Dans un billet de blog publié mardi, Google explique qu’une nouveauté est en cours de déploiement sur les installations Chrome sur Windows et macOS.
Le gestionnaire intégré de mots de passe devient ainsi compatible avec les systèmes biométriques de protection intégrés dans ces deux systèmes, à savoir Hello sur Windows et Touch ID sur les Mac. Il faut donc être équipé d’une machine compatible.
Une fois active, cette protection réclamera une authentification pour rapatrier le mot de passe sur un site. Même chose si on veut accéder à la base des identifiants.
En matière de sécurité, on trouve plusieurs autres annonces. Par exemple, l’application Google pour iOS sera bientôt compatible avec Face ID. En outre, un changement interviendra prochainement dans SafeSearch : une nouvelle option, active par défaut, viendra flouter les images explicites, même quand SafeSearch est désactivé.
Commentaires (18)
#1
Sans blague … Et comment s’assure-t-on que les marqueurs biométriques restent en local sur le terminal et ne viennent pas alimenter notre “profil Google” ?
#1.1
Parce que Chrome n’aura jamais accès aux données biométriques, mais juste à une api de vérification ?
#1.2
Hello et Touch ID sont des services des 2 OS : intégrés dans ces deux systèmes,. Ce sont eux qui gèrent les éléments biométriques et ils répondent juste à Chrome : authentification réussie ou pas après avoir géré la capture le l’élément biométrique.
C’est quand même fou cette parano !
#1.3
Sauf que Touch ID est synchronisé sur iCloud, donc non c’est pas juste en local. On n’est pas à l’abri d’une fuite de données presque impossible à changer.
Il en est sans doute de même sur Windows avec Hello pour ceux qui utilisent un compte en ligne au lieu d’un compte local.
#1.4
Non :
Le gras est de moi.
En tout cas pour les appareils les plus récents.
Pour Windows, je ne trouve pas d’info claire.
#1.5
J’ai parlé un peu vite, c’est pas encore le cas, cette page le dit un peu comme ton lien (mais ici c’est plus à jour) : https://support.apple.com/en-us/HT204587
Mais Apple en 2015 dépose un brevet de synchronisation des données Touch ID https://appleinsider.com/articles/15/01/15/apple-patent-points-to-icloud-based-touch-id-syncing-fingerprint-protected-apple-pay-terminals.
Mais, ceux qui veulent croire que ça restera local on le droit, moi je n’y crois pas.
#1.7
Sauf qu’un dépôt de brevet ça ne veut absolument rien dire. Les départements de R&D c’est leur taf de sortir des brevets à la pelle. Ça ne veut même pas dire que l’entreprise a ne serait-ce que considérée l’idée. Juste qu’un ingé dont le job c’est de faire de la R&D, a pondu un brevet.
L’entreprise vient ensuite piocher dans ces brevets mais la plupart sont inutiles.
De plus même si Apple changeait étrangement d’avis, ça reste physiquement impossible.
#1.8
Une preuve que l’ingénieur dépose un brevet (qui coûte de l’argent) sans le consentement de l’entreprise ? Pour moi l’entreprise valide ces choses-là. Je ne parle pas du dirigeant forcément, mais quelqu’un valide et possiblement valide le sujet de recherche, donc quelqu’un pense à le faire.
Ensuite, comme je l’ai dit, c’est pas le cas aujourd’hui, très bien. Demain je ne suis pas convaincu que ça sera encore vrai. Donc il faudra suivre attentivement les mises à jour liées. Si tu ne partages pas cet avis tant pis, mais c’est tout aussi recevable que le tien sans preuve irréfutable, va falloir l’accepter
#1.9
Je pense qu’il a raison.
Revenons sur les dates :
Premier iPhone sortit avec le TouchID et le processeur A7 cité plus haut : l’iPhone 5S en septembre 2013. La technologie a été achetée l’année d’avant par Apple.
L’article que tu cites est de janvier 2015, le brevet a probablement été déposé en 2014, donc peu de temps après le rachat de la techno et la sortie du premier iPhone l’utilisant. Dans les boîtes comme Apple, on dépose facilement des brevets (le coût est négligeable pour eux) si on pense que ça peut servir ou gêner les concurrents. Dans l’article qui parle du brevet, il est dit que le passage par iCloud est un chemin possible mais il insiste beaucoup sur le fait que c’est pas ce qui est le plus sécurisé et qu’il y a des risques de passer par iCloud. L’enregistrement de l’empreinte digitale est chiffré avant d’être envoyé à l’autre appareil et le cloud ne sert que de moyen d’échange.
