[seahorse] Dévérouiller le trousseau de connexion avec fprintd (non-résolu)

[gabriel92]

Bonjour, je possède une Arch Linux + Gnome depuis un certain temps et j'en suis très satisfait. Néanmoins, je me heurte à un problème récurrent depuis que j'ai configuré la connexion via le capteur d'empreinte digitale. Celui-ci ne déverrouille pas le trousseau de connexion, ce que je dois donc faire à la main. En faisant cela, je perds tout l'intérêