Est-il sûr de laisser les applications utiliser Touch ID sur un appareil iOS?

Certaines applications permettent de se connecter via Touch ID (par exemple, les applications bancaires).

Je sais qu'il est relativement sûr d'utiliser cette fonctionnalité tant que personne n'a un accès illicite à mes empreintes digitales et que l'appareil n'est pas physiquement accessible.

Mais que faire si la base de données de l'application est compromise ?

Quel type d'information sera divulgué? Quel type d'actions pourrait-on entreprendre avec ces informations? IOS protège-t-il ces informations contre les fuites? Est-ce documenté quelque part?

Je peux deviner que l'application n'aura pas accès directement à la photo d'empreinte digitale, il devrait y avoir une sorte de hachage qui ne permet pas de restaurer l'empreinte digitale d'origine. Dans le cas idéal, iOS ne permettrait même pas à l'application d'accéder à un hachage, mais fournirait un moyen d'autorisation.

L'application n'a pas accès aux données d'empreintes digitales stockées sur l'appareil. L'API fournie par Apple indique à l'application si le processus d'authentification a réussi avec une simple valeur oui / non. Aucun hachage n'est fourni. Voici la documentation .

Les données d'empreintes digitales sont également stockées dans "Secure Enclave" de l'appareil et ne sont pas accessibles.

Le Secure Enclave fait partie des puces A7 et plus récentes utilisées pour Touch ID. Au sein de Secure Enclave, les données d'empreintes digitales sont stockées sous une forme chiffrée qui - selon Apple - ne peut être déchiffrée que par une clé disponible par Secure Enclave, ce qui rend les données d'empreintes digitales bloquées du reste de la puce A7 et du reste d'iOS .

Source: Le wiki de l'iPhone

Oui, il est parfaitement sûr d'utiliser Touch ID sur iPhone.

Les applications qui utilisent Touch ID n'ont pas accès à votre empreinte digitale, ni à aucun hachage généré à partir de votre empreinte digitale. L'application ne traite pas elle-même la correspondance des empreintes digitales, elle appelle plutôt l'API Touch ID (système) qui enverra ensuite le résultat à l'application. Ainsi, tout ce que l'application recevra est soit trueou false, selon qu'elle réussit.

Ainsi, l'application n'a pas besoin d'avoir accès à tout type de hachage et tout le processus Touch ID est effectué par le système de votre iPhone (iOS), de la même manière que vous déverrouillez votre téléphone avec Touch ID.

Comme l' explique 9to5mac :

Lorsqu'un développeur souhaite qu'un utilisateur d'application s'authentifie, il ne s'implique pas dans le détail de la façon dont cette authentification est effectuée. Ils utilisent simplement du code qui demande à iOS de le faire pour eux - ce qu'Apple appelle le cadre d'authentification locale.

(c'est moi qui souligne)

Et AppleInsider explique:

Apple a gardé Touch ID en sécurité en ne fournissant pas aux applications un accès aux données d'empreintes digitales stockées sur l'enclave sécurisée d'un iPhone . L'invite qui apparaît est la même que celle qu'Apple utilise déjà pour autoriser les achats iTunes et App Store.

(c'est moi qui souligne)

Oui, c'est totalement sûr.

Vos données Touch ID sont stockées localement sur votre appareil et ne sont pas accessibles par Apple ou tout autre tiers.

Lorsque vous utilisez Touch ID pour une application tierce par exemple, il autorisera votre accès localement et l'application ne verra pas vos données d'empreintes digitales, seulement que votre iPhone l'a autorisé.

J'utilise personnellement Touch ID pour mon application PayPal ainsi que quelques autres services fiables.

(Si vous êtes inquiet, ne l'utilisez peut-être pas pour des entreprises en qui vous n'avez pas entièrement confiance - même s'il leur est physiquement impossible de voir vos données Touch ID.)