Connexion
Abonnez-vous

Sur Windows et macOS, Chrome va protéger les mots de passe avec la biométrie

Sur Windows et macOS, Chrome va protéger les mots de passe avec la biométrie

Le 09 février 2023 à 07h48

Dans un billet de blog publié mardi, Google explique qu’une nouveauté est en cours de déploiement sur les installations Chrome sur Windows et macOS.

Le gestionnaire intégré de mots de passe devient ainsi compatible avec les systèmes biométriques de protection intégrés dans ces deux systèmes, à savoir Hello sur Windows et Touch ID sur les Mac. Il faut donc être équipé d’une machine compatible.

Une fois active, cette protection réclamera une authentification pour rapatrier le mot de passe sur un site. Même chose si on veut accéder à la base des identifiants.

En matière de sécurité, on trouve plusieurs autres annonces. Par exemple, l’application Google pour iOS sera bientôt compatible avec Face ID. En outre, un changement interviendra prochainement dans SafeSearch : une nouvelle option, active par défaut, viendra flouter les images explicites, même quand SafeSearch est désactivé.

Le 09 février 2023 à 07h48

Commentaires (18)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Sans blague … Et comment s’assure-t-on que les marqueurs biométriques restent en local sur le terminal et ne viennent pas alimenter notre “profil Google” ?

votre avatar

Parce que Chrome n’aura jamais accès aux données biométriques, mais juste à une api de vérification ?

votre avatar

Hello et Touch ID sont des services des 2 OS : intégrés dans ces deux systèmes,. Ce sont eux qui gèrent les éléments biométriques et ils répondent juste à Chrome : authentification réussie ou pas après avoir géré la capture le l’élément biométrique.



C’est quand même fou cette parano !

votre avatar

Sauf que Touch ID est synchronisé sur iCloud, donc non c’est pas juste en local. On n’est pas à l’abri d’une fuite de données presque impossible à changer.



Il en est sans doute de même sur Windows avec Hello pour ceux qui utilisent un compte en ligne au lieu d’un compte local.

votre avatar

Non :




Fingerprint data is stored on the secure enclave inside the Apple A7, A8, A8X, A9, A9X, A10, A10X, A11, A12, A13, A14 and A15 processors of an iOS device, or the T1, T2 and M1 in the case of Macs, and not on Apple servers, nor on iCloud.


Le gras est de moi.



En tout cas pour les appareils les plus récents.



Pour Windows, je ne trouve pas d’info claire.

votre avatar

“Efficient Texture Comparison”. Digital. US Patent & Trademark Office. May 18, 2012. Retrieved November 21, 2013.


J’ai parlé un peu vite, c’est pas encore le cas, cette page le dit un peu comme ton lien (mais ici c’est plus à jour) : support.apple.com Apple




It’s never stored on Apple servers, it’s never backed up to iCloud or anywhere else, and it can’t be used to match against other fingerprint databases.


Mais Apple en 2015 dépose un brevet de synchronisation des données Touch ID https://appleinsider.com/articles/15/01/15/apple-patent-points-to-icloud-based-touch-id-syncing-fingerprint-protected-apple-pay-terminals.



Mais, ceux qui veulent croire que ça restera local on le droit, moi je n’y crois pas.

votre avatar

Sauf qu’un dépôt de brevet ça ne veut absolument rien dire. Les départements de R&D c’est leur taf de sortir des brevets à la pelle. Ça ne veut même pas dire que l’entreprise a ne serait-ce que considérée l’idée. Juste qu’un ingé dont le job c’est de faire de la R&D, a pondu un brevet.



L’entreprise vient ensuite piocher dans ces brevets mais la plupart sont inutiles.



De plus même si Apple changeait étrangement d’avis, ça reste physiquement impossible.

votre avatar

Une preuve que l’ingénieur dépose un brevet (qui coûte de l’argent) sans le consentement de l’entreprise ? Pour moi l’entreprise valide ces choses-là. Je ne parle pas du dirigeant forcément, mais quelqu’un valide et possiblement valide le sujet de recherche, donc quelqu’un pense à le faire.



