Blizzpartners commercialise en France un lecteur d'empreintes digitales
eikon, qui a comme spécificité intéressante d'être accompagné de logiciels Mac, donc utilisable avec les ordinateurs Apple.
C'est un lecteur d'empreinte de bureau, bien dessiné et fini. Pesant 65 g avec son cordon (32 g pour le lecteur seul), il est bien stable grâce à une surface antidérapante en dessous et des dimensions normales (84 mm x 34 mm x 14mm). Cependant, ce n'est pas un appareil conçu spécifiquement pour le Mac, et la forme est assez loin des canons habituels chez Apple. Les utilisateurs de souris Logitech seront moins dépaysés que ceux des souris Apple :
On aurait pu imaginer un dessin en harmonie avec les derniers clavier Alu d'Apple...
Le cordon USB est suffisamment long (177 cm) pour être connecté assez loin d'un Mac de bureau, même un Mac Pro sous le bureau, sans rallonge. Pour utiliser les logiciels et donc le lecteur, le Mac doit fonctionner avec Mac OS Tiger (10.4) ou Mac OS Leopard (10.5), avec une nette préférence pour ce dernier, dont la nouvelle gestion de l'authentification ouvre plus de possibilités.
Le lecteur est livré avec un petit manuel en anglais et en français et le disque d'installation :
Connecté au Mac, le lecteur est identifié comme un "USB 1 Biometric Coprocessor", soit un coprocesseur biométrique USB en français :
Venons en à la particularité du produit : un logiciel Mac. Le CD contient une version 1.1 du logiciel Protector Suite pour Mac. Il existe une version 1.2 qui ajoute une prise en charge basique du réseau (voir
http://www.upek.com/mac/download/ )
On notera avec satisfaction qu'une désinstallation est prévue dès l'origine. Celle-ci est même copiée sur le disque dur du Mac (dans un dossier Protector Suite dans Applications) lors de l'installation du logiciel : bravo, car ce type de logiciel dépose des fichiers et réglages dans plusieurs endroits !
Nous voilà rassuré sur le coté "Mac" de l'application, alors qu'il arrive que l'adaptation Mac soir parfois bâclée. Pourtant, les réglages auraient pu logiquement trouver leur place dans un panneau de préférence, et non dans une application autonome. N'est-ce pas la que se trouve le support du matériel ?
Le Mac reste cependant en retrait dans les fonctionnalités du logiciel. On aurait aimer une intégration plus poussée avec la sécurisation des images disques (pour faire le pendant du Coffre de la version Windows) mais surtout la fonction d'import/export des codes d'empreintes pour prévenir la défaillance et le remplacement du lecteur. Cette fonction critique est présente dans la versin Windows, mais pas dans l'application Mac, même dans la dernière version.
Au premier lancement, il est proposé un didacticiel pour apprendre à bien "glisser" le doigt afin que la lecture se passe bien :
On peut ensuite passer à l'enregistrement des empreintes, avec le choix des doigts :
Ici, on a choisi le plus classique (index droit), mais on peut en choisir un autre pour tromper les petits malins qui chercheraient à utiliser une copie d'empreinte...
Le reste de l'utilisation est simple : selon les réglages de sécurité choisis (empreinte seule, empreinte et mot de passe, empreinte ou mot de passe), il peut suffire de glisser le doigt pour ouvrir une session ou authentifier une action comme administrateur du Mac.
Quelle est l'utilité d'un tel lecteur ?
Pour bien comprendre, il faut revoir quelques notions de sécurité puis de biométrie.
En informatique, il est important d'authentifier l'utilisateur d'un service. Communément, cela passe par l'ouverture d'une session sur un ordinateur. Pour nous, l'ouverture de session du Mac. Lors d'une telle ouverture de session, il y a deux phases distinctes : l'identification (qui est-ce ? Choix d'un utilisateur dans une liste ou saisie du nom d'utilisateur) et la vérification (est-ce bien l'utilisateur ? Saisie d'un mot de passe et vérification que c'est bien celui de l'utilisateur choisi). A la fin de l'authentification, le système estime que l'utilisateur déclaré est le bon, grâce au couple classique nom + mot de passe. Nous connaissons, avec d'autres systèmes informatiques (téléphone, CB), d'autres systèmes d'authentification : carte + code, etc.
