@@romain5706 nan au contraire Il a une approche assez différente, peut être pas particulièrement sur cette vidéo mais sur d’autres c’est très différent de la presse
Quel plaisir de mettre en pause ce qu'on est en train de faire pour regarder "la vidéo" qui vient de sortir sur ta chaine, vraiment incroyable, garde cette qualité d'écriture et de montage, toujours au top !
Je sais pas vous mais personnellement j’adore ces vidéos, le montage, le script c’est vraiment incroyable. Les sponso simples et bien faites, aucunes pub, vidéos bien expliquées et un bon éclairage. Franchement propre continue !!
Alors pour le deverouillage biometrique c'est pas si compliqué de contourner surtout avec les empreintes et une reconnaissance faciale 2D (sur appareil entree de gamme il me semble)
Lourd la vidéo et grave lourd le sujet. Je pense qu'il serait juste bien important de rappeler qu'avoir un mot de passe complexe et que l'on change régulièrement sur son iPhone/smartphone est essentiel. Je suppose que le système qui est en développement et qui utilise notamment une bande de données biométriques (visage ou empreinte) permettra aussi de déverrouiller grâce au code de son téléphone (car si port d'un masque/casque pour FaceID ou gant pour TouchID). Donc forcément, mot de passe complexe sur le tel oblige.
Très bonne vidéo une fois de plus. Je suis d’accord avec ce que tu dis, en vrai le seul truc dommage c’est que si il n’y avait pas de gros enfoirés sur cette terre, on aurait même pas besoin de mots de passe 😂. Continue comme ça, tes vidéos sont hautement qualitative 👍🏻
travaillant dans un magasin d'informatique je valide a 100% ça on voit toutes les semaine des gens qui ne savant pas comment changer les mdp ou les perdes c'est l'enfer , surtout quand on voit leurs mot de passe
Ça serait trop incroyable de pouvoir utiliser notre visage comme clé. Genre les données qui déterminent notre visage avec face id se transforment en une clé. Avec ça on pourrait se connecter a nos comptes depuis n’importe quel appareils tant qu’ils possèdent un capteur face id.
Nous te remercions de synthétiser, de vulgariser et d'imager parfois quelques unes des tonnes de questions et avancées du monde trop peu accessible de la sécurité informatique. Tu fais partie de ceux qui contribuent énormément à réduire l'écart qui se forme depuis trop longtemps entre la technologie et le grand public, au dépend de la sécurité.
Je suis assez d’accord Ce genre d’échange de clés absolument pas nouveau est limitant car aucun partage de compte ou accès ne sera possible et sera plutôt un frein pour les utilisateurs Même moi qui suis défenseur de la sécurité informatique je trouve que c’est pas une bonne solution
Chapeau Apple, Windows et Google pour ce progrès technologique sans précédent. Je pense que c'est une bonne chose. Je l'adopterai dès sa sortie sur mon iPhone, mon iPad et mon PC Linux, n'ayant pas encore de iMac. Merci Léo et longue vie à toi et à ta chaîne RUclips ! ;)
En plus du problème d'adoption par le grand public, il y a la diversité des éditeurs. Exemple sur une télévision connectée : - myCanal renvoi sur un lien d'identification depuis mon iPhone. - Molotov demande d'entrer les identifiants avec la télécommande. Si même une technologie aussi simple qu'un lien de connexion n'est pas adopté par des éditeurs de plusieurs millions d'utilisateurs, qu'est-ce que ça va être pour les clefs, qui reposent sur une nouvelle logique d'identification sans un standard type SMS.
Wtf la vidéo est juste insane entre le montage, le script et surtout la tech wtf j'avais entendu parlé d'un isystème avec la suppression du mdp et remplacé par l'empreinte mais là on est sur un autre lvl
Vidéo intéressante le mot de passe restera encore un bon moment présent pour ma part car quand les technologies d'empreinte ou reconnaissance faciale ne fonctionne pas elle permet de résoudre le problème facilement. Point noir c'est chiffrer et non crypter.
Perso je trouve cette idée sympathique et ca permettra de plus ce soucier de quelle code utiliser ou bien d'avoir 36milles mdp dans le keychain apple, mais le probleme que je vois étant un utilisateur mac utilisant principalement chrome c'est cette symbiose qu'il y a pas entre chrome sur un mac. P.ex quand je cree un nouveau code sur chrome je suis obliger d'aller l'enregistrer manuellement sur mon keychain et inversement quand je n'ai pas le code enregistré sur chrome je suis obliger d'aller copier le code depuis mon keychain iCloud. J'espere vraiment que Apple Microsoft et Google vont levée les fontieres et faire en quelque sorte du cross-plateforme comme on a pu le voir avec les consoles
Si tu as d’autres appareils du même écosystème, aucun problème, les autres appareils ont leur propre clé privée. Sinon, je pense que les constructeurs vont simplement permettre de créer de nouvelles clés privées avec une procédure de récupération.
@@LeoDuff ok, mais la source de déverrouillage, par exemple ton compte ICloud, ça sera essentiellement via FaceID ou empreinte digitale ? Sur le principe ça semble plus sécurisé d’avoir une identification biométrique pour tout… mais terminé l’anonymat sur le net :)
Convaincu par la technologie également mais par contre ca sonne la fin des partage de compte payant comme netflix/apple music/disney+... Et ca c'est un gros problème...
Ah mais c'est pour ça qu'on peut réinitialiser un mot de passe sur mac comme on lancerai une app avec le cmd de windows ?! Pour ce qui est du fishing, y'a bien une faille, le moment où le téléphone envoie ses données vers un serveur, c'est le moment où il est possible de potentiellement avoir accès au contenu de la personne.
à mon avis c'est pas franchement possible. Ne serait-ce que parce qu'il faut toujours une alternative pour les cas ou ton emprunte de doigt par exemple ne fonctionne plus (coupure, transpiration, etc) pour passer outre actuellement en général on est invité à saisir le mot de passe. Et je ne vois pas comment on pourrait faire autrement (impossible de dire à l'utilisateur, bon ben si tu te coupe le pouce, tu peux plus accéder à aucun de tes comptes en ligne)
ça règle (et encore) la problématique de l'usage personnel. Mais les plus grosses failles sont dues à des attaques sur des systèmes entier que je ne vois pas être remplacé par des passkey. Ce que je veux dire c'est que la majorité des attaques ne sont pas sur Michel de la compta. Elles sont sur la base de donnée de Entreprise X qui, elle, détient les mêmes infos qu'on vous demande tout le temps: nom prénom age mail adresse info bancaire etc.
Il y a une vieille vidéo de Simon Puech avec Kaspersky qui parlait des dangers de ce mode d'authentification où, si le mot de passe est nous-mêmes, c'est quelque chose que l'on arrive pas à changer. J'ai conscience que ces informations sont "scellés" dans l'IPhone mais j'ai peur que cela mette un peu tous nos œufs dans le même panier, c'est à dire que si on craque ce système d'une façon ou d'une autre, on ait toutes nos données d'un coup qui soient révélés
Год назад+1
La vidéo dont tu parles c'est celle de Léo Duff lui même et non pas Simon Puech (il en a peut-être fait une aussi). Vidéo de Léo Duff : Face ID, Touch ID...vraiment sécurisés ? Si on reste dans l'écosystème Apple, il suffit que l'OS des iphones soit la seule entité capable d'accéder aux capteurs Face ID. Par cela je veux dire que tant que IOS contrôle à 100% (et non 99,9%) l'accès à Face ID. Si derrière aucune entité ne peux accéder aux données biométrique stocké dans l'iphone, alors on est ok. Mais dès que ces barrières sont franchi on est dans la sauce comme ce que pense les fondas de Kaspersky.
@ Ah oui c'est vrai MB ! Je suis d'accord avec toi, hâte de voir comment s'orchestrera le cross OS alors parce que ça ne va pas être une mince affaire.
Bien que le risque existe, mettons le en comparaison avec le reste: -avoir un logiciel de gestion de mot de passe = un mot de passe pour accéder à tous les autres mdp -avoir des mdp différents sur chaque site et enregistré dans ta tête = erreur humaine possible, peut engendrer une perte totale de certains comptes (en plus d'être potentiellement long et fastidieux de tout récupérer) Le risque zéro n'existe plus à partir du moment où un actif est connecté à internet ou accessible physiquement, le challenge est de toujours simplifié la tache de l'utilisateur en augmentant la sécurité, pour l'instant, ce qui est présenté en vidéo et l'un des systèmes les plus aboutis pour le grand public.
