Les cartes bancaires biométriques sont-elles une vraie avancée ou du bullshit marketing ?

Introduction : Les cartes bancaires biométriques commercialisées en Europe depuis 2021 par Thales et IDEMIA utilisent le “match-on-card” : l’empreinte reste sur la carte et ne sort jamais vers le commerçant, la banque ou un serveur, contrairement à une base biométrique centralisée. Le narratif “fin du code à quatre chiffres” est faux : quasi toutes les implémentations gardent un fallback PIN pour les cas où le capteur foire ou pour les retraits au DAB, ce qui signifie que le maillon faible du PIN persiste en option. La biométrie pose des risques structurels non documentés publiquement : elle n’est pas révocable contrairement à un code, les capteurs de carte sont moins denses que ceux des iPhone et potentiellement plus contournables par moulage, et l’enrôlement via smartphone reste opaque sur ses détails de sécurité.

Extrait : Le sujet de la mise sous pression par des affreux bandits, mérite aussi une mention. Parce qu’avec un code PIN, si on vous menace devant un DAB, vous pouvez théoriquement saisir un faux code (certaines cartes ont même une notion de " code sous contrainte " qui bloque la carte directement). Alors qu’avec un doigt, on vous chope la main et force et voilà… La jurisprudence américaine est d’ailleurs intéressante là-dessus puisqu’un un juge peut vous obliger à poser le doigt sur un TouchID, mais pas à donner votre code PIN par respect du 5e amendement. En France le débat est un peu différent mais analogue. C’est un petit détail légal mais personne ne l’aborde non plus pour tout ce qui est sécurité biométrique en général.

Note du rédacteur : Il ne faut pas non plus oublier que bourré ou sous GHB, peu de chance de révéler son code PIN, alors que je faire “emprumter son doight et ne pluss’en souvenir s’est facile ! L’idéal serait code PION + empreinte !!

https://korben.info/cartes-bancaires-biometriques-empreinte-fin-code-pin.html