Ensuite, comme je l’ai dit, c’est pas le cas aujourd’hui, très bien. Demain je ne suis pas convaincu que ça sera encore vrai. Donc il faudra suivre attentivement les mises à jour liées. Si tu ne partages pas cet avis tant pis, mais c’est tout aussi recevable que le tien sans preuve irréfutable, va falloir l’accepter :yes:




De plus même si Apple changeait étrangement d’avis, ça reste physiquement impossible.


:mdr: sur la base de quelle preuve c’est impossible ? Ils déposent un brevet qui permettrait de le faire mais tu avances que c’est impossible.

votre avatar

Je pense qu’il a raison.



Revenons sur les dates :



Premier iPhone sortit avec le TouchID et le processeur A7 cité plus haut : l’iPhone 5S en septembre 2013. La technologie a été achetée l’année d’avant par Apple.
L’article que tu cites est de janvier 2015, le brevet a probablement été déposé en 2014, donc peu de temps après le rachat de la techno et la sortie du premier iPhone l’utilisant. Dans les boîtes comme Apple, on dépose facilement des brevets (le coût est négligeable pour eux) si on pense que ça peut servir ou gêner les concurrents. Dans l’article qui parle du brevet, il est dit que le passage par iCloud est un chemin possible mais il insiste beaucoup sur le fait que c’est pas ce qui est le plus sécurisé et qu’il y a des risques de passer par iCloud. L’enregistrement de l’empreinte digitale est chiffré avant d’être envoyé à l’autre appareil et le cloud ne sert que de moyen d’échange.



Depuis, Apple a renforcé tout ce qui est attention à la vie privée depuis au moins 2016 (lutte contre le FBI pour déverrouiller un iPhone utilisé lors d’un attentat).
C’est pour cela que la partie du brevet qui passe par iCloud a peu de chance d’être utilisée.

votre avatar

Certes, et je ne dis pas que c’est le plus probable. Je dis qu’on n’est à l’abri de rien. Il ne faut pas oublier qu’Apple a voulu publier une mise à jour qui aurait permis de consulter tous les messages des iPhones pour trouver du contenu pédoporno.

votre avatar

Ce n’est pas vrai non plus.



Même si c’était une idée complètement merdique, l’analyse des photos à la recherche de photos délictuelles se faisait en local sur le téléphone.



Autrement dit, Apple n’aurait jamais eu accès au contenu de ton téléphone mais c’est le téléphone qui aurait signalé à Apple le contenu illicite.



Ça restait une idée très problématique et il faudra être vigilant dès son retour mais il n’a jamais été question de filer à Apple l’accès à tes données.



D’ailleurs la dernière mise à jour d’iOS et macOS permet enfin le chiffrement de bout en bout de tout ce que tu sauvegardes sur le cloud d’Apple.



Bien sûr c’est une entreprise comme une autre, ils pourraient décider de revenir en arrière. Mais vu tout l’investissement marketing autour du respect de la vie privée, ça leur coûterait très très cher en image de marque. Et pour gagner quoi ? Faire du profilage à la Google en moins bien et moins rentable ?



Personne ne prétend qu’ils font ça part grandeur d’âme, mais faut bien se rendre compte qu’en se positionnant comme le seul constructeur qui en a quelque chose à faire de la vie privée, ça leur donne un argument de poids pour vendre leur matos toujours plus cher et l’abonnement cloud qui va avec. Revenir en arrière sans justification ultra convaincante (ce qui n’existe pas à ma connaissance) leur coûterai très cher et serait inutilement compliqué à gérer pour eux alors qu’Apple vit déjà sa meilleure vie (rappel qu’Apple est une des seules big techs à n’avoir viré personne récemment).

votre avatar

Bah si di coup c’est vrai :mdr: tu ne peux pas trouver de contenu sans pouvoir faire l’analyse. Donc l’outil a bien accès aux données (messages et photos).



