Etes-vous un geek ?

Le Geek… cet individu à la fois touchant et mystérieux, le geek semble être perpétuellement perdu dans un monde brumeux connu et compris de lui seul et quelques-uns de ses semblables.

Le Geek est, sans conteste, doué d’une connaissance extrêmement pointue dans un art, un sujet, une discipline, un domaine particulier, au point qu’il se contente difficilement d’autre chose.

Le geek ne fait pas trop attention à son apparence. Il s’habille en général avec des jeans et des t-shirts achetés sur ce genre de boutiques, ornés de messages ou d’images dont personne ne comprend la signification (OpenSSH Rulez, I love Tux, Tux fucked Bill…), sauf quelques-uns, ce qui renforce certainement son sentiment d’appartenance à un groupe.

En société, le geek ne plaisante pas comme les autres, il balance des vannes incompréhensibles pour le non-initié, le geek informatique répond souvent « 42 » aux questions et, comme il est en général le seul à comprendre (sauf s’il est en réunion avec d’autres geeks), en déduira que vous n’êtes pas l’un de ses semblables et se renfermera sur lui-même sans ouvrir la bouche de la soirée.

Le Geek informatique par exemple plaisantera avec une aisance toute particulière sur des sujets qui pourtant ne s’y prètent guère : un disque dur lent, un langage de programmation quelconque, une architecture système, un microprocesseur, son grand sujet de prédilection étant bien évidemment la guerre Linux – Windows (c’est bien sur une généralité… il existent des geeks qui plaisantent également sur la famille BSD voire HP-UX, Solaris ou MacOS …).

Vous voyez de quoi je parle et à la lecture de ce court article vous vous êtes reconnu ? Don’t panic dirait le geek informatique en général fan de Douglas Addams. Allez tout de suite faire le Geek Test 🙂

Connaissez-vous la différence entre « identification » et « authentification » ?

La biométrie est à la mode, elle fait son apparition dans les aéroports pour l’ouverture des portes et le passage en zone sécurisées, sur les ordinateurs ou les téléphones haut-de-gamme pour reconnaître le propriétaire et donner accès au système, et la commission Européenne ouvre un portail de la biométrie.

Naturellement, progresse donc le sujet du recours systématique à la biométrie dans notre vie de tous les jours : contrôles de police, paiement… On parle même du remplacement des cartes de crédit par les empreintes digitales.

Ce recours à la biométrie, tel qu’il est présenté par les médias, présente plusieurs avantages pour le grand public (pas de code secret à retenir, pas de carte à porter sur soi, …). Pour moi comme pour les spécialistes de la sécurité, la réalité est tout autre.

Prenons un exemple parlant. Aujourd’hui, pour payer par carte bleue un CD à la FNAC, deux notions entrent en jeu.

La première est l’identification du débiteur (= qui suis-je ?). La carte bleue, personnelle et nominative, matérialise cette identification.

La seconde notion est l’authentification (preuve d’identité) du débiteur qui présente la carte (= prouver que je suis bien celui que je prétends être). Cette preuve est apportée par le code secret à 4 chiffres, connu du seul possesseur de la carte. Ce n’est que lorsque cette preuve est vérifiée qu’on peut lier avec une quasi-certitude le « propriétaire » de la carte avec le  »compte à débiter ».

Les deux notions identification et authentification sont indissociables et contribuent au paiement sécurisé.

L’arrivée de la biométrie, à grand renforts de révolution annoncée par les médias, va poser un problème, celui de l’amalgame qui est fait entre l’identité et la preuve d’identité.

On veut nous vendre, demain, des systèmes biométriques qui ne nécessiteront plus le recours aux mots de passe ni aux codes secrets, qui autoriseront une transaction bancaire, ouvriront un sas sécurisé (…) après la seule reconnaissance d’une empreinte digitale, d’un contour facial, d’échantillon d’ADN ou d’une reconnaissance d’iris.

On nous dit que ces moyens seront inviolables.

Je réponds : c’est faux!

Est-ce parce qu’un lecteur électronique détecte mes empreintes digitales que je suis nécessairement présent physiquement derrière mon doigt ? Il y a quelques mois, on apprenait que le possesseur d’une Mercedes, qui démarrait avec la seule apposition du doigt de son propriétaire sur un lecteur, se faisait voler son véhicule et couper le doigt :-/

La faille ? L’idenfication du propriétaire (par les empreintes digitales) sans apport d’une quelconque preuve d’identité.

La biométrie est envisagée aujourd’hui comme un moyen mixte d’identification et d’authentification alors qu’elle devrait être seulement utilisée pour l’identification des individus.

Se posent, en outre, d’importants problèmes autour de la révocation.

Concrètement que se passe-t-il aujourd’hui lorsqu’on me vole ma carte bleue ? J’appelle la banque qui révoque ma carte (elle ne sera plus reconnue au sein du système bancaire).

Que se passera-t-il demain si l’on me prélève à mon insu un échantillon de salive ?? J’appellerai ma banque qui révoquera mon ADN ? Ceci dit, si l’on me « révoque » l’iris de l’oeil droit, il m’en restera celui de l’oeil gauche… mais que se passera-t-il si l’on révoque mon second iris ? On jouera avec mes 10 doigts jusqu’à les révoquer un à un ?

Preuve est faite, là encore, que la biométrie ne doit pas être considérée comme un moyen d’authentification, authentification qui doit être révocable à souhait en cas de compromission de mes authentifiants.

Alors, quand je lis par exemple sur http://www.biometrie-online.net que la biométrie permet de vérifier que l’usager est bien la personne qu’il prétend être., où quand je vois un peu partout que la majorité des médias et des politiques persistent dans l’idée reçue que identification et authentification sont synonymes, j’ai peur…

Pour approfondir:

Connaissez-vous le Google Bombing ?

Le principe est simple. Google et ses confrères fonctionnent sur un principe plutôt efficace. Plutôt que se baser uniquement sur la sémantique des pages indexées et les mots clé renseignés par les webmasters, le moteur de recherche va également, pour établir la popularité d’une page, tenir compte du nombre de liens qui pointent vers cette page, ainsi que des mots clé associés dans les dits liens.

Lire la suite