Et pourtant tu agis dans le sens de ces trackers et de leurs pratiques immorales, en considérant qu’ils sont bons pour toi. Ça ne changera pas tant qu’il y aura des gens pour applaudir leur mise sous tutelle par des silos qui se moquent de l’éthique
tu es donc pour l’adaptation de tarifs à ton profil, et que des services fassent grimper leurs prix en te voyant arriver, parce qu’un profil automatique aura décrété que tu es susceptible de payer plus ?
Sauf que là, dans le cas d’un produit web, les choix impactent tout le monde. Et en l’occurrence, mettent les données de tout le monde en danger. Ce qu’une boîte fait, avant tout, c’est proposer quelque chose : un produit, un usage… la boîte est censée connaître le métier, et apporter les bonnes pratiques. Faire le choix de nier toute sécurité (car c’est réellement le cas ici) au bénéfice de la méconnaissance des clients relève uniquement de la paresse intellectuelle, et de la méconnaissance de la sécurité informatique.
L’authentification par biométrie est une très mauvaise idée, pour deux principales raisons :
imaginons une authentification par empreintes digitales (et non numériques, cette fois). Soit, littéralement, le truc que tu laisses traîner PARTOUT, parce qu’il s’avère que les empreintes sont au bout des doigts, et que les doigts servent à toucher à peu près tout. Il est trivial, pour peu que l’on soit physiquement proche de toi, de voler tes empreintes. La reconnaissance d’iris n’est pas mieux, car une simple photographie permet de contourner les systèmes. Pour faire un parallèle douteux, c’est à peu près aussi sûr que d’avoir ton mot de passe écrit sur un post-it attaché sur ton écran.
tout moyen d’authentification se doit d’être révoquable. Il est indispensable de pouvoir à tout moment changer de mot de passe. Comme il est possible de changer la serrure de ta porte d’entrée si tu crains que ta clé ait été copiée. C’est naturellement impossible avec la biométrie, et c’est très grave. Ça signifie également qu’un élément biométrique sera le même pour t’authentifier sur tous les systèmes qui le reconnaissent.
Le fait que le sel (la chaîne aléatoire en question) soit connue ne représente pas de risque. Par contre, en crypto, ne réinventez pas la roue, et suivez aveuglément les conseils des experts (Aeris, en l’occurrence, est une source sûre)
SHA1 non plus ne doit pas être utilisé. Pour être précis, la bonne pratique aujourd’hui est d’utiliser une fonction de dérivation, et non plus une simple empreinte.
Pour être un poil plus constructif : trouve une dalle de béton fraiche, saute dedans pieds nus, et laisse sécher. On pourra aisément vérifier que ce sont bien tes empreintes, mais à partir des seules empreintes il ne sera pas possible de te reconstituer, toi.
Ce qui peut faire la différence, c’est que le système de base est libre, et le pouvoir décisionnel est complètement communautaire. Vu que les développeurs du système sont ses premiers utilisateurs, ils se préoccupent de ce qui est bon pour eux (donc la sécurité).
Tu peux acheter le Jolla Phone, qui est à 200€ (parfois marqué comme « out of stock »), qui est 4G, et d’une solidité exemplaire, ou bien le Fairphone 2 (bien plus cher, mais commerce équitable et réparable), ou attendre l’un des 2 ou 3 modèles en préparation.
un monopole détenu par 2 ennemis de la vie privée…
Sailfish OS est essentiellement libre (seule la surcouche graphique sur Nemo et les apps Jolla restent propriétaires), propose une ergonomie bien plus travaillée que ses concurrents, propose le choix à l’utilisateur (à commencer par un accès root par défaut s’il le souhaite).
Oui, c’est même du GNU/Linux pour être précis, non basé sur Android. Pour simplifier, c’est la continuité du système Meego, développé initialement par Intel et Nokia. Et la pauvreté applicative du système est compensée par le fait qu’il est capable de faire tourner la vaste majorité des apps Android nativement.
13 commentaires
Le 08/11/2017 à 10h35
Et pourtant tu agis dans le sens de ces trackers et de leurs pratiques immorales, en considérant qu’ils sont bons pour toi. Ça ne changera pas tant qu’il y aura des gens pour applaudir leur mise sous tutelle par des silos qui se moquent de l’éthique
Le 08/11/2017 à 10h19
tu es donc pour l’adaptation de tarifs à ton profil, et que des services fassent grimper leurs prix en te voyant arriver, parce qu’un profil automatique aura décrété que tu es susceptible de payer plus ?
Le 10/02/2017 à 12h51
Sauf que là, dans le cas d’un produit web, les choix impactent tout le monde. Et en l’occurrence, mettent les données de tout le monde en danger. Ce qu’une boîte fait, avant tout, c’est proposer quelque chose : un produit, un usage… la boîte est censée connaître le métier, et apporter les bonnes pratiques. Faire le choix de nier toute sécurité (car c’est réellement le cas ici) au bénéfice de la méconnaissance des clients relève uniquement de la paresse intellectuelle, et de la méconnaissance de la sécurité informatique.
Le 10/02/2017 à 09h41
On peut en penser que ton lien n’inspire pas confiance, vu qu’il est réduit et présenté sans contexte :)
Le 10/02/2017 à 09h15
L’authentification par biométrie est une très mauvaise idée, pour deux principales raisons :
Le 09/02/2017 à 15h55
Le fait que le sel (la chaîne aléatoire en question) soit connue ne représente pas de risque. Par contre, en crypto, ne réinventez pas la roue, et suivez aveuglément les conseils des experts (Aeris, en l’occurrence, est une source sûre)
Le 09/02/2017 à 15h41
SHA1 non plus ne doit pas être utilisé. Pour être précis, la bonne pratique aujourd’hui est d’utiliser une fonction de dérivation, et non plus une simple empreinte.
Le 09/02/2017 à 15h31
Et bien je sais pas, étudie les maths ?
Pour être un poil plus constructif : trouve une dalle de béton fraiche, saute dedans pieds nus, et laisse sécher. On pourra aisément vérifier que ce sont bien tes empreintes, mais à partir des seules empreintes il ne sera pas possible de te reconstituer, toi.
Le 04/05/2016 à 08h35
Le 04/05/2016 à 08h30
Ce qui peut faire la différence, c’est que le système de base est libre, et le pouvoir décisionnel est complètement communautaire. Vu que les développeurs du système sont ses premiers utilisateurs, ils se préoccupent de ce qui est bon pour eux (donc la sécurité).
Le 04/05/2016 à 08h24
Tu peux acheter le Jolla Phone, qui est à 200€ (parfois marqué comme « out of stock »), qui est 4G, et d’une solidité exemplaire, ou bien le Fairphone 2 (bien plus cher, mais commerce équitable et réparable), ou attendre l’un des 2 ou 3 modèles en préparation.
Le 04/05/2016 à 08h16
un monopole détenu par 2 ennemis de la vie privée…
Sailfish OS est essentiellement libre (seule la surcouche graphique sur Nemo et les apps Jolla restent propriétaires), propose une ergonomie bien plus travaillée que ses concurrents, propose le choix à l’utilisateur (à commencer par un accès root par défaut s’il le souhaite).
Le 04/05/2016 à 07h58
Oui, c’est même du GNU/Linux pour être précis, non basé sur Android. Pour simplifier, c’est la continuité du système Meego, développé initialement par Intel et Nokia. Et la pauvreté applicative du système est compensée par le fait qu’il est capable de faire tourner la vaste majorité des apps Android nativement.