Je l'attendais j'en étais sûr. Passkey m'a un peu fasciné aussi, j'attends de voir comment les gestionnaires de mots de passes vont s'y adapter. Je trouve la technologie intéressante parce que scalable, on peut imaginer un stockage de données chiffré et dont la clé et notre visage. Un sacré plus pour la confidentialité. J'attends de voir les vecteurs d'attaques que les pentesters trouverons, qui je pense seront encore plus étonnants que la techno elle-même.
@@juliengarcon1940 pas du tout, Des cles on Les a en double chez des amis et un mot de passe va se stocké sur des applis. Un téléphone perdu ou voler c'est une galère . Il n'y a qu'à voir ce que c'est que d'essayer d'effectuer un paiement avec un nouveau téléphone (ou un changement de puce)
Comment ça, non pertinence de commentaire ? C'est très pertinent au contraire ! Se faire voler le téléphone est déjà une galère mais là, ça va être bien pire. Comment prouver au système que notre téléphone a été volé ? Comment le changer ? Et le parallèle avec les clés est absurde. Si on se fait voler une clé, on change la serrure. C'est embêtant et cher, mais moins que de se faire voler son smartphone.
Le partage, un aspect bien vu... En poussant encore plus loin, cela pouse l'individualisme à son paroxysme dans le réseau virtuel. Plus d'anonymat (s'il a bien pu exister sur le net), plus de partage d'accès, mais aussi facilité de tout contrôle sur toutes les données de tout individu. Bref un monde numérique qui prend de plus en plus le pas sur la vie réelle, les interactions sociales qui ne se font que par écran, des vies qui se filment plus que se vivent... Me demande si l'on a conscience de ce qu'on perd ? Un autre exemple technologique nous privant de beaucoup : la cb au profit du cash, retraçant ts nos paiements, les limitant ou pas, energivore, plus difficile à prêter,... En tout cas des vidéos qui font réfléchir, c'est de plus en plus rare...
Dans le principe c'est top, mais si on perd ou se fait voler le téléphone, et en imaginant qu'on puisse tromper la reconnaissance faciale (ça fait beaucoup de si lol), je me demande si la problématique ne serait pas bien pire qu'aujourd'hui. J'ai du mal à me projeter précisément dans cette situation, il serait interessant de l'évoquer
Honnêtement j'ai juste vraiment hâte que ça devienne la norme, ne serait-ce que pour enfin venir à bout des phishings ou de l'A2F qui est, je trouve, toujours une purge aujourd'hui : je ne vois, quand je l'utilise qu'une perte de temps... Vidéo au top, comme d'habitude, merci pour ça !
Très intéressant, mais dans le cas où l'on perd notre smartphone (vol, casse et autre), même si celui qui le volerait ne pourrait pas y accéder, on perdrait finalement l'accès à tout nos comptes également, non, où y'aura-t-il des moyens fiables pour lier un nouvel appareil à ces systèmes de sécurité ? Et si oui, lesquels ?
De ce que j'ai compris de la vidéo ces clés sont dans le cloud donc il y aura surement juste a déclaré notre iphone perdu dans l'app localiser et au moment de configurer le nouvel iphone cela se fera automatiquent une fois les identifiants apple entrés.
Vidéo très intéressante et pédagogique. Ce que je retiens c'est que si les constructeurs veulent que cette technologie soit adoptée ils vont devoir collaborer pour que ce soit interopérable. Ce serait vraiment un une belle avancée en matière d'ouverture pour Apple notamment.
Mouais... ça ne me semble rien apporter aux dispositifs 2FA existants et qui plus est au prix de la perte de l'anonymat sur le réseau, sans parler d'ajouter une couche de dépendance aux GAFAMs supplémentaire.
Et si Face Id ne fonctionne pas genre cassé tt sa et si on change d’iPhone c’est comment et pour android si c’est un pc fixe c’est comment comme il n’y a pas le Bluetooth
Cette manière de parler avec tant de fluidité… c’est contrait c’est réfléchi c’est WoW. On voit vraiment qu’il y a un énorme taffe derrière et pour ça bravo 👏
Je ne pige pas que dans le monde actuel, les gars aussi smart que Leo Duff ne voient toujours AUCUN problème à donner (car c'est vraiment ça) leurs empreintes digitales et face ID aux géants de la tech (qui veulent uniquement notre bien, bien évidemment). Genre ce n'est même plus une question à se poser de donner aux pires boites (que j'utilise quotidiennement aussi) possibles ce qui rend notre identification (digitale) unique (et donc réplicable, vendable, communicable aux gouvernements (eux aussi, là uniquement pour notre bien et notre sécurité ofc)).
Tu ne donne jamais faceid à qui que ce soit: la modélisation mathématique de ton visage ne sort jamais de la Secure Enclave, et donc jamais transmis à Apple .. L’info est pourtant simplisme à trouver
J'avais aidé à la rédaction d'un article sur les progrès de l'alliance FIDO début Septembre et je découvrais alors totalement ce qu'il se tramait. 3 mois plus tard, déjà plusieurs sites comme Ebay m'ont proposé de ne plus utiliser mon mot de passe et, BORDEL, qu'est ce que ça marche bien. Je suis convaincu qu'on s'y dirige de plus en plus rapidement au vu des gros problèmes que posent les mots de passe à nos multinationales préférées. Maintenant il ne reste plus qu'à attendre 😔
Moyen convaincu : Deja certains appareils n'ont absolument pas besoin de retenir la clé Quand je me connecte a drive, discord ou autre sur un poste qui ne m'appartient pas (lycée,fac, entreprise). Je veux absolument pas que ces appareils ait un accès infini a mes données. Après ce système encourage la fermeture des systèmes. Et le système du QR CODE mis en place par la plupart des applications aujourd'hui est beaucoup plus pratique. (Mon tél est connecté à discord si je veux connecter un PC je scan le QR code et je peux le déconnecter a n'importe quel moment depuis mon téléphone).
ça me saoule déjà pas mal de devoir sortir mon tel a chaque fois que je dois me connecter a un truc utilisant le 2FA, j'imagine pas quand je vais devoir faire ça avec tout mes comptes 💀
Comment on fera pour se connecter quand notre téléphone sera en panne (cassé, plus de batterie, caméra ou lecteur d'empreinte HS) Si on perd un doigt ou son empreinte dans un accident de la vie courante (brûlure, doigt sectionné...), est-ce qu'il y aura un bouton "empreinte digitale perdue"? Pour aller plus loin, est-ce que ces données (photo et empreinte) peuvent fuiter et se retrouver entre de mauvaises mains ou on est absolument certain qu'elles restent dans l'appareil?
Tu suggère qu’il faut 30 secondes à un robot pour aller lire nos messages sur Instagram ? Comme si un robot pouvait faire 3000 propositions de mots de passe sans que le site bloque le compte par sécurité… le problème c’est pas la complexité des mots de passe, le problème, c’est les fuites de données et l’humain qui réutilise les mêmes mots de passe partout
Ces pas tout le monde qui a un smartphone ! Au vus des prix un téléphone fix suffi amplement mais le problème c'est la double authentification forcer et que ce passe t'il quand notre smartphone brise et que on achète un autre et le seul moyen ces de connecter ? Son ancien smartphone étant brisé on ne peut plus récupéré à cause de la double authentification ! Alors qu'un mot de passe c'est un code de mémoire que on peut réutiliser peu importe le matériel et ça défectuosité qui nous indentification même s'il y a des changements que ce soit matériel de même qu'une adresse IP des PC ! On peut très bien déménager et se faire offrir un nouveau service cher un autre fournisseur incluant le changement matériel ! Je croie que supprimer les mots de passe est une erreur malgré ces faille la faille reste toujours humaine !
Ouais mais si je dors et que du coup on prend mon doigt et qu'on met du scotch dessus pour avoir mon empreinte 🤣🤣 PTDRRRRRR imagine ça arrive vraiment 😭🤣🤣
C'est une bonne idée en soit après a voir avec l'utilisation et les dérives possible (problème d'anonymat et de collecte de données etc) le système est bien mais c'est la façon dont ça peux être utilisé qui l'es moins
trop de questions se posent. Prenons le cas d’une personne de 60 ans qui n’est pas à l’aise avec la technologie et qui ne possède qu’un ordinateur. Si son ordinateur devient inutilisable, elle ne pourra pas récupérer sa clé ?😅
Ce que tu dis au début est faux car le brutforce(méthode pour forcer un mot de passe) est bloqué sur instagram donc non avec le mot de passe que tu montres , personne ne pourra le cracker en 30 secondes
Attends, t’es en train de dire qu’au lieu d’avoir des mots de passe pour accéder à chacun de mes comptes sur diverses plateformes, je vais me retrouver à tout laisser dans mon compte Apple ?
