Auchan expérimente le paiement biométrique

[YannDutch]

Pour le moment, je ne vois personne répondre à mes questions

Vous nous expliquez — simplement avec vos propres mots — ce qui est *concrètement* enregistré, et où ? Et ce que l'on peut faire de « mal » avec ces informations ? Je ne parle pas ici de quelque chose de général, mais bien du système mis en place ici par Auchan.

Je vous assure quand quand vous allez réaliser comment fonctionne réellement le système utilisé dans cette histoire, vous allez avoir des surprises : ça ne marche pas comme vous pourriez le croire Je suis bien placé pour le savoir : j'ai suivi le développement d'outils qui sont derrière ça

Je plussoie Fred sur le ton con-descendant de vos interventions. Si j'ai posté ce sujet c'est aussi pour avoir des éclaircissements, des explications et non pas pour recevoir ce type de remarques.

J'espère que ces quelques explications, certes faite avec mes mots, vous conviennent? Maintenant vous pouvez peut-être m'apporter vos "lumières" et explications puisque vous avez suivi le développement de ces outils. Parlez nous par exemple de ça :

Par contre, l'industrie est loin d'avoir un accord — même de principe — sur les standards à utiliser.

Quels standards? Pourquoi l'industrie est-elle loin d'avoir un accord? Quel accord?

(mais par pitié faites le avec mes mots que je puisse espérer comprendre ce que vous dites).

[Damien Clauzel]

Les données collectées (Empreintes digitales/réseaux veineux du pouce + information bancaire) ne sont pas centralisées (pour le moment) mais stockées et cryptées sur la carte du consommateur, visiblement la banque ne possède pas de copie du fichier mais les données doivent bien être stockées ailleurs pour que la reconnaissance puisse avoir lieu (pour qu'il y ai comparaison il doit bien y avoir deux sources?).

Rapidement :

Le principe d'identification repose sur les 3 — qui sont désormais 4, d'ailleurs — éléments d'identité : ce que je sais, ce que je suis, ce que je possède (et je ce que fais). La vérification de biométrique remplace ici l'aspect « ce que je sais » du mot de passe par « ce que je suis »; le « ce que je possède » ne change pas, il reste la carte de paiement. C'est un classique schéma d'identification à 2 niveaux.

La carte des veines n'est pas une donnée relevable a posteriori, comme les empreintes digitales. La lecture se fait par contact immédiat : on ne peut donc pas « voler » cette empreinte (qui n'est d'ailleurs techniquement pas une empreinte, mais bon).

La banque ne stock pas les cartes veineuses des personnes, mais leurs signatures cryptographiques. On ne peut pas inverser cette signature pour générer une carte veineuse d'une personne. Pareillement, une signature de carte veineuse ne peut pas identifier une personne, on peut simplement la comparer avec une autre signature de carte veineuse et dire si elles sont identiques ou non. C'est la même approche qui est utilisée pour les mots de passe : on ne stock pas l'information mais sa signature. En elles mêmes, les signatures de cartes veineuses n'apportent aucune information, et ne peuvent être réutilisées qu'avec une technologie identique utilisant la même méthode de traitement. Il est possible de générer des signatures différentes à partir d'une même carte veineuse, via le salage. Sans connaître la valeur de ce sel cryptographique, on ne peut pas recréer la signature.

Pour l'aspect de non-centralisation, la signature de la carte veineuse de la personne est stockée sur sa propre carte. La comparaison entre le relevé biométrique et la signature se fait localement, sans passer par un fichier central : il n'y a donc pas de grand catalogue qui contient toutes les signatures des clients. Chaque personne conserve la possession sur sa signature. Donc impossible pour un tiers de voler l'ensemble de ces données.

Je vous invite vraiment à aller discuter avec les ingénieurs de la boîtes qui ont mis en place le système (ben oui, ce n'est pas Auchan qui fabrique le dispositif, mais un industriel :). L'article de presse est bourré d'imprécisions, mais pas fondamentalement faux. Auchan a également un service de presse qui répond au questions des gens, contactez-les pour avoir des précisions sur cette mise en place.

[Kyle Butler]

Au delà de l'aspect technique, c'est la généralisation d'usage d'une technologie pouvant potentiellement engendrer des dérives qui m'inquiète. On habitue le citoyen lambda au fichage pour un rien sous prétexte que c'est pratique. Tranquillement ça devient banal et tout le monde trouve ça normal. Et quand la même techno sera massivement utilisée par les états, tout le monde trouvera ça pratique et ne verra rien à y redire.

Comment expliquer que la carte d'identité et le passeport soient passés au biométrique sans même le moindre débat de société ? Là est le vrai problème.

[Solarus]

Damien, ton expertise technique est intéressante, mais c'est le problème éthique qui nous interpelle.
Personne ne remet en cause les techniques biométriques, leur utilisation ne doit pas être totalement interdite, mais contrôlée.

Il y a la technologie, et l'usage que l'on en fait.
OGM, Nucléaire, Génie génétique, Biométrie,les drones, toutes ces techniques sont une avancée pour l'humanité, mais mal utilisées elles représentent un recul sur le plan sociétal et humain.

Si vous voulez un rappel historique, voici de quoi vous rafraichir la mémoire : Development of Substitute Materials https://fr.wikipedia.org/wiki/Projet_Manhattan

C'est là qu'est le débat, je t'invite à y prendre part.

[flct]

Les données collectées (Empreintes digitales/réseaux veineux du pouce + information bancaire) [...] contactez-les pour avoir des précisions sur cette mise en place.

Donc merci, c'est exactement ce que nous avions compris. Le débat a évolué à un autre niveau : l'utilité. Que cela soit mis en place pour sécuriser l'accès à un espace physique, je suis d'accord, j'ai beaucoup plus de mal pour le justifier pour payer en supermarché. Autre problème : Pour le moment c'est acceptable mais par la suite, est-ce que cela le sera toujours ? Par exemple, la carte d'identité (fichage acceptable) qui devient biométrique (dérive).[/quote]

une signature de carte veineuse ne peut pas identifier une personne

Non on est d'accord car il n'y a pas de correspondances entre la signature et la personne dans un fichier central. Enfin, indirectement si car la signature est présente sur la carte qui elle même porte un nom et un numéro. Tout comme lors du paiement, à un moment donné le système est au courant des deux informations.

C'est la même approche qui est utilisée pour les mots de passe : on ne stock pas l'information mais sa signature

L'objectif n'est pas le même mais ce n'est pas grave.

ben oui, ce n'est pas Auchan qui fabrique le dispositif, mais un industriel

Sans rire ?!?!!! ah merci moi je pensais que c'était vraiment Auchan ! 'tain c'hui con ! <==

[gna]

moi ça me grattouille ce truc , que des industriels cherche à la place des posteurs chercheurs, normal leurs buts c'est de développer pour gagner ....
Par contre qu'on viennent me sortir que ce machin c'est pour faire gagner du temps de payement au caisse là
De tout ceux qui on répondu combien font leurs courses en supermarché
Parce que depuis que je remplace ma moitié pour les courses....., je peu dire que c'est pas au payement qu'on perd du temps c'est parce qu'il n'y a pas de caissière ou pas assez , alors faut arrêter si auchan & C° pousse c'est qu'il y un intérêt mais pas pour le client, je pense que c'est plutôt là qu'il faut "chercher" ....