09/08/2024 à 15h04

NiCr

Il faut aimer vivre dangereusement (et/ou vivre dans une grotte) pour être prêt à utiliser une version gratuite d'un service de gestionnaire de mots de passe.
Ca compte KeePass dans le "gratuit" pas fiable :windu:
NiCr Abonné
Le 09/08/2024 à 15h27

Ramaloke

Ca compte KeePass dans le "gratuit" pas fiable :windu:
Il me semble que Proton Pass tombe avant tout dans la catégorie service.

Certes le code est open-source, mais le véritable usage attendu du l'outil c'est via un compte Proton, se basant sur l'infrastructure Proton ; contrairement à KeePass où c'est à l'utilisateur de gérer le stockage, la disponibilité et la sécurité des données.
sylvaing Abonné
Le 09/08/2024 à 09h50
C'est une façon de voir les choses. Dans un autre sens, on peut aussi se demander comment sont financées les nouvelles fonctionnalités "gratuites" chez la concurrence...
fred42 Abonné
Le 09/08/2024 à 11h17

sylvaing

C'est une façon de voir les choses. Dans un autre sens, on peut aussi se demander comment sont financées les nouvelles fonctionnalités "gratuites" chez la concurrence...
Chez certains concurrents et chez Proton, ce qui est gratuit est financé par les abonnements payants, donc la fonction liée à la biométrie a été financée par les abonnements payants.

Autant, je comprends que l'on fasse payer par un abonnement des choses qui coûtent tous les mois, comme le stockage, la bande passante, les serveurs, autant une fonction qui est locale à l'ordinateur, j'ai plus du mal à comprendre.
Et ce d'autant plus qu'une empreinte digitale, n'est pas un moyen fiable d'authentification contrairement à ce qu'ils disent. Donc, faire payer une fonction qui affaiblit la sécurité pour la facilité d'utilisation, c'est très moyen pour une société qui vit en vendant de sécurité.
jeje07bis
Le 09/08/2024 à 11h20

fred42

Chez certains concurrents et chez Proton, ce qui est gratuit est financé par les abonnements payants, donc la fonction liée à la biométrie a été financée par les abonnements payants.

Autant, je comprends que l'on fasse payer par un abonnement des choses qui coûtent tous les mois, comme le stockage, la bande passante, les serveurs, autant une fonction qui est locale à l'ordinateur, j'ai plus du mal à comprendre.
Et ce d'autant plus qu'une empreinte digitale, n'est pas un moyen fiable d'authentification contrairement à ce qu'ils disent. Donc, faire payer une fonction qui affaiblit la sécurité pour la facilité d'utilisation, c'est très moyen pour une société qui vit en vendant de sécurité.
une empreinte digitale, pas fiable ?
fred42 Abonné
Le 09/08/2024 à 11h39

jeje07bis

une empreinte digitale, pas fiable ?
Oui, pour de l'authentification. Tu en mets partout (ce n'est donc pas un secret) et ça se copie. Certains l'ont même copiée à partir de photos.

Pour t'identifier, aucun problème (savoir qui tu es), son utilisation par la police est là pour le prouver quand elle est utilisée correctement.
jeje07bis
Le 09/08/2024 à 13h39

fred42

Oui, pour de l'authentification. Tu en mets partout (ce n'est donc pas un secret) et ça se copie. Certains l'ont même copiée à partir de photos.

Pour t'identifier, aucun problème (savoir qui tu es), son utilisation par la police est là pour le prouver quand elle est utilisée correctement.
copier une empreinte digitale à partir d'une photo ?
pour des tests avec une photo en méga résolution ouais. je veux bien le croire.
Mais dans la vraie vie il va falloir se lever de bonne heure pour faire une photo de mes empreintes digitales..
Soriatane Abonné
Le 11/08/2024 à 09h05

jeje07bis

copier une empreinte digitale à partir d'une photo ?
pour des tests avec une photo en méga résolution ouais. je veux bien le croire.
Mais dans la vraie vie il va falloir se lever de bonne heure pour faire une photo de mes empreintes digitales..
Preuve du concept en 2014 avec une photo publique d'une ministre allemande (qui a eu depuis un destin européen):
https://www.nouvelobs.com/rue89/rue89-nos-vies-connectees/20141228.RUE7217/pour-pirater-une-empreinte-digitale-cette-photo-suffit.html

