Sécurité grâce aux empreintes digitales sur smartphone

Les services Google Play doivent être mis à jour afin de profiter de cette nouvelle fonctionnalité.

Sans gestionnaire de mots de passe, gérer les identifiants avec les mdp qui vont avec devient rapidement un casse-tête au fur et à mesure que le nombre d’application augmente.

Les utilisateurs de smartphones éligibles à cette nouvelle méthode d’authentification pourront bientôt oublier les mots de passe pour ne se servir que de leurs empreintes.

La connexion sera possible aussi bien sur les apps que sur les sites.

Le petit bémol ?
Il faut que les développeurs rendent cette méthode possible sur leurs applications et sites.
Une Api a été mis la disposition des développeurs.

Certains l’ont déjà mis en services et certaines applications en bénéficient déjà. Notamment les banques.
Si le terminal Android n’a pas de lecteur d’empreinte, il est possible de se connecter en faisant le schéma de déverrouillage ou en entrant un code Pin.

La sécurité des applications et sites devrait être renforcée grâce à l’utilisation de ce nouveau protocole d’authentification FIDO2.

Pour l’authentification par mot de passe, celui-ci doit être stocké coté serveur.
Le standard FIDO2 permet l’authentification localement.

Lorsque cette méthode est activée, une paire de clés chiffrées est générée par l’appareil.

Une clé publique stockée sur la plateforme en ligne et une seconde, privée, stockée sui l’appareil.

Lors d’une connexion à une application ou à un site, le smartphone Android est sollicité pour savoir s’il a bien en sa possession la clé privée correspondante permettant de former la paire.

Apprendre à sécuriser un ordinateur à Paris 16.

L’empreinte digitale déverrouille l’accès à la clé privée autorisant la connexion.
Les attaques du genre Man in the Middle est donc impossible, le serveur ne stockant aucun mot de passe ou login.
Les attaques par phishing sont également réduites.

Pendant que des organismes travaillent à la sécurité de nos appareils, d'autres continuent à faire se qu'ils peuvent et plus, pour voler nos données.

Facebook et la sécurité des données

Les utilisateurs ne sont pas toujours informés des données qui vont de leurs applications aux serveurs de Facebook .
Ainsi, les journalistes de The Wall Street Journal ont passé au crible 70 applications mobiles de fitness ou santé.
11 d’entre elles contiennent un outil, « App Events », permettant aux développeurs d’envoyer des informations plus ou moins sensibles à Facebook.
Bien sûr, à des fins publicitaires.

Les données sensibles pourraient ne pas être anonymes et reliées à des comptes Facebook.
Les possesseurs de comptes et d’applications n’étant pas informés.

Ainsi, l’application de suivi des règles Flo Health, enverrait des données de menstruation au Géant.
Liées à un identifiant technique dépendant de l’appareil et au profil utilisateur, ces données pourraient données l’identité de l’utilisatrice de l’application.
Celle-ci recevraient ensuite des publicités pour jeunes maman…

Azumio, application de suivi du rythme cardiaque ou encore Breethe , application de médiation enverraient des données à Facebook sans en informer leurs possesseurs via « App Events ».

Facebook rejette la responsabilité sur les développeurs. Ceux-ci n’informant pas les utilisateurs…
La Firme affirme que des publicités apparaissent dans les applications sans partager les données ainsi collectées.