Antichesse (o ^ω^ o)
À la rentrée, je travaillerai sur l'architecture d'un service de sécurité. Voici une liste des protocoles standards qui gèrent la chose.
Tout est dans le titre. Je dois implémenter un système d'authentification et d'autorisation. OAuth2 répond à une partie de mes besoins.
Cool, Apple ne vous authentifie plus et se contente de vous identifier avec vos données biométriques personnelles (parce que c'est tout à fait normal de confier ses données biométriques à une société commerciale, vous en conviendrez #Facepalm).
Dit autrement, si quelqu'un venait à vous voler votre empreinte, votre image ou quoi que ce soit qui ne soit pas révocable, vous devrez faire face à un très gros problème.
Bref, l'authentification c'est la preuve que la personne est bien celle qu'elle prétend être. L'identification, c'est la déclaration de cette prétention mais sans preuve puisque n'importe qui peut vous voler votre ADN, vous prendre en photo, etc.
Le point du litige est que l'on peut décider de changer de mot de passe quand on veut et sans effort mais ça n'est pas possible de changer de visage, d'ADN, d'empreintes, etc.
Tiens j'étais passée à côté de ça. Microsoft tente encore une fois de vendre de l'identification pour de l'authentification.
J'avais fait un post à ce sujet il y a quelques temps et je n'ai toujours pas changé d'avis sur la question.
Une fois notre image compromise, une fois que quelqu'un sera parvenu à nous filmer / photographier / enregistrer (emprunte vocale), voire de poster ces images/vidéos sur des réseaux sociaux (chose qui n'arrive jamais n'est-ce pas), alors comment changer de visage ou de voix ensuite ? Via de la chirurgie plastique ? Ça fait cher la resécurisation d'un compte compromis...
D'autant que cette chirurgie bloquera l'accès à tous les comptes sur les autres réseaux sociaux/pro/etc le temps qu'on leur réapprenne et que l'on prouve que cette nouvelle tête, c'est bien nous.... LOL
Le mot de passe est certes contraignant mais c'est le seul et unique système qui puisse être révoqué en cas de corruption. Tout le reste n'est que prétexte pour absorber nos données ou caractéristiques personnelles.
Merci à je ne sais plus qui pour le lien.
Le problème que j'ai avec l'application, c'est qu'elle associe un périphérique qui se perd, qui se casse et surtout qui se fait voler (coucou le métro parisien) à votre compte.
L'autre problème est que ces applications ne sont disponibles que sur les stores Google et Apple, or comment faire lorsque l'on utilise n'y l'un ni l'autre ?
Enfin, ces applications ne sont en général pas open-source, donc aucun moyen d'être certain qu'elles n'aspirent pas toutes les données persos...
Bref, les niveaux 3/2/1 sont au même degré de sécurité pour moi, seulement si l'on prend l'aspect global de la chose, c'est-à-dire vol du device + vol des données personnelles bien-sûr.
@Chlouchloutte apparemment les banques sont prises d'excès de débilité ! En même temps, elles ne progressent pas depuis plus d'un siècle (en tout cas la partie banque de détail), leur business-model consiste à refaire la même chose et offrir encore et toujours les mêmes services à leurs clients mais différemment, donc il n'est pas étonnant qu'en se copiant les unes les autres elles copient aussi leurs bêtises.
Oh comme c'est beau ! La sécurité permet de faire avancer tellement facilement les choses !!!
Pour vous résumer l'article, l'authentification à deux facteurs n'est pas jugée suffisamment sécurisée par l'Union Européenne (oui toujours cette même saleté) et donc les banques ont l'obligation de faire mieux :
- Installer une appli au code source fermé sur les mobiles de tous les citoyens.
- Et le mot magique ajouter de la biométrie (typiquement il faut filer ses empruntes digitales à sa banque pour avoir le droit de se payer un Big Mac avec son argent à soi).
Je l'ai dit et je vais le redire, l'oligarchie n'a pas de patrie, pas de sympathie pour les gens et cherche par tous les moyens à mettre en place un contrôle total lui garantissant sa place sous le soleil et au sommet de la pyramide sociale qu'elle a bâti elle-même pour elle-même.
La double authentification par sms n'est pas jugée suffisamment sûr, mais quels problèmes rencontre-t-elle pour justifier de tels propos ? "Pas suffisamment sûr" mais sur quels critères ? À quel moment est-on considéré comme "suffisamment sûr" ? Les citoyens ont-ils le droit de décider du degré de risque qu'ils souhaiteront prendre ou y seront-ils forcés comme des enfants ?
Un peuple prêt à sacrifier un peu de liberté pour un peu de sécurité ne mérite ni l'une ni l'autre, et finit par perdre les deux.