Dans la vraie vie, tu as sûrement des photos de toi sur les réseaux sociaux et certaines où l'on voit bien tes mains. Reste le modèle de menace: une personne qui est assez motivée pour reproduire ton empreinte et déverrouiller ton appareil numérique.
Menace peu courante chez le grand public, mais dès que tu as des responsabilités sur des sujets sensibles …
Et j'ignore si il n'existe pas un moyen de simplier le processus : tu donnes une photos et il te sort la fausse empreinte 15min après.
fofo9012 Abonné
Le 11/08/2024 à 11h33

jeje07bis

copier une empreinte digitale à partir d'une photo ?
pour des tests avec une photo en méga résolution ouais. je veux bien le croire.
Mais dans la vraie vie il va falloir se lever de bonne heure pour faire une photo de mes empreintes digitales..
Ce n'est pas si compliqué, certains ont reproduit les empreintes d'Angela Merkel avec une simple photo de presse, une imprimante laser, et de la colle à bois. :)

Par contre les empreintes d'Angela ne suffiront pas à déverrouiller sa base Proton, il faudra avoir accès à sa base Proton, et à son tel qu'elle a enrôlé avec sa base proton. ;)
Dallarion Abonné
Le 09/08/2024 à 14h12

fred42

Chez certains concurrents et chez Proton, ce qui est gratuit est financé par les abonnements payants, donc la fonction liée à la biométrie a été financée par les abonnements payants.

Autant, je comprends que l'on fasse payer par un abonnement des choses qui coûtent tous les mois, comme le stockage, la bande passante, les serveurs, autant une fonction qui est locale à l'ordinateur, j'ai plus du mal à comprendre.
Et ce d'autant plus qu'une empreinte digitale, n'est pas un moyen fiable d'authentification contrairement à ce qu'ils disent. Donc, faire payer une fonction qui affaiblit la sécurité pour la facilité d'utilisation, c'est très moyen pour une société qui vit en vendant de sécurité.
Il y a aussi le temps humain régulier pour le maintien et l'évolution du code.
fred42 Abonné
Le 09/08/2024 à 14h29

Dallarion

Il y a aussi le temps humain régulier pour le maintien et l'évolution du code.
Qu'il y ait des utilisateurs gratuits en plus des utilisateurs payants ne change rien au coût de la maintenance.
fofo9012 Abonné
Le 11/08/2024 à 11h25

fred42

Chez certains concurrents et chez Proton, ce qui est gratuit est financé par les abonnements payants, donc la fonction liée à la biométrie a été financée par les abonnements payants.

Autant, je comprends que l'on fasse payer par un abonnement des choses qui coûtent tous les mois, comme le stockage, la bande passante, les serveurs, autant une fonction qui est locale à l'ordinateur, j'ai plus du mal à comprendre.
Et ce d'autant plus qu'une empreinte digitale, n'est pas un moyen fiable d'authentification contrairement à ce qu'ils disent. Donc, faire payer une fonction qui affaiblit la sécurité pour la facilité d'utilisation, c'est très moyen pour une société qui vit en vendant de sécurité.
Ton empreinte n'est jamais utilisée directement, elle sert à déverrouiller une passphrase ou un certificat généré, par le tel / PC.

Tu ne pourras jamais utiliser ton empreinte pour déverrouiller tes données depuis un périphérique inconnu (alors uqe c'est possible avec un mot de passe):
Le service ne connait pas ton empreinte, mais seulement un certificat d'un tel ou PC, et c'est ce certificat qui est déverrouillé localement en biométrie.
fred42 Abonné
Le 11/08/2024 à 11h36

fofo9012

Ton empreinte n'est jamais utilisée directement, elle sert à déverrouiller une passphrase ou un certificat généré, par le tel / PC.

Tu ne pourras jamais utiliser ton empreinte pour déverrouiller tes données depuis un périphérique inconnu (alors uqe c'est possible avec un mot de passe):
Le service ne connait pas ton empreinte, mais seulement un certificat d'un tel ou PC, et c'est ce certificat qui est déverrouillé localement en biométrie.
Merci pour ces précisions, mais elles ne changent rien à ce que j'ai dit. Lire mes autres commentaires et celui de @Soriatane pour plus de précisions.

On est d'accord sur le fait qu'un mot de passe seul n'est pas le meilleur moyen d’authentification.
fofo9012 Abonné
Le 11/08/2024 à 14h08

fred42

Merci pour ces précisions, mais elles ne changent rien à ce que j'ai dit. Lire mes autres commentaires et celui de @Soriatane pour plus de précisions.

On est d'accord sur le fait qu'un mot de passe seul n'est pas le meilleur moyen d’authentification.
Bah je te cites "tu en mets partout (ce n'est donc pas un secret)"

=> c'est faux, ton empreinte ne sorts jamais de ton téléphone...
fred42 Abonné
Le 11/08/2024 à 14h42

fofo9012

Bah je te cites "tu en mets partout (ce n'est donc pas un secret)"

=> c'est faux, ton empreinte ne sorts jamais de ton téléphone...
Dès que tu prends quelque chose avec tes doigts, tu y mets tes empreintes digitales. Il n'y a plus qu'à les relever pour avoir ton secret.