Ça fait plus d'un an de recherche perso et de travail que je fais sur les Passkeys, ça m'a agréablement surpris de voir que la FIDO, dont Apple, collaboraient pour apporter le chiffrement asymétrique à l'authentification à grande échelle. Gros, gros potentiel. La technologie existe depuis 20 ans, et il y a encore des centaines de cas d'usages encore non explorés.
Le système est intéressant, mais un premier pas serait déjà l'assouplissement des règles des mots de passes. Personnellement je suis passé au gestionnaire de mot passe. J'ai un pass maître assez fort et après je génère des mots de passe via mon gestionnaire. Le soucis que j'ai trouvé avec ça, c'est que finalement si tu ne gère plus les mots de passe renforcer leur sécurité avec des caractères variés et une taille conséquente qui augmente le nombre de possibilité n'est plus un problème. Je serais donc ravis de passer tous mes services à un bon 40 caractères aléatoires majuscule, minuscules, chiffres, lettre et caractère similaires. Malheureusement énormément de services ne prennent que du 16 caractères max. Néanmoins passer au FaceID ou TouchID (ou techno similaire) pour remplacer les mot de passe me semble un changement viable. D'où la démocratisation de certains outils comme les clés cryptés que tu dois connecter. Je me fais pas d'illusion ça ne va pas supprimer les fuites de mots de passes. Si une technologie existe, elle aura automatiquement des failles qui pourront être exploités les leak de password se feront remplacer par des leaks de méthodes pour passer sous le cryptage (ou des failles de couche 8, la plus grosse faille de l'informatique, impossible à corriger). Mais à défaut ça serait quand même plus user friendly ET c'est facile à comprendre pour n'importe qui. Parce que quand j'entend "faut pas coller ton mdp sur un post-it à ton bureau", je peux pas m'empêcher de penser à ma grand-mère qui note scrupuleusement tous ses mots de passes dans un carnet. Parce que par défaut le fait de devoir faire des mots de passes aussi complexe ça signifie aussi les rendre de moins en moins compréhensibles et assimilable pour l'utilisateur lui-même. Avec 3 mot de passes à 8 caractères déjà c'est facile de se perdre alors quand il faut les augmenter, complexifier, multiplier.... ça devient rapidement humainement ingérable.
Excellente vidéo ! Pour ce qui est du partage de compte, techniquement c'est réalisable : de la même manière que mes autres appareils créent une autre clef privée, mes amis peuvent faire de même et j'autorise cette clef privée à utiliser mon compte. Le problème tient dans le fait que le contrôle est maintenant donné au système d'identification (Microsoft, Apple, Android), qui aura tout intérêt à se synchroniser avec les sites ciblés pour savoir si ils acceptent ou non le partage de compte (par exemple Netflix refusera a priori, et Apple aura assez peu d'intérêt à ne pas s'aligner avec eux). Le problème de sécurité qui subsiste néanmoins est celui du phishing. De la même manière que les hackers arrivent aujourd'hui à bypasser la double authentification en reproduisant l'interface de double authentification sur le site de phishing, ils pourront transmettre le challenge cryptographique à l'utilisateur afin de récupérer le token d'authentification. Le seul moyen de s'assurer que le phishing ne marche plus serait alors de soumettre un challenge à chaque requête, ce qui n'est pas forcément un problème côté client, mais qui peut devenir assez lourd côté serveur quand on connaît le nombre de requêtes impliquées. Enfin, les arnaques à la récupération de compte n'ont a priori pas de solution à part l'éducation des utilisateurs !
Pour la synchronisation entre appareils il me semble pas que ça soit la clé publique qui est partagée, puisqu'on ne peux pas créer une clé privée avec la clé publique, d'ailleurs il me semble qu'il n'est tout simplement pas possible d'avoir plusieurs clé privées. Donc je crois que c'est bien la clé privée qui est partagée sur iCloud (bien sur la communication est chiffrée) c'est ce que j'avais lu, mais je peux me tromper, je m'y connais encore pas assez en cryptographie
Et comment on se connecte au compte Apple pour la première fois sur un iPhone ? Il faudra bien un mot de passe... et un code venant d'un SMS ? Et celui qui crée un compte Apple (ou Google ou Microsoft) pour la première fois ? Cas le plus probable : un adolescent qui possède pour la première fois un smartphone ?
La vaste majorité des PCs n'est pas équipée de systèmes comme Windows Hello ou de lecteur d'empreintes digitales. Beaucoup n'ont pas non plus de Bluetooth. Et ça c'est sans compter tous les autres appareils (TVs, consoles, ...) pour lesquels il va falloir trouver des alternatives pour ce système. On n'en est qu'aux balbutiements, ça va prendre des années pour se concrétiser.
Tu aurais pu également évoquer les YubiKeys etc qui fonctionnent de la même façon et qu’on utilise déjà dans pas mal de société de High Tech ou sécurité
Je ne croix pas que la solution soit avoir un smartphone comme clef pour garder les mots de passe. On devrait encore chercher une autre solution a mon avis. En tout cas, sympa tes videos
une question me reste en tête, comment font les personnes qui n’ont pas un téléphone tactile, ni face ID, ni bluetooth ? ou bien les personnes qui ont seulement un ordinateur et pas de téléphone ?
ouais,g pas de tel moi,c'est du coup c vraiment chiant...genre il va se passer quoi si c les passkeys à la place,tout les comptes vont s'effacés où quoi?
Ptn j’avoue qu’en informatique on utilise pas mal ce sytème de clé public / clé privée mais j’avoue que c’est une idée de génie de l’utiliser pour remplacé complètement nos mots de passe sur nos smartphones fallait y penser ! Sinon super vidéo comme dab 👌🏼
De ce que j'ai compris de la vidéo ces clés sont dans le cloud donc il y aura surement juste a déclaré notre iphone perdu dans l'app localiser et au moment de configurer le nouvel iphone cela se fera automatiquent une fois les identifiants apple entrés.
Cette méthode d'authentification ressemble beaucoup à l'algorithme RSA Mais je pense qu'il y a une limite à prendre en compte : à partir du moment où tu perds tes appareils, comment t'authentifier si seulement toi et un ou plusieurs appareils prédéfinis peuvent le faire ?
vraiment une pure merveille à chaque fois. pour ma part j’ai hâte car ça me soûle de devoir entrer mes mdp à chaque fois. un système, comme présent lors de l’acquisition d’une app sur l’app store ou le paiement avec apple pay me facilite la vie. néanmoins, la contrainte soulignée ici est la concordance entre les écosystèmes qui s’avère être compliqué. j’espère que ça arrivera soon. tu sors trop de vidéos par contre, manuel te met le couteau sous la gorge ou quoi ..
Déjà que min iphone reconnait 1 fois sur 4 le moment ou je suis en train de rentrer mon MDP pour qu'il me propose d'enregistrer mon MDP on est loins de ça
1) On fait comment si on se ballade sans smartphone? batterie plate (ou pas de cable pour recharger) dans un endroit paumé? Si je veut envoyer un email depuis un Cybercafé au Zimbabwé ou d'un PC d'un ami ? 2) On me vole mon smartphone, on me vole TOUT. Je le perd. Pareil. 3) la reconnaissance faciale es facilement piratable. Les empreintes c'est plus compliqué mais c'est possible et je préfère donner à un malfrat 1 mot de passe pour accéder à un seul service, plutôt que lui laisser me coupe un doigt. Pour être certain il serait capable de tous me les couper.
Les clefs sont l'avenir des banques, impôts, etc (valider un retrait au DAB avec le Bluetooth de mon iPhone+FaceID, le rêve). Ces organismes ont la faculté et surtout la logique de l'imposer, « pour votre sécurité, veuillez activer la clefs iOS ». Mais, sans un standard qui s'imposera à tous du même niveau que le SMS (qui s'est même imposé à Apple en son temps, malgré iChat qui existait depuis 2002), la technologie sera limitée à ce que les gens interprètent comme sensible. Hors pour la majorité, Twitter ou iCloud ne sont pas sensibles vu qu'il n'ont « rien à cacher ».
