Tu as écris un truc factuel : tu as clairement dit que l'identification par PIN était plus sûre que l'identification par empreintes, et je n'ai trouvé aucun document qui pourrait aller dans ce sens. Au contraire, j'ai trouvé des documents qui prétendaient le contraire, dont ce fameux document issu du CERN, qui sont confrontés à des problèmes de sécurité informatique assez substantiels, et qui ne sont donc pas à priori des bouffons.
En sécurité, on peut raconter n'importe quoi si on confond le risque réel, le risque potentiel, le danger, les estimations théoriques et les risques en pratique, etc. Pour le cas concret des cartes de payement, tu as tout un tas de facteurs logistiques, économiques, commerciaux, et réglementaires à prendre en compte, et je ne comprends pas comment tu peux évaluer comme ça les rapports coûts/bénéfices des trois options possibles (PIN tout seul, empreintes toutes seules, ou les deux combinés).
Je me demande du coup sur quel genre de site on est. Est-ce que l'objectif c'est de faire une sorte de catharsis collective pour conjurer un traumatisme d'entretiens d'embauches dans la DSI des banques qui se sont mal passés, ou est-ce qu'on essaye de comprendre la logique de sécurisation des moyens de payement?
Si c'est le premier, alors: C'tous des bouffons les banquiers, genre ils se renseignent même pas sur Linuxfr avant de demander à ChatGPT de coder leur appli..
Si c'est la deuxième, je me permettrais de remettre en question la vraisemblance d'un scénario où quelqu'un achète tes empreintes sur le dark web, te retrouve, imprime un faux doigt avec tes empreintes, te suive, te pique ta carte, et utilise le faux doigt pour valider les achats. Je ferais aussi remarquer que des doigts on en a plusieurs.
Ceci par contre ne tient pas pour la carte d'identité, pour laquelle on numérise tous ses doigts (seulement ceux de la main droite de mémoire), et surtout où on peut imaginer des sources de motivation un peu plus crédibles que de tirer 80€ avant que la carte soit mise en opposition.
Dans tous les cas, comme les fraudes au moyen de payement sont prises en charge par les banques, je ne vois pas tellement la raison pour laquelle elles développeraient un système qui est par nature troué. Elles ont très probablement étudié la question et en ont probablement conclu que les trous du nouveau système étaient moins problématique que ceux de l'ancien.
[^] # Re: La pétition ne mentionne pas les bonnes alternatives
Posté par arnaudus . En réponse à la dépêche Banques en ligne : l’authentification forte doit-elle imposer Android ou iPhone ?. Évalué à 3 (+1/-1). Dernière modification le 28 avril 2026 à 15:29.
Tu as écris un truc factuel : tu as clairement dit que l'identification par PIN était plus sûre que l'identification par empreintes, et je n'ai trouvé aucun document qui pourrait aller dans ce sens. Au contraire, j'ai trouvé des documents qui prétendaient le contraire, dont ce fameux document issu du CERN, qui sont confrontés à des problèmes de sécurité informatique assez substantiels, et qui ne sont donc pas à priori des bouffons.
En sécurité, on peut raconter n'importe quoi si on confond le risque réel, le risque potentiel, le danger, les estimations théoriques et les risques en pratique, etc. Pour le cas concret des cartes de payement, tu as tout un tas de facteurs logistiques, économiques, commerciaux, et réglementaires à prendre en compte, et je ne comprends pas comment tu peux évaluer comme ça les rapports coûts/bénéfices des trois options possibles (PIN tout seul, empreintes toutes seules, ou les deux combinés).
Je me demande du coup sur quel genre de site on est. Est-ce que l'objectif c'est de faire une sorte de catharsis collective pour conjurer un traumatisme d'entretiens d'embauches dans la DSI des banques qui se sont mal passés, ou est-ce qu'on essaye de comprendre la logique de sécurisation des moyens de payement?
Si c'est le premier, alors: C'tous des bouffons les banquiers, genre ils se renseignent même pas sur Linuxfr avant de demander à ChatGPT de coder leur appli..
Si c'est la deuxième, je me permettrais de remettre en question la vraisemblance d'un scénario où quelqu'un achète tes empreintes sur le dark web, te retrouve, imprime un faux doigt avec tes empreintes, te suive, te pique ta carte, et utilise le faux doigt pour valider les achats. Je ferais aussi remarquer que des doigts on en a plusieurs.
Ceci par contre ne tient pas pour la carte d'identité, pour laquelle on numérise tous ses doigts (seulement ceux de la main droite de mémoire), et surtout où on peut imaginer des sources de motivation un peu plus crédibles que de tirer 80€ avant que la carte soit mise en opposition.
Dans tous les cas, comme les fraudes au moyen de payement sont prises en charge par les banques, je ne vois pas tellement la raison pour laquelle elles développeraient un système qui est par nature troué. Elles ont très probablement étudié la question et en ont probablement conclu que les trous du nouveau système étaient moins problématique que ceux de l'ancien.