Édit : le premier endroit où il y a tes empreintes digitales, c'est sur ton téléphone, pas dedans.
Modifié le 11/08/2024 à 14h43

Historique des modifications :

Posté le 11/08/2024 à 14h42


Dès que tu prends quelque chose avec tes doigts, tu y mets tes empreintes digitales. Il n'y a plus qu'à les relever pour avoir ton secret.

fofo9012 Abonné
Le 11/08/2024 à 15h23

fred42

Dès que tu prends quelque chose avec tes doigts, tu y mets tes empreintes digitales. Il n'y a plus qu'à les relever pour avoir ton secret.

Édit : le premier endroit où il y a tes empreintes digitales, c'est sur ton téléphone, pas dedans.
"Et ce d'autant plus qu'une empreinte digitale, n'est pas un moyen fiable d'authentification contrairement à ce qu'ils disent. Donc, faire payer une fonction qui affaiblit la sécurité pour la facilité d'utilisation, c'est très moyen pour une société qui vit en vendant de sécurité."

Ça aussi c'est faux : une auth par empreinte n’affaiblit pas la sécurité, la sécurité est celle d'un certificat, largement supérieur au mot de passe.

"Dès que tu prends quelque chose avec tes doigts, tu y mets tes empreintes digitales. Il n'y a plus qu'à les relever pour avoir ton secret."

Encore raté le secret n'est pas les empreintes, mais le certificat dans l'enclave de ton téléphone.
fred42 Abonné
Le 11/08/2024 à 17h31

fofo9012

"Et ce d'autant plus qu'une empreinte digitale, n'est pas un moyen fiable d'authentification contrairement à ce qu'ils disent. Donc, faire payer une fonction qui affaiblit la sécurité pour la facilité d'utilisation, c'est très moyen pour une société qui vit en vendant de sécurité."

Ça aussi c'est faux : une auth par empreinte n’affaiblit pas la sécurité, la sécurité est celle d'un certificat, largement supérieur au mot de passe.

"Dès que tu prends quelque chose avec tes doigts, tu y mets tes empreintes digitales. Il n'y a plus qu'à les relever pour avoir ton secret."

Encore raté le secret n'est pas les empreintes, mais le certificat dans l'enclave de ton téléphone.
Mais les empreintes donnent l'accès au certificat. C'est là que se situe l'affaiblissement de la sécurité.
fofo9012 Abonné
Le 13/08/2024 à 13h08

fred42

Mais les empreintes donnent l'accès au certificat. C'est là que se situe l'affaiblissement de la sécurité.
Non, les empreintes seules ne donnent accès à rien du tout. Il faut le téléphone déverrouillé ET bypasser l'empreinte pour que le TPM/enclave donne accès au certificat.
fred42 Abonné
Le 13/08/2024 à 13h16

fofo9012

Non, les empreintes seules ne donnent accès à rien du tout. Il faut le téléphone déverrouillé ET bypasser l'empreinte pour que le TPM/enclave donne accès au certificat.
Téléphone que tu déverrouilles avec la même empreinte :langue: !
fofo9012 Abonné
Le 13/08/2024 à 14h02

fred42

Téléphone que tu déverrouilles avec la même empreinte :langue: !
Non, pas au redémarrage à froid :D
Soriatane Abonné
Le 11/08/2024 à 20h51

fofo9012

"Et ce d'autant plus qu'une empreinte digitale, n'est pas un moyen fiable d'authentification contrairement à ce qu'ils disent. Donc, faire payer une fonction qui affaiblit la sécurité pour la facilité d'utilisation, c'est très moyen pour une société qui vit en vendant de sécurité."

Ça aussi c'est faux : une auth par empreinte n’affaiblit pas la sécurité, la sécurité est celle d'un certificat, largement supérieur au mot de passe.

"Dès que tu prends quelque chose avec tes doigts, tu y mets tes empreintes digitales. Il n'y a plus qu'à les relever pour avoir ton secret."

Encore raté le secret n'est pas les empreintes, mais le certificat dans l'enclave de ton téléphone.
La sécurité dépend du maillon le plus faible. Ici ton empreinte qui peut être récupéré par différents moyens.
fofo9012 Abonné
Le 13/08/2024 à 13h06

Soriatane

La sécurité dépend du maillon le plus faible. Ici ton empreinte qui peut être récupéré par différents moyens.
C'est faux ici, cf #1.21
SebGF Abonné
Le 12/08/2024 à 08h27

fofo9012

"Et ce d'autant plus qu'une empreinte digitale, n'est pas un moyen fiable d'authentification contrairement à ce qu'ils disent. Donc, faire payer une fonction qui affaiblit la sécurité pour la facilité d'utilisation, c'est très moyen pour une société qui vit en vendant de sécurité."