Le pb avec l’utilisation biométrique c’est que quand la clef est corrompue, impossible de la changer. On ne change pas de doigts ou de tête comme ça. Un ami parvient à déverrouiller mon iPhone avec faceID, en le prenant pour moi. En revanche je ne parviens pas à déverrouiller le sien. Allez comprendre. Bref, je ne peux pas faire confiance à une donnée biométrique pour me connecter. En revanche un bon gros mdp géré par gestionnaire de mdp comme Keepass ( une des plus complets, mais peu intuitif) est le plus sécurisé. Caractère alphanumérique + caractères spéciaux (grosso modo 52 + 10 + 30 caractère spéciaux soit 92 choix de caractères) sur 12 caractères, c’est 92^12 = 3 * 10^23 combinaisons, soit 2 cents milles milliard de millards. De quoi voir venir, même pour un super calculateur qui tournerait à 2 millions de milliards. Au besoin, passer à 15 caractères ;)
ça fait 5 ans j’utilise Bitwarden c’est gratuit complet etc… bitwarden facilite le partage mais avec des plans payants! j’ai plus de 500 mdp dans mon coffre et je dois en connaître 100 de ceux ci… ce qui limite la casse. seul défaut c’est la phrase de passe. si elle et downed bah c’est con mais bon c’est déjà assez secure avec tous les mdp random utilisé
Boursorama Banque depuis qlq temps déjà (septembre 2022 au moins). Clé créé sur Mac avec Safari. Retrouvé sur l'iPhone avec Safari. C'est clair que l'adoption va être lente, mais comme dit, elle a démarré.
Incroyable la vidéo, j'ai adoré, encore un chef-d'oeuvre. Cependant, moi je suis encore au collège, et le problème c'est que au collège l'usage du téléphone est interdit dans l'enceinte. ☹ Je ne sais pas si je serai autorisé à sortir mon téléphone pour me connecter à mon compte Gmail (à double authentification) pour checker 2~3 trucs au CDI (sachant que la documentaliste nous harcèle pour savoir ce que l'on va faire sur l'ordinateur 😅). Donc pour l'instant la double authentification n'est pas encore à don plein potentiel et si on doit ajouter à cela l'identification par le doigt ou par le visage. Nous les collégiens nous sommes malbar 🥵. Mais après nous sommes une minorité de personnes à avoir ce problème en France car comme tu le dit 1 personnes sur 10 à la double authentification sur leur compte Gmail . Mais bon au final, t'as vidéo est un pur délice je l'ai dévoré continu comme ça 👌👍
Super vidéo! Je tiens à mentionner la technologie Zero-Knowledge Proof qui va permettre, via des blockchains, d'avoir un système d'identité numérique privé et un système de "mot de passe" simple d'utilisation sans même que l'utilisateur s'en rendent compte. Je vous conseille fortement d'investiguer cette technologie. Très intéressant!
Ces GAFA nous présentent des solutions à des problèmes qu'ils ont créé eux même en nous faisant croire que nous en avons besoin... En réalité c'est juste un moyen de nous sceller encore plus le téléphone dans la poche pour en avoir constamment besoin... Sans parler de nous séparer (partage du MDP à des proches que tu évoques très bien). Ta vidéo est très bien expliquée et bien faite comme toujours ! merci pour cette information.
Mes mots de passes sont générés aléatoirement, de 25 caractères minimum, et toujours unique sur le site que j'utilise. Cela fait quelque mois que j'ai commencé depuis les tentatives répétés de connexion à mon compte Steam depuis l'Asie et depuis peu la Russie... Par contre, quand je vois le bordel que c'est de changer de téléphone avec des app de double authentification et tout, je n'imagine pas l'infamie d'un tel système en cas de perte, vol ou casse du seul système de sauvegarde ! Un moyen d'avoir ça sur son téléphone et d'avoir une backup comme une clé USB devrait être plus raisonnable à mon sens (un peu comme les code de sauvegarde dans les double authentification)
pour ceux qui souhaient comprendre une partie des enjeux derriere cet l'authentification biometrique, il a sorti une video il y a 4ans : "Face ID, Touch ID...vraiment sécurisés ?"
très bonne vidéo comme toujours claire et concise. pour répondre à la question pour moi cette double authentification avec périphérique de confiance est déjà en cours depuis bientôt 2 ans ( banque et dans un cadre pro ( okta) donc l'avenir de la double authentification bah c'est une vieille habitude. toujours fan de tes contenus et continue.
J’ai encore des réserves, pour l’instant, mais je pense que ce serait en grande partie utilisé parce que ça simplifierait beaucoup de choses. Mais quid du vol de téléphone ? Même s’il doit y avoir une preuve biométrique rien ne nous dit quelle ne pourrait pas l’être faite sous la contrainte (scénario catastrophe je sais), ou fait à l’aide d’une photo par exemple. Et quid oui du partage? Après comme dit, je pense que via Apple où tout est lié cela a plus de chances d’être utilisé. Aussi, ça m’ennuie déjà tellement de devoir m’authentifier via mon téléphone pour chaque achat ou connexion a ma banque, pas sûre que je sois plus patiente pour simplement me connecter sur RUclips, Pinterest, ASOS ou je sais pas quoi, ce qui reste plus pratique aujourd’hui c’est les banques de mot de passe, et Apple le fait déjà très bien..
alors 30 secondes oui et non >.< | quel "ordinateur" ? | quel algorithme utilisé ? si c'est en md5 sans salt ya pas trop de problèmes mais sha512 + un salt bonne chance avec t'es 30 secondes...
Ok, mais si je perds mon smartphone, je perds tout mes comptes à jamais ? (imaginons que je me serve que de mon smartphone pour certains services). Alors qu'avec des mots de passes, je peux toujours d'identifier à nouveau si je l'ai noté quelques parts. Ensuite, le visage pris en photo n'a pas l'air si sécurisé. Il suffit de trouver des photos de la personne qui en a sûrement postées sur les réseaux sociaux, et on prend sa photo en photo avec l'appareil volé. Ou carrément, on la prend en photo avant de lui voler son appareil. C'est sûr que ça complique les choses mais ça dépend, c'est aussi plus facile à trouver qu'un mot de passe par certains côtés. Surtout qu'aujourd'hui, c'est pas très compliqué de générer des mots de passe aléatoires assez compliqué, qui permettent de récupérer son compte et qui peuvent être récupéré comme j'ai dit au début. Je trouve pour ma part que la double authentification est un excellent compromis.
Chapeau mec ! Tu ne sors certes pas beaucoup de vidéos, mais tes vidéos sont exceptionnelles…de l’écriture jusqu’au montage. Continues comme ça Léo
Et encore là il est régulier donc c’est top
Franchement la on est sur une video sur les deux semaines pour la qualité c’est exellent
@@--MORAX-- ouais enfin il ne fait que dire en vidéo ce que la press tech a déjà dit à l’écrit
@@romain5706 nan au contraire Il a une approche assez différente, peut être pas particulièrement sur cette vidéo mais sur d’autres c’est très différent de la presse
C’est le GOAT
Quel plaisir de mettre en pause ce qu'on est en train de faire pour regarder "la vidéo" qui vient de sortir sur ta chaine, vraiment incroyable, garde cette qualité d'écriture et de montage, toujours au top !
Je sais pas vous mais personnellement j’adore ces vidéos, le montage, le script c’est vraiment incroyable. Les sponso simples et bien faites, aucunes pub, vidéos bien expliquées et un bon éclairage. Franchement propre continue !!
Simplement brillant. La maîtrise de chaque sujet est impressionnante.
Alors pour le deverouillage biometrique c'est pas si compliqué de contourner surtout avec les empreintes et une reconnaissance faciale 2D (sur appareil entree de gamme il me semble)
Lourd la vidéo et grave lourd le sujet. Je pense qu'il serait juste bien important de rappeler qu'avoir un mot de passe complexe et que l'on change régulièrement sur son iPhone/smartphone est essentiel. Je suppose que le système qui est en développement et qui utilise notamment une bande de données biométriques (visage ou empreinte) permettra aussi de déverrouiller grâce au code de son téléphone (car si port d'un masque/casque pour FaceID ou gant pour TouchID). Donc forcément, mot de passe complexe sur le tel oblige.
Très bonne vidéo une fois de plus. Je suis d’accord avec ce que tu dis, en vrai le seul truc dommage c’est que si il n’y avait pas de gros enfoirés sur cette terre, on aurait même pas besoin de mots de passe 😂.
Continue comme ça, tes vidéos sont hautement qualitative 👍🏻
travaillant dans un magasin d'informatique je valide a 100% ça on voit toutes les semaine des gens qui ne savant pas comment changer les mdp ou les perdes c'est l'enfer , surtout quand on voit leurs mot de passe
Ça serait trop incroyable de pouvoir utiliser notre visage comme clé. Genre les données qui déterminent notre visage avec face id se transforment en une clé. Avec ça on pourrait se connecter a nos comptes depuis n’importe quel appareils tant qu’ils possèdent un capteur face id.