Un lecteur biométrique a la particularité de pouvoir assurer les deux phases simultanément : reconnaissance de l'utilisateur puis vérification. A noter que c'est optionnel : vous pouvez demander au lecteur de n'assurer qu'une des deux fonctions : identification de l'utilisateur (il faut saisir un mot de passe en plus pour la vérification) ou vérification (il faut choisir l'utilisateur avant de lire l'empreinte). Dans un environnement bien sécurisé (réseau centralisé), on ne laisse souvent que la vérification au lecteur biométrique.
L'utilité d'un lecteur biométrique apparaît alors plus clairement : il permet d'augmenter la sécurité des accès, en se passant de l'utilisation des mots de passe, dont nous connaissons les dérives classiques : oubli, transmission orale ou même écrite, simplicité engendrant des failles de sécurité, etc. Le plus grave étant l'usurpation d'identité, bien trop fréquente et facile !
Certes il est possible de copier une empreinte digitale pour tromper un lecteur, mais c'est infiniment plus dur que de trouver, demander, deviner ou "casser" un mot de passe trop simple. Si cela vous inquiète, utilisez l'empreinte de votre auriculaire gauche (pour les droitiers), le faussaire risque d'avoir beaucoup de travail avant de passer cette barrière !
Sur un ordinateur individuel, on pourra donc utiliser le lecteur en remplacement d'un mot de passe très complexe et vraiment confidentiel, qui sera stocké dans un endroit sécurisé. Le niveau de sécurité augmenter ainsi énormément, sans compliquer la vie de l'utilisateur. Remplacer totalement le mot de passe par le lecteur nous parait risqué : comment faire si le lecteur est défectueux ou égaré ?
Le lecteur n'étant pas attaché physiquement au Mac, on voit d'ailleurs qu'il est peu adapté à une utilisation sur portable, le risque de se retrouver avec le portable sans lecteur biométrique étant important... Il existera une version portable du lecteur (Eikon To Go) mais qui ne sera toujours pas attaché, juste plus compacte. Pour les portables, la vraie solution est le lecteur intégré, ce que Apple n'a pas encore jugé bon de proposer.
Dans un petit réseau, on pourra même envisager de centraliser des mots de passe complexes (auprès d'un dirigeant ou d'un administrateur), ne laissant aux utilisateurs que l'accès via le lecteur biométrique. Ainsi, pas de mot de passe égaré, oublié, transmis à un tiers ou autre trou béant dans la sécurité informatique d'une entreprise !
Les codes d'empreintes digitales (et non les empreintes elles-même) étant enregistrés dans le lecteur avec le code utilisateur, il est possible de balader "son" lecteur de poste en poste, si les mêmes comptes utilisateurs sont déjà ouverts et si le logiciel est installé. Cela peut être pratique dans un petit groupe de travail.
Le système d'enregistrement (probablement des "hash codes" cryptés) ne permet pas de reconstituer l'image des empreintes à partir des données figurant dans le lecteur. A noter que le lecteur ne peut enregistrer que 15 empreintes différentes, sachant que chaque utilisateur peut en enregistrer plusieurs.
Dans un grand réseau, il reste à intégrer les lecteurs biométrique dans les services d'annuaire, comme OpenDirectory (Mac) ou ActiveDirectory (Windows) pour que les utilisateurs soient authentifiés sur tous les postes dotés de lecteurs, sans devoir refaire l'enregistrement des empreintes sur chaque poste. Ce sera l'objet d'un autre développement, en testant le dernière version du logiciel Protector Suite. Cela passe par le stockage des code d'empreintes sur le serveur d'annuaire et plus dans le lecteur.
Le lecteur eikon est donc une bonne réponse à une demande de sécurisation élevée d'un Mac, sans augmenter la difficulté d'accès. Comme une bonne serrure, il aura d'ailleurs un effet dissuasif pour un usurpateur moyennement motivé ou compétent...