Et personne n’a de garanti sur le fait que cette limite soit bien respectée. Comme le chiffrement de bout en bout, quelle preuve a-t-on de ce qui est avancé ?



La confiance ça va deux minutes mais depuis un an, on a eu plusieurs surprises d’Apple qui a dit avoir fait des changements, mais qui se sont avérés faux pour une partie, (sachant que tout n’est pas vérifiable). Par exemple quand ils ont annoncés ne pas faire d’analytics, on a découvert que c’était faux sur Apple Store et Apple Music notament, ils suivaient tout ce qui était possible. Et quand ils ont mis une option pour désactiver le suivi, des cherceurs ont trouvés (testés) que ça ne fonctionnait pas du tout.



Mais encore une fois, ceux qui s’en foutent et ont la confiance aveugle c’est leur problème, pas le mien. :yes:

votre avatar

Pour Windows, c’est écrit sur leur page visiblement, c’est strictement local, du moins pour l’instant. learn.microsoft.com Microsoft




The biometric data used to support Windows Hello is stored on the local device only. It doesn’t roam and is never sent to external devices or servers.


votre avatar

Cher utilisateur,



Suite à une brèche dans nos systèmes, nous vous conseillons de changer vos empreintes biométriques au plus vite. Voici une liste de bon chirurgiens plasticiens…

votre avatar

(quote:2119218:127.0.0.1)
Cher utilisateur,



Suite à une brèche dans nos systèmes, nous vous conseillons de changer vos empreintes biométriques au plus vite. Voici une liste de bon chirurgiens plasticiens…


Pour Touch ID, ça va encore, un coup de scalpel et c’est réglé. Pour Face ID par contre, c’est un peu plus douloureux et intrusif. Mais c’est le progrès, que veux-tu y faire ?

votre avatar

(quote:2119218:127.0.0.1)
Cher utilisateur,



Suite à une brèche dans nos systèmes, nous vous conseillons de changer vos empreintes biométriques au plus vite. Voici une liste de bon chirurgiens plasticiens… , nous vous informons que rien n’a fuité car l’identification biométrique se fait en local via les APIs de votre OS. Comme vous n’utilisiez pas de mot de passe, aucun hash de celui ci n’a fuité. En revanche, le jeton d’authentification qui était délivré par votre appareil a fuité. Nous l’avons donc révoqué et vous n’avez rien à faire d’autre que de vous réauthentifier pour créer un nouveau jeton qui sera protégé sur votre appareil, par votre empreinte.



Cher utilisateur, vous avez bien fait de ne pas utiliser de mot de passe.


votre avatar

(quote:2119237:alex.d.)
Pour Touch ID, ça va encore, un coup de scalpel et c’est réglé. Pour Face ID par contre, c’est un peu plus douloureux et intrusif. Mais c’est le progrès, que veux-tu y faire ?


Bah y’a le botox, c’est très à la mode… :D

votre avatar

jpaul a dit:


Cher utilisateur,
Suite à une brèche dans nos systèmes, nous vous informons que rien n’a fuité car l’identification biométrique se fait en local via les APIs de votre OS. Comme vous n’utilisiez pas de mot de passe, aucun hash de celui ci n’a fuité. En revanche, le jeton d’authentification qui était délivré par votre appareil a fuité. Nous l’avons donc révoqué et vous n’avez rien à faire d’autre que de vous réauthentifier pour créer un nouveau jeton qui sera protégé sur votre appareil, par votre empreinte.
Cher utilisateur, vous avez bien fait de ne pas utiliser de mot de passe.


Si avec ça les gens ne comprennent pas à quel point la sécurité c’est simple… :mdr:

Sur Windows et macOS, Chrome va protéger les mots de passe avec la biométrie

Fermer