Nous te remercions de synthétiser, de vulgariser et d'imager parfois quelques unes des tonnes de questions et avancées du monde trop peu accessible de la sécurité informatique.
Tu fais partie de ceux qui contribuent énormément à réduire l'écart qui se forme depuis trop longtemps entre la technologie et le grand public, au dépend de la sécurité.
Je suis assez d’accord
Ce genre d’échange de clés absolument pas nouveau est limitant car aucun partage de compte ou accès ne sera possible et sera plutôt un frein pour les utilisateurs
Même moi qui suis défenseur de la sécurité informatique je trouve que c’est pas une bonne solution
Chapeau Apple, Windows et Google pour ce progrès technologique sans précédent. Je pense que c'est une bonne chose. Je l'adopterai dès sa sortie sur mon iPhone, mon iPad et mon PC Linux, n'ayant pas encore de iMac.
Merci Léo et longue vie à toi et à ta chaîne RUclips ! ;)
En plus du problème d'adoption par le grand public, il y a la diversité des éditeurs.
Exemple sur une télévision connectée :
- myCanal renvoi sur un lien d'identification depuis mon iPhone.
- Molotov demande d'entrer les identifiants avec la télécommande.
Si même une technologie aussi simple qu'un lien de connexion n'est pas adopté par des éditeurs de plusieurs millions d'utilisateurs, qu'est-ce que ça va être pour les clefs, qui reposent sur une nouvelle logique d'identification sans un standard type SMS.
Wtf la vidéo est juste insane entre le montage, le script et surtout la tech wtf j'avais entendu parlé d'un isystème avec la suppression du mdp et remplacé par l'empreinte mais là on est sur un autre lvl
Vidéo intéressante le mot de passe restera encore un bon moment présent pour ma part car quand les technologies d'empreinte ou reconnaissance faciale ne fonctionne pas elle permet de résoudre le problème facilement. Point noir c'est chiffrer et non crypter.
Perso je trouve cette idée sympathique et ca permettra de plus ce soucier de quelle code utiliser ou bien d'avoir 36milles mdp dans le keychain apple, mais le probleme que je vois étant un utilisateur mac utilisant principalement chrome c'est cette symbiose qu'il y a pas entre chrome sur un mac.
P.ex quand je cree un nouveau code sur chrome je suis obliger d'aller l'enregistrer manuellement sur mon keychain et inversement quand je n'ai pas le code enregistré sur chrome je suis obliger d'aller copier le code depuis mon keychain iCloud.
J'espere vraiment que Apple Microsoft et Google vont levée les fontieres et faire en quelque sorte du cross-plateforme comme on a pu le voir avec les consoles
Tu te fais voler ton téléphone, ça se passe comment ?
Il faut une identification biométrique donc de toutes façons personne ne pourra accéder à tes données
Si tu as d’autres appareils du même écosystème, aucun problème, les autres appareils ont leur propre clé privée.
Sinon, je pense que les constructeurs vont simplement permettre de créer de nouvelles clés privées avec une procédure de récupération.
@@LeoDuff ok, mais la source de déverrouillage, par exemple ton compte ICloud, ça sera essentiellement via FaceID ou empreinte digitale ?
Sur le principe ça semble plus sécurisé d’avoir une identification biométrique pour tout… mais terminé l’anonymat sur le net :)
Convaincu par la technologie également mais par contre ca sonne la fin des partage de compte payant comme netflix/apple music/disney+... Et ca c'est un gros problème...
Je suis impatient de voir ce système
Ah mais c'est pour ça qu'on peut réinitialiser un mot de passe sur mac comme on lancerai une app avec le cmd de windows ?!
Pour ce qui est du fishing, y'a bien une faille, le moment où le téléphone envoie ses données vers un serveur, c'est le moment où il est possible de potentiellement avoir accès au contenu de la personne.
Les cookies de connexion remplissent pas déjà un peu ce rôle ?
est-ce que au final ce n'est pas ce que propose déjà les applis dévérouillables par empreinte digitales comme les app banque ou de paris sportif?
à mon avis c'est pas franchement possible. Ne serait-ce que parce qu'il faut toujours une alternative pour les cas ou ton emprunte de doigt par exemple ne fonctionne plus (coupure, transpiration, etc) pour passer outre actuellement en général on est invité à saisir le mot de passe. Et je ne vois pas comment on pourrait faire autrement (impossible de dire à l'utilisateur, bon ben si tu te coupe le pouce, tu peux plus accéder à aucun de tes comptes en ligne)
ça règle (et encore) la problématique de l'usage personnel. Mais les plus grosses failles sont dues à des attaques sur des systèmes entier que je ne vois pas être remplacé par des passkey. Ce que je veux dire c'est que la majorité des attaques ne sont pas sur Michel de la compta. Elles sont sur la base de donnée de Entreprise X qui, elle, détient les mêmes infos qu'on vous demande tout le temps: nom prénom age mail adresse info bancaire etc.
Marre de ce culte de la complexité des mots de passe : seul le nombre de caractères compte
_Change my mind_
Il y a une vieille vidéo de Simon Puech avec Kaspersky qui parlait des dangers de ce mode d'authentification où, si le mot de passe est nous-mêmes, c'est quelque chose que l'on arrive pas à changer.
J'ai conscience que ces informations sont "scellés" dans l'IPhone mais j'ai peur que cela mette un peu tous nos œufs dans le même panier, c'est à dire que si on craque ce système d'une façon ou d'une autre, on ait toutes nos données d'un coup qui soient révélés
La vidéo dont tu parles c'est celle de Léo Duff lui même et non pas Simon Puech (il en a peut-être fait une aussi). Vidéo de Léo Duff : Face ID, Touch ID...vraiment sécurisés ?
Si on reste dans l'écosystème Apple, il suffit que l'OS des iphones soit la seule entité capable d'accéder aux capteurs Face ID. Par cela je veux dire que tant que IOS contrôle à 100% (et non 99,9%) l'accès à Face ID. Si derrière aucune entité ne peux accéder aux données biométrique stocké dans l'iphone, alors on est ok. Mais dès que ces barrières sont franchi on est dans la sauce comme ce que pense les fondas de Kaspersky.
@ Ah oui c'est vrai MB !
Je suis d'accord avec toi, hâte de voir comment s'orchestrera le cross OS alors parce que ça ne va pas être une mince affaire.
Je ne l'avais pas vu sous cet angle. mrc
Bien que le risque existe, mettons le en comparaison avec le reste:
-avoir un logiciel de gestion de mot de passe = un mot de passe pour accéder à tous les autres mdp
-avoir des mdp différents sur chaque site et enregistré dans ta tête = erreur humaine possible, peut engendrer une perte totale de certains comptes (en plus d'être potentiellement long et fastidieux de tout récupérer)
Le risque zéro n'existe plus à partir du moment où un actif est connecté à internet ou accessible physiquement, le challenge est de toujours simplifié la tache de l'utilisateur en augmentant la sécurité, pour l'instant, ce qui est présenté en vidéo et l'un des systèmes les plus aboutis pour le grand public.
Je l'attendais j'en étais sûr. Passkey m'a un peu fasciné aussi, j'attends de voir comment les gestionnaires de mots de passes vont s'y adapter. Je trouve la technologie intéressante parce que scalable, on peut imaginer un stockage de données chiffré et dont la clé et notre visage. Un sacré plus pour la confidentialité.
J'attends de voir les vecteurs d'attaques que les pentesters trouverons, qui je pense seront encore plus étonnants que la techno elle-même.
C'est in excellente idee mais si l'on perd son telephone (ou qu'on de Le fait voler) c'est un enfer
@@Venus_Noire comme les clés de chez toi xD ou ton mot de passe
Merci pour la non pertinence du commentaire
@@juliengarcon1940 pas du tout, Des cles on Les a en double chez des amis et un mot de passe va se stocké sur des applis. Un téléphone perdu ou voler c'est une galère . Il n'y a qu'à voir ce que c'est que d'essayer d'effectuer un paiement avec un nouveau téléphone (ou un changement de puce)
Comment ça, non pertinence de commentaire ? C'est très pertinent au contraire ! Se faire voler le téléphone est déjà une galère mais là, ça va être bien pire. Comment prouver au système que notre téléphone a été volé ? Comment le changer ? Et le parallèle avec les clés est absurde. Si on se fait voler une clé, on change la serrure. C'est embêtant et cher, mais moins que de se faire voler son smartphone.
