Une empreinte de doigt ne devrait pas être utilisée comme mot de passe

Un mot de passe, ça doit pouvoir se changer. Si votre accès est compromis, la première chose que vous devez faire, c’est changer le mot de passe.

Si votre mot de passe est votre empreinte biométrique et que quelqu’un a votre empreinte, vous faites comment, vous changez de doigt ou d’œil ?

Et ce n’est pas comme si c’était difficile de récupérer une trace que vous posez partout. Si l’accès par empreinte de doigt se démocratise, il suffira que vous ayez posé le doigt sur un lecteur d’empreinte géré par un tiers malhonnête (un lecteur d’empreinte sait se cacher dans un bouton de téléphone…) pour que votre empreinte soit dans la nature et puisse être utilisée pour accéder à tous vos appareils, données, moyens de paiement, portes, etc… Ce n’est pas difficile de tromper un lecteur d’empreinte avec une copie d’empreinte.

D’ailleurs, vous utilisez peut être déjà un lecteur d’empreinte (téléphone, ordinateur, etc..), êtes vous sûr que votre empreinte n’est jamais sortie de votre appareil? Seule l’implémentation logicielle du service derrière le lecteur d’empreinte vous le garantit.

Est ce que le service récupère toute votre empreinte, un hash, un hash salé? Est ce qu’il l’envoie sur un serveur à distance pour vous reconnaître sur un autre terminal? Et si un virus se mettait à récupérer les empreintes de doigts ?

Quand bien même, les empreintes servent depuis longtemps de moyen d’identification et de larges bases de données ont déjà été constituées (passeports, carte d’identité, etc…) et les détenteurs de ces bases stockeraient donc vos mots de passe? Intéressant…. Que dites-vous de savoir qu’aux USA, l’ Office of Personnel Management s’est fait dérobé les empreintes de doigts de plus 5 millions d’américains ?

Bilan, une empreinte de doigt devrait être considérée comme une photographie de votre visage. Elle vous identifie assez bien mais il faut connaître ses limites. Si l’authentification à votre compte bancaire se faisait par votre visage devant une caméra, il suffirait de découper une photo de vous pour tromper la caméra. C’est pareil avec les empreintes. Et vous ne pouvez changer de visage ni de doigt.

8 réactions sur “ Une empreinte de doigt ne devrait pas être utilisée comme mot de passe ”

  1. Elessar

    À vrai dire, on peut bien changer de doigt. Neuf fois. Après, c’est fichu, on n’en a pas d’autres, enfin, on a toujours ceux des pieds, mais c’est beaucoup moins pratique…

    Ceci dit, je suis globalement d’accord avec le sujet de cet article. :-)

  2. Têtatoto

    Meuh non, bien pire mon brave homme : un piratage ou bien une fuite interne du fnaed ou tout autre fichier pour les TES !
    Et hop ! Le tour est joué pour la france. :-)

  3. Ping [Sécurité] L’inconvénient du biométrique | PowerJPM

  4. Rukhazon

    En même temps, un tux (manchot) ça n’a pas de doigt ^^

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.