Ça aussi c'est faux : une auth par empreinte n’affaiblit pas la sécurité, la sécurité est celle d'un certificat, largement supérieur au mot de passe.

"Dès que tu prends quelque chose avec tes doigts, tu y mets tes empreintes digitales. Il n'y a plus qu'à les relever pour avoir ton secret."

Encore raté le secret n'est pas les empreintes, mais le certificat dans l'enclave de ton téléphone.
Ce n'est pas la mécanique de certification derrière qui est contestée, mais le fait que sa clé de déverrouillage (l'empreinte digitale) est aisément reproductible.

(et, accessoirement, très difficile à changer)

Tu peux mettre tous les certificats du monde, si la passphrase c'est 1234, la sécu est foirée.
Modifié le 12/08/2024 à 08h28

Historique des modifications :

Posté le 12/08/2024 à 08h27


Ce n'est pas la mécanique de certification derrière qui est contestée, mais le fait que sa clé de déverrouillage (l'empreinte digitale) est aisément reproductible.

Posté le 12/08/2024 à 08h27


Ce n'est pas la mécanique de certification derrière qui est contestée, mais le fait que sa clé de déverrouillage (l'empreinte digitale) est aisément reproductible.

(et, accessoirement, très difficile à changer)

Posté le 12/08/2024 à 08h28


Ce n'est pas la mécanique de certification derrière qui est contestée, mais le fait que sa clé de déverrouillage (l'empreinte digitale) est aisément reproductible.

(et, accessoirement, très difficile à changer)

Tu peux mettre tous les certificats que tu veux, si la passphrase c'est 1234, la sécu est foirée.

fofo9012 Abonné
Le 13/08/2024 à 13h05

SebGF

Ce n'est pas la mécanique de certification derrière qui est contestée, mais le fait que sa clé de déverrouillage (l'empreinte digitale) est aisément reproductible.

(et, accessoirement, très difficile à changer)

Tu peux mettre tous les certificats du monde, si la passphrase c'est 1234, la sécu est foirée.
C'est un facteur supplémentaire : il faut accès à la base proton, l'accès au certificat et l'empreinte (ou son code pin).

Un certificat sans mdp / code pin est déjà pas mal sécurisé: il faut un accès à sa clé privée, qui ne sort jamais du device. Une empreinte ajoute une sécurité supplémentaire, en ayant le device le certificat n'est accessible qu'en poutrant le code pin, ou en bypassant le scan de l'empreinte (ce qui, en fonction des lecteurs, n'est pas forcément possible même en ayant accès à l'empreinte).

À nouveau, dire que le secret est l'empreinte qu'on laisse partout est factuellement faux, le secret est la clée privée du certificat qui n'est accessible sur le téléphone qu'en ayant scanné son doigt.

Edit : ta banque sécurise ton compte avec un code pin de 4 à 8 chiffres, pourtant c'est sécurisé, la raison est que des mesures de verrouillage + contrôle d'IP sont mises en place. "1234" en mdp c'est nul, "1234" en passphrase d'un certificat c'est relativement sécurisé.
Modifié le 13/08/2024 à 13h13

Historique des modifications :

Posté le 13/08/2024 à 13h05


C'est un facteur supplémentaire : il faut accès à la base proton, l'accès au certificat et l'empreinte (ou son code pin).

Un certificat sans mdp / code pin est déjà pas mal sécurisé: il faut un accès à sa clé privée, qui ne sort jamais du device. Une empreinte ajoute une sécurité supplémentaire, en ayant le device le certificat n'est accessible qu'en poutrant le code pin, ou en bypassant le scan de l'empreinte (ce qui, en fonction des lecteurs, n'est pas forcément possible même en ayant accès à l'empreinte).

À nouveau, dire que le secret est l'empreinte qu'on laisse partout est factuellement faux, le secret est la clée privée du certificat qui n'est accessible sur le téléphone qu'en ayant scanné son doigt.

yorglaa Abonné
Le 09/08/2024 à 13h26
Du moment que les "payants" paient pour les fonctionnalités offertes aux "gratuits", ça ne me choque pas du tout que ces mêmes "payants" bénéficient de fonctionnalités/confort supplémentaire.

C'est le prix à payer pour que ces features ne soient pas payées par les datas des utilisateurs ... et ceux que ça défrisent peuvent bien aller offrir leurs data à Google !
Fermer