@@juliengarcon1940 genius guy 🤦🏻♂️
Le partage, un aspect bien vu... En poussant encore plus loin, cela pouse l'individualisme à son paroxysme dans le réseau virtuel.
Plus d'anonymat (s'il a bien pu exister sur le net), plus de partage d'accès, mais aussi facilité de tout contrôle sur toutes les données de tout individu. Bref un monde numérique qui prend de plus en plus le pas sur la vie réelle, les interactions sociales qui ne se font que par écran, des vies qui se filment plus que se vivent... Me demande si l'on a conscience de ce qu'on perd ?
Un autre exemple technologique nous privant de beaucoup : la cb au profit du cash, retraçant ts nos paiements, les limitant ou pas, energivore, plus difficile à prêter,...
En tout cas des vidéos qui font réfléchir, c'est de plus en plus rare...
Tu poses des questions intéressantes dont tout le monde se fout, malheureusement.
@@Eowynn23 bah peut être pas toi déjà
Je me suis posé exactement les mêmes questions que toi
@@mohel2868 sommes 3 ! 😜
Dans le principe c'est top, mais si on perd ou se fait voler le téléphone, et en imaginant qu'on puisse tromper la reconnaissance faciale (ça fait beaucoup de si lol), je me demande si la problématique ne serait pas bien pire qu'aujourd'hui. J'ai du mal à me projeter précisément dans cette situation, il serait interessant de l'évoquer
Honnêtement j'ai juste vraiment hâte que ça devienne la norme, ne serait-ce que pour enfin venir à bout des phishings ou de l'A2F qui est, je trouve, toujours une purge aujourd'hui : je ne vois, quand je l'utilise qu'une perte de temps...
Vidéo au top, comme d'habitude, merci pour ça !
+1
Très intéressant, mais dans le cas où l'on perd notre smartphone (vol, casse et autre), même si celui qui le volerait ne pourrait pas y accéder, on perdrait finalement l'accès à tout nos comptes également, non, où y'aura-t-il des moyens fiables pour lier un nouvel appareil à ces systèmes de sécurité ? Et si oui, lesquels ?
De ce que j'ai compris de la vidéo ces clés sont dans le cloud donc il y aura surement juste a déclaré notre iphone perdu dans l'app localiser et au moment de configurer le nouvel iphone cela se fera automatiquent une fois les identifiants apple entrés.
Vidéo très intéressante et pédagogique. Ce que je retiens c'est que si les constructeurs veulent que cette technologie soit adoptée ils vont devoir collaborer pour que ce soit interopérable. Ce serait vraiment un une belle avancée en matière d'ouverture pour Apple notamment.
Mouais... ça ne me semble rien apporter aux dispositifs 2FA existants et qui plus est au prix de la perte de l'anonymat sur le réseau, sans parler d'ajouter une couche de dépendance aux GAFAMs supplémentaire.
Toujours un cran au dessus de la YT sphère et des sujets parfaitement maîtrisés.
Quand à ce dernier, personnellement je vote oui sans hésitations !
Et si Face Id ne fonctionne pas genre cassé tt sa et si on change d’iPhone c’est comment et pour android si c’est un pc fixe c’est comment comme il n’y a pas le Bluetooth
Cette manière de parler avec tant de fluidité… c’est contrait c’est réfléchi c’est WoW. On voit vraiment qu’il y a un énorme taffe derrière et pour ça bravo 👏
1:08, merci Amine pour ce hit.
Ça va être incroyable ! Par contre si on perd l’iPhone ça se passe comment ?
Buy AirPods => 1:25
Très fort
Je ne pige pas que dans le monde actuel, les gars aussi smart que Leo Duff ne voient toujours AUCUN problème à donner (car c'est vraiment ça) leurs empreintes digitales et face ID aux géants de la tech (qui veulent uniquement notre bien, bien évidemment).
Genre ce n'est même plus une question à se poser de donner aux pires boites (que j'utilise quotidiennement aussi) possibles ce qui rend notre identification (digitale) unique (et donc réplicable, vendable, communicable aux gouvernements (eux aussi, là uniquement pour notre bien et notre sécurité ofc)).
Tu ne donne jamais faceid à qui que ce soit: la modélisation mathématique de ton visage ne sort jamais de la Secure Enclave, et donc jamais transmis à Apple .. L’info est pourtant simplisme à trouver
vidéo super comme d'habitude. le rythme de publication et la qualité des vidéos sont justes parfaits. bravo !
J'avais aidé à la rédaction d'un article sur les progrès de l'alliance FIDO début Septembre et je découvrais alors totalement ce qu'il se tramait. 3 mois plus tard, déjà plusieurs sites comme Ebay m'ont proposé de ne plus utiliser mon mot de passe et, BORDEL, qu'est ce que ça marche bien. Je suis convaincu qu'on s'y dirige de plus en plus rapidement au vu des gros problèmes que posent les mots de passe à nos multinationales préférées. Maintenant il ne reste plus qu'à attendre 😔
Ça m'a l'aire bien plus sécurisé avec ce système !
Moyen convaincu :
Deja certains appareils n'ont absolument pas besoin de retenir la clé
Quand je me connecte a drive, discord ou autre sur un poste qui ne m'appartient pas (lycée,fac, entreprise).
Je veux absolument pas que ces appareils ait un accès infini a mes données.
Après ce système encourage la fermeture des systèmes.
Et le système du QR CODE mis en place par la plupart des applications aujourd'hui est beaucoup plus pratique.
(Mon tél est connecté à discord si je veux connecter un PC je scan le QR code et je peux le déconnecter a n'importe quel moment depuis mon téléphone).
ça me saoule déjà pas mal de devoir sortir mon tel a chaque fois que je dois me connecter a un truc utilisant le 2FA, j'imagine pas quand je vais devoir faire ça avec tout mes comptes 💀
Comment on fera pour se connecter quand notre téléphone sera en panne (cassé, plus de batterie, caméra ou lecteur d'empreinte HS)
Si on perd un doigt ou son empreinte dans un accident de la vie courante (brûlure, doigt sectionné...), est-ce qu'il y aura un bouton "empreinte digitale perdue"?
Pour aller plus loin, est-ce que ces données (photo et empreinte) peuvent fuiter et se retrouver entre de mauvaises mains ou on est absolument certain qu'elles restent dans l'appareil?
Tu suggère qu’il faut 30 secondes à un robot pour aller lire nos messages sur Instagram ? Comme si un robot pouvait faire 3000 propositions de mots de passe sans que le site bloque le compte par sécurité… le problème c’est pas la complexité des mots de passe, le problème, c’est les fuites de données et l’humain qui réutilise les mêmes mots de passe partout
Ces pas tout le monde qui a un smartphone ! Au vus des prix un téléphone fix suffi amplement mais le problème c'est la double authentification forcer et que ce passe t'il quand notre smartphone brise et que on achète un autre et le seul moyen ces de connecter ? Son ancien smartphone étant brisé on ne peut plus récupéré à cause de la double authentification ! Alors qu'un mot de passe c'est un code de mémoire que on peut réutiliser peu importe le matériel et ça défectuosité qui nous indentification même s'il y a des changements que ce soit matériel de même qu'une adresse IP des PC ! On peut très bien déménager et se faire offrir un nouveau service cher un autre fournisseur incluant le changement matériel ! Je croie que supprimer les mots de passe est une erreur malgré ces faille la faille reste toujours humaine !
Ouais mais si je dors et que du coup on prend mon doigt et qu'on met du scotch dessus pour avoir mon empreinte 🤣🤣 PTDRRRRRR imagine ça arrive vraiment 😭🤣🤣
pratique d'avoir un seul standard, comme ça si les GAFAM veulent mettre une backdoor ou qu'il y a une faille, tout tombe d'un coup
C'est une bonne idée en soit après a voir avec l'utilisation et les dérives possible (problème d'anonymat et de collecte de données etc) le système est bien mais c'est la façon dont ça peux être utilisé qui l'es moins
trop de questions se posent. Prenons le cas d’une personne de 60 ans qui n’est pas à l’aise avec la technologie et qui ne possède qu’un ordinateur. Si son ordinateur devient inutilisable, elle ne pourra pas récupérer sa clé ?😅
Ce que tu dis au début est faux car le brutforce(méthode pour forcer un mot de passe) est bloqué sur instagram donc non avec le mot de passe que tu montres , personne ne pourra le cracker en 30 secondes
Pirater en 30 secondes d'accord, mais au bout de plusieurs tentatives incorrectes les sites bloquent le compte pendant plusieurs minutes....