Depuis, Apple a renforcé tout ce qui est attention à la vie privée depuis au moins 2016 (lutte contre le FBI pour déverrouiller un iPhone utilisé lors d’un attentat).
C’est pour cela que la partie du brevet qui passe par iCloud a peu de chance d’être utilisée.
#1.10
Certes, et je ne dis pas que c’est le plus probable. Je dis qu’on n’est à l’abri de rien. Il ne faut pas oublier qu’Apple a voulu publier une mise à jour qui aurait permis de consulter tous les messages des iPhones pour trouver du contenu pédoporno.
#1.11
Ce n’est pas vrai non plus.
Même si c’était une idée complètement merdique, l’analyse des photos à la recherche de photos délictuelles se faisait en local sur le téléphone.
Autrement dit, Apple n’aurait jamais eu accès au contenu de ton téléphone mais c’est le téléphone qui aurait signalé à Apple le contenu illicite.
Ça restait une idée très problématique et il faudra être vigilant dès son retour mais il n’a jamais été question de filer à Apple l’accès à tes données.
D’ailleurs la dernière mise à jour d’iOS et macOS permet enfin le chiffrement de bout en bout de tout ce que tu sauvegardes sur le cloud d’Apple.
Bien sûr c’est une entreprise comme une autre, ils pourraient décider de revenir en arrière. Mais vu tout l’investissement marketing autour du respect de la vie privée, ça leur coûterait très très cher en image de marque. Et pour gagner quoi ? Faire du profilage à la Google en moins bien et moins rentable ?
Personne ne prétend qu’ils font ça part grandeur d’âme, mais faut bien se rendre compte qu’en se positionnant comme le seul constructeur qui en a quelque chose à faire de la vie privée, ça leur donne un argument de poids pour vendre leur matos toujours plus cher et l’abonnement cloud qui va avec. Revenir en arrière sans justification ultra convaincante (ce qui n’existe pas à ma connaissance) leur coûterai très cher et serait inutilement compliqué à gérer pour eux alors qu’Apple vit déjà sa meilleure vie (rappel qu’Apple est une des seules big techs à n’avoir viré personne récemment).
#1.12
Bah si di coup c’est vrai
tu ne peux pas trouver de contenu sans pouvoir faire l’analyse. Donc l’outil a bien accès aux données (messages et photos).
Et personne n’a de garanti sur le fait que cette limite soit bien respectée. Comme le chiffrement de bout en bout, quelle preuve a-t-on de ce qui est avancé ?
La confiance ça va deux minutes mais depuis un an, on a eu plusieurs surprises d’Apple qui a dit avoir fait des changements, mais qui se sont avérés faux pour une partie, (sachant que tout n’est pas vérifiable). Par exemple quand ils ont annoncés ne pas faire d’analytics, on a découvert que c’était faux sur Apple Store et Apple Music notament, ils suivaient tout ce qui était possible. Et quand ils ont mis une option pour désactiver le suivi, des cherceurs ont trouvés (testés) que ça ne fonctionnait pas du tout.
Mais encore une fois, ceux qui s’en foutent et ont la confiance aveugle c’est leur problème, pas le mien.
#1.6
Pour Windows, c’est écrit sur leur page visiblement, c’est strictement local, du moins pour l’instant. https://learn.microsoft.com/en-us/windows/security/identity-protection/hello-for-business/hello-biometrics-in-enterprise
#2
Cher utilisateur,
Suite à une brèche dans nos systèmes, nous vous conseillons de changer vos empreintes biométriques au plus vite. Voici une liste de bon chirurgiens plasticiens…
#3
Pour Touch ID, ça va encore, un coup de scalpel et c’est réglé. Pour Face ID par contre, c’est un peu plus douloureux et intrusif. Mais c’est le progrès, que veux-tu y faire ?
#4
#5
Bah y’a le botox, c’est très à la mode…
#6
Si avec ça les gens ne comprennent pas à quel point la sécurité c’est simple…