Benjamin Franklin
Depuis le temps que je cherchais une doc claire sur PAM je suis servie !
Edit : je l'ai baptisé Youtube Policy Remover
C'est en référence à cette vidéo qui n'est accessible si vous êtes connecté à votre compte Google (et vous le savez, je fais tout pour me débarrasser de Google #ViePrivée).
De fait, j'avais écrit le post en lien expliquant comment outrepasser facilement l'obligation technique d'être connecté à Google, qu'impose la firme de Mountain View, pour visualiser certaines vidéos (+18 et autres) qu'elle héberge.
Eh bien j'ai décidé d'automatiser cela via un bouton à ajouter à vos marque-pages Firefox qu'il vous suffit de glisser-déposer dans votre barre personnelle. Enjoy :D
Le bouton est ici : Remove Youtube Policy
P.S : la manip' donne en plus un accès directe à la vidéo Youtube permettant ainsi la lecture sur iBidules (chose qui foire assez régulièrement).
WebAuthn promet de remplacer le bon vieux mot de passe par le capteur d'empreinte de votre ...
ALERTE BULLSHIT !!!
WebAuthn tente de vendre de l'identification pour de l'authentification. Pour rappel, l'identification c'est qui vous êtes, vos empreintes, votre visage, votre rétine, votre ADN. Rien de ceci n'est révocable. Si on vous le vol, vous ne pouvez pas en changer puisque c'est votre identité, ça coule dans vos veines.
L'authentification, c'est la preuve que celui qui se pointe avec votre ADN ou vos empreintes (choses que vous laisser traîner un peu partout, comme vos cheveux parterre ou vos doigts sur une table), soit bien la personne qui a créé un compte à partir de cette identité à l'origine.
Par essence, l'authentification doit être révocable. Si celle-ci vous est volée, vous devez pouvoir en changer facilement. Essayez de changer d'ADN ou vos empreintes digitales pour voir... En 2500 ans, le seul truc qui répond à ces critères, c'est le mot de passe.
Quid du fait que WebAuthn vous obligera, à cause de son fonctionnement intrinsèque, à communiquer vos données biométriques à un tiers ?
Point Godwin : je vous laisse deviner quel état totalitaire aurait adoré disposer de ce genre d'information pour faire avancer sa "solution finale".
Quelques bonnes pratiques de sécurité
Faut voir
J'avais déjà fait ce post en rapport à ce sujet : http://cakeozolives.com/shaarli-antichesse/?xjIAJQ
Tout est dit dans le titre
Rien que le titre de cet article DOIT vous faire sourciller : "L'ère du mot de passe révolue pour l'alliance FIDO, qui propose un nouveau standard pour faciliter et normaliser les systèmes d'authentification"
Qu'est-ce qui cloche ? On est en train de vous vendre de l'identification pour de l'authentification ; en clair on détruit toute forme de fiabilité dans le système.
Pour bien comprendre je vais vous expliquer ci-après la différence fondamentale entre de l'identification et de l'authentification.
L'identification c'est qui vous êtes, par exemple :
- votre ADN ;
- vos empruntes digitales ;
- l'image de la structure du système veineux de votre main ;
- l'image de votre iris ;
- l'emprunte de votre voix ;
- etc.
Tout ceci constitue votre personne, c'est vous.
Vous avez remarqué le double problème ? Non ? C'est simple pourtant, toutes ces choses ne vous quitteront et ne changeront jamais TOUT AU LONG DE VOTRE VIE et en plus ON PEUT VOUS LES VOLER ! Bah oui, on peut copier une emprunte, la photo de votre iris, copier votre ADN à partir des mèches de cheveux que vous laissez traîner partout, etc. Une fois que quelqu'un les a copier, C'EST MORT ! Votre identité peut être falsifiée sans problème.
Mais alors qu'est-ce que l'authentification ? C'est l'action de pouvoir PROUVER que vous êtes bien la personne que vous prétendez être. En clair, une personne se pointant avec mon ADN peut se faire passer pour moi, elle peut me ressembler, etc. Mais si elle ne connaît pas mon mot de passe, ELLE NE PEUT PAS PROUVER QUE C'EST MOI donc elle ne peut pas SE FAIRE PASSER POUR MOI bien qu'elle possède mon ADN ! C'est la différence entre l'identification et l'authentification. L'identification c'est déclaratif, je déclare que je suis moi et on me croit sur parole parce que je ressemble à ce que je prétends être ; mais dans l'univers de la sécurité il faut des preuves et l'authentification c'est la preuve que c'est bien moi.
En 5000 ans, on n'a pas trouvé mieux que le mot de passe alors je vous pose la question, vous êtes toujours prêt à abandonner vos mots de passe pour leur système à la con maintenant ?