Attends, t’es en train de dire qu’au lieu d’avoir des mots de passe pour accéder à chacun de mes comptes sur diverses plateformes, je vais me retrouver à tout laisser dans mon compte Apple ?
naturellement...
donner ses données physiques pour se connecter, bien dystopique tout ça.
Imaginons que je n’ai pas de Mac ou d’iPad mais uniquement un iPhone, et je le casse
Je fais comment ?
J'utilise une clé yubico pour mon compte principal et pour le déverrouillage de certains sites qui le permette
Qui a entendu la chanson d’Amine pour France Espagne ? 😭😭😭
Après si tu perds ta main ou tu te défigure le visage, tu n'as plus accès a ton compte ?
Ça fait plus d'un an de recherche perso et de travail que je fais sur les Passkeys, ça m'a agréablement surpris de voir que la FIDO, dont Apple, collaboraient pour apporter le chiffrement asymétrique à l'authentification à grande échelle. Gros, gros potentiel. La technologie existe depuis 20 ans, et il y a encore des centaines de cas d'usages encore non explorés.
Le système est intéressant, mais un premier pas serait déjà l'assouplissement des règles des mots de passes. Personnellement je suis passé au gestionnaire de mot passe. J'ai un pass maître assez fort et après je génère des mots de passe via mon gestionnaire. Le soucis que j'ai trouvé avec ça, c'est que finalement si tu ne gère plus les mots de passe renforcer leur sécurité avec des caractères variés et une taille conséquente qui augmente le nombre de possibilité n'est plus un problème. Je serais donc ravis de passer tous mes services à un bon 40 caractères aléatoires majuscule, minuscules, chiffres, lettre et caractère similaires. Malheureusement énormément de services ne prennent que du 16 caractères max.
Néanmoins passer au FaceID ou TouchID (ou techno similaire) pour remplacer les mot de passe me semble un changement viable. D'où la démocratisation de certains outils comme les clés cryptés que tu dois connecter. Je me fais pas d'illusion ça ne va pas supprimer les fuites de mots de passes. Si une technologie existe, elle aura automatiquement des failles qui pourront être exploités les leak de password se feront remplacer par des leaks de méthodes pour passer sous le cryptage (ou des failles de couche 8, la plus grosse faille de l'informatique, impossible à corriger).
Mais à défaut ça serait quand même plus user friendly ET c'est facile à comprendre pour n'importe qui. Parce que quand j'entend "faut pas coller ton mdp sur un post-it à ton bureau", je peux pas m'empêcher de penser à ma grand-mère qui note scrupuleusement tous ses mots de passes dans un carnet. Parce que par défaut le fait de devoir faire des mots de passes aussi complexe ça signifie aussi les rendre de moins en moins compréhensibles et assimilable pour l'utilisateur lui-même. Avec 3 mot de passes à 8 caractères déjà c'est facile de se perdre alors quand il faut les augmenter, complexifier, multiplier.... ça devient rapidement humainement ingérable.
Bah c'est tres bien comme ça, les mots de passe m'ont toujours saoulé
Excellente vidéo ! Pour ce qui est du partage de compte, techniquement c'est réalisable : de la même manière que mes autres appareils créent une autre clef privée, mes amis peuvent faire de même et j'autorise cette clef privée à utiliser mon compte. Le problème tient dans le fait que le contrôle est maintenant donné au système d'identification (Microsoft, Apple, Android), qui aura tout intérêt à se synchroniser avec les sites ciblés pour savoir si ils acceptent ou non le partage de compte (par exemple Netflix refusera a priori, et Apple aura assez peu d'intérêt à ne pas s'aligner avec eux).
Le problème de sécurité qui subsiste néanmoins est celui du phishing. De la même manière que les hackers arrivent aujourd'hui à bypasser la double authentification en reproduisant l'interface de double authentification sur le site de phishing, ils pourront transmettre le challenge cryptographique à l'utilisateur afin de récupérer le token d'authentification. Le seul moyen de s'assurer que le phishing ne marche plus serait alors de soumettre un challenge à chaque requête, ce qui n'est pas forcément un problème côté client, mais qui peut devenir assez lourd côté serveur quand on connaît le nombre de requêtes impliquées.
Enfin, les arnaques à la récupération de compte n'ont a priori pas de solution à part l'éducation des utilisateurs !
Pour la synchronisation entre appareils il me semble pas que ça soit la clé publique qui est partagée, puisqu'on ne peux pas créer une clé privée avec la clé publique, d'ailleurs il me semble qu'il n'est tout simplement pas possible d'avoir plusieurs clé privées. Donc je crois que c'est bien la clé privée qui est partagée sur iCloud (bien sur la communication est chiffrée) c'est ce que j'avais lu, mais je peux me tromper, je m'y connais encore pas assez en cryptographie
Oui la clef privée de la passkey est inclus dans le key chain qui sert au backup/ et synchro entre appareils via iCloud
Et si on perd son iphone, on est sacrément dans la merde...
Et comment on se connecte au compte Apple pour la première fois sur un iPhone ? Il faudra bien un mot de passe... et un code venant d'un SMS ? Et celui qui crée un compte Apple (ou Google ou Microsoft) pour la première fois ? Cas le plus probable : un adolescent qui possède pour la première fois un smartphone ?
Au premier coup sur un Smartphone, tu seras toujours obligé de fournir un numéro de mobile rattaché à une carte SIM ou eSIM.
@Brian Adam Oui mais comment tu authentifies le premier iPhone quand tu n'as aucun autre device Apple connecté ?
La vaste majorité des PCs n'est pas équipée de systèmes comme Windows Hello ou de lecteur d'empreintes digitales. Beaucoup n'ont pas non plus de Bluetooth. Et ça c'est sans compter tous les autres appareils (TVs, consoles, ...) pour lesquels il va falloir trouver des alternatives pour ce système. On n'en est qu'aux balbutiements, ça va prendre des années pour se concrétiser.
Mais si on perd notre téléphone et on en rachète un autre ?
Tu aurais pu également évoquer les YubiKeys etc qui fonctionnent de la même façon et qu’on utilise déjà dans pas mal de société de High Tech ou sécurité
Vidéo de très grande qualité comme d'habitude ! Toujours au top Léo ! 👍🏼
Idée du mot de passe, taper au hasard, du genre comme moi, par exemple : ré'Fs'§uj)uri-'seXY - Ça peut être plus ou moins long.
Je ne croix pas que la solution soit avoir un smartphone comme clef pour garder les mots de passe. On devrait encore chercher une autre solution a mon avis. En tout cas, sympa tes videos
sa me rassure, je ne suis pas tout seule😅
J'arrive pas déjà à me connecter sur Paypal avec mon emprunte digital xD Je suis obligé de saisir le mot de passe.
une question me reste en tête, comment font les personnes qui n’ont pas un téléphone tactile, ni face ID, ni bluetooth ? ou bien les personnes qui ont seulement un ordinateur et pas de téléphone ?
ouais,g pas de tel moi,c'est du coup c vraiment chiant...genre il va se passer quoi si c les passkeys à la place,tout les comptes vont s'effacés où quoi?
Ptn j’avoue qu’en informatique on utilise pas mal ce sytème de clé public / clé privée mais j’avoue que c’est une idée de génie de l’utiliser pour remplacé complètement nos mots de passe sur nos smartphones fallait y penser ! Sinon super vidéo comme dab 👌🏼
Finalement, c'est l'appareil qui devient la clé... Ce que je me demande c'est que se passe-t-il en cas de perte de l'appareil ?
De ce que j'ai compris de la vidéo ces clés sont dans le cloud donc il y aura surement juste a déclaré notre iphone perdu dans l'app localiser et au moment de configurer le nouvel iphone cela se fera automatiquent une fois les identifiants apple entrés.
Cette méthode d'authentification ressemble beaucoup à l'algorithme RSA
Mais je pense qu'il y a une limite à prendre en compte : à partir du moment où tu perds tes appareils, comment t'authentifier si seulement toi et un ou plusieurs appareils prédéfinis peuvent le faire ?
Restauration iCloud
vraiment une pure merveille à chaque fois.
pour ma part j’ai hâte car ça me soûle de devoir entrer mes mdp à chaque fois.
un système, comme présent lors de l’acquisition d’une app sur l’app store ou le paiement avec apple pay me facilite la vie.
néanmoins, la contrainte soulignée ici est la concordance entre les écosystèmes qui s’avère être compliqué.
j’espère que ça arrivera soon.
tu sors trop de vidéos par contre, manuel te met le couteau sous la gorge ou quoi ..
Déjà que min iphone reconnait 1 fois sur 4 le moment ou je suis en train de rentrer mon MDP pour qu'il me propose d'enregistrer mon MDP on est loins de ça
1) On fait comment si on se ballade sans smartphone? batterie plate (ou pas de cable pour recharger) dans un endroit paumé? Si je veut envoyer un email depuis un Cybercafé au Zimbabwé ou d'un PC d'un ami ?
2) On me vole mon smartphone, on me vole TOUT. Je le perd. Pareil.
3) la reconnaissance faciale es facilement piratable. Les empreintes c'est plus compliqué mais c'est possible et je préfère donner à un malfrat 1 mot de passe pour accéder à un seul service, plutôt que lui laisser me coupe un doigt. Pour être certain il serait capable de tous me les couper.
Perso j’utilise Bitwarden et c’est propre ! Une passphrase de 40 caractères et c’est sécurisé 😏
Super intéressant comme vidéo Léo. Et merci pour le partage. 🔥🔥🔥
Les clefs sont l'avenir des banques, impôts, etc (valider un retrait au DAB avec le Bluetooth de mon iPhone+FaceID, le rêve). Ces organismes ont la faculté et surtout la logique de l'imposer, « pour votre sécurité, veuillez activer la clefs iOS ».
Mais, sans un standard qui s'imposera à tous du même niveau que le SMS (qui s'est même imposé à Apple en son temps, malgré iChat qui existait depuis 2002), la technologie sera limitée à ce que les gens interprètent comme sensible. Hors pour la majorité, Twitter ou iCloud ne sont pas sensibles vu qu'il n'ont « rien à cacher ».
Le pb avec l’utilisation biométrique c’est que quand la clef est corrompue, impossible de la changer. On ne change pas de doigts ou de tête comme ça. Un ami parvient à déverrouiller mon iPhone avec faceID, en le prenant pour moi. En revanche je ne parviens pas à déverrouiller le sien. Allez comprendre.
Bref, je ne peux pas faire confiance à une donnée biométrique pour me connecter. En revanche un bon gros mdp géré par gestionnaire de mdp comme Keepass ( une des plus complets, mais peu intuitif) est le plus sécurisé. Caractère alphanumérique + caractères spéciaux (grosso modo 52 + 10 + 30 caractère spéciaux soit 92 choix de caractères) sur 12 caractères, c’est 92^12 = 3 * 10^23 combinaisons, soit 2 cents milles milliard de millards. De quoi voir venir, même pour un super calculateur qui tournerait à 2 millions de milliards. Au besoin, passer à 15 caractères ;)
ça fait 5 ans j’utilise Bitwarden c’est gratuit complet etc… bitwarden facilite le partage mais avec des plans payants! j’ai plus de 500 mdp dans mon coffre et je dois en connaître 100 de ceux ci… ce qui limite la casse.
seul défaut c’est la phrase de passe. si elle et downed bah c’est con mais bon c’est déjà assez secure avec tous les mdp random utilisé
Boursorama Banque depuis qlq temps déjà (septembre 2022 au moins). Clé créé sur Mac avec Safari. Retrouvé sur l'iPhone avec Safari. C'est clair que l'adoption va être lente, mais comme dit, elle a démarré.
ENFIN !! les mots de passe existent depuis l'antiquité (L'EMPIRE ROMAIN) je crois qu'après TOUT ce temps ils ont montrées leurs limites.
Incroyable la vidéo, j'ai adoré, encore un chef-d'oeuvre.
Cependant, moi je suis encore au collège, et le problème c'est que au collège l'usage du téléphone est interdit dans l'enceinte. ☹
Je ne sais pas si je serai autorisé à sortir mon téléphone pour me connecter à mon compte Gmail (à double authentification) pour checker 2~3 trucs au CDI (sachant que la documentaliste nous harcèle pour savoir ce que l'on va faire sur l'ordinateur 😅).
Donc pour l'instant la double authentification n'est pas encore à don plein potentiel et si on doit ajouter à cela l'identification par le doigt ou par le visage. Nous les collégiens nous sommes malbar 🥵.
Mais après nous sommes une minorité de personnes à avoir ce problème en France car comme tu le dit 1 personnes sur 10 à la double authentification sur leur compte Gmail .
Mais bon au final, t'as vidéo est un pur délice je l'ai dévoré continu comme ça 👌👍
Super vidéo!
Je tiens à mentionner la technologie Zero-Knowledge Proof qui va permettre, via des blockchains, d'avoir un système d'identité numérique privé et un système de "mot de passe" simple d'utilisation sans même que l'utilisateur s'en rendent compte.
Je vous conseille fortement d'investiguer cette technologie. Très intéressant!
Et si ton tel ce casse tu fais comment ?
Tiens tiens tiens problème cryptographique ça fait penser a la blockchain ptet Mhhhhhhhhhhhhh 🤔🤔🤔🤔🤔 (Top cool la vidéo merci :D )
Ces GAFA nous présentent des solutions à des problèmes qu'ils ont créé eux même en nous faisant croire que nous en avons besoin... En réalité c'est juste un moyen de nous sceller encore plus le téléphone dans la poche pour en avoir constamment besoin... Sans parler de nous séparer (partage du MDP à des proches que tu évoques très bien). Ta vidéo est très bien expliquée et bien faite comme toujours ! merci pour cette information.
Mes mots de passes sont générés aléatoirement, de 25 caractères minimum, et toujours unique sur le site que j'utilise. Cela fait quelque mois que j'ai commencé depuis les tentatives répétés de connexion à mon compte Steam depuis l'Asie et depuis peu la Russie...
Par contre, quand je vois le bordel que c'est de changer de téléphone avec des app de double authentification et tout, je n'imagine pas l'infamie d'un tel système en cas de perte, vol ou casse du seul système de sauvegarde ! Un moyen d'avoir ça sur son téléphone et d'avoir une backup comme une clé USB devrait être plus raisonnable à mon sens (un peu comme les code de sauvegarde dans les double authentification)
pour ceux qui souhaient comprendre une partie des enjeux derriere cet l'authentification biometrique, il a sorti une video il y a 4ans : "Face ID, Touch ID...vraiment sécurisés ?"
très bonne vidéo comme toujours claire et concise. pour répondre à la question pour moi cette double authentification avec périphérique de confiance est déjà en cours depuis bientôt 2 ans ( banque et dans un cadre pro ( okta) donc l'avenir de la double authentification bah c'est une vieille habitude. toujours fan de tes contenus et continue.
Perso je compte adopter cette nouvelle technologie ❤🎉 j’utilise BOURSORAMA depuis mon mac et je me connecte toujours en PassKey 😎 🤩
J’ai encore des réserves, pour l’instant, mais je pense que ce serait en grande partie utilisé parce que ça simplifierait beaucoup de choses. Mais quid du vol de téléphone ? Même s’il doit y avoir une preuve biométrique rien ne nous dit quelle ne pourrait pas l’être faite sous la contrainte (scénario catastrophe je sais), ou fait à l’aide d’une photo par exemple. Et quid oui du partage? Après comme dit, je pense que via Apple où tout est lié cela a plus de chances d’être utilisé.
Aussi, ça m’ennuie déjà tellement de devoir m’authentifier via mon téléphone pour chaque achat ou connexion a ma banque, pas sûre que je sois plus patiente pour simplement me connecter sur RUclips, Pinterest, ASOS ou je sais pas quoi, ce qui reste plus pratique aujourd’hui c’est les banques de mot de passe, et Apple le fait déjà très bien..
alors 30 secondes oui et non >.< | quel "ordinateur" ? | quel algorithme utilisé ? si c'est en md5 sans salt ya pas trop de problèmes mais sha512 + un salt bonne chance avec t'es 30 secondes...
Ok, mais si je perds mon smartphone, je perds tout mes comptes à jamais ? (imaginons que je me serve que de mon smartphone pour certains services).
Alors qu'avec des mots de passes, je peux toujours d'identifier à nouveau si je l'ai noté quelques parts.
Ensuite, le visage pris en photo n'a pas l'air si sécurisé. Il suffit de trouver des photos de la personne qui en a sûrement postées sur les réseaux sociaux, et on prend sa photo en photo avec l'appareil volé. Ou carrément, on la prend en photo avant de lui voler son appareil. C'est sûr que ça complique les choses mais ça dépend, c'est aussi plus facile à trouver qu'un mot de passe par certains côtés. Surtout qu'aujourd'hui, c'est pas très compliqué de générer des mots de passe aléatoires assez compliqué, qui permettent de récupérer son compte et qui peuvent être récupéré comme j'ai dit au début.
Je trouve pour ma part que la double authentification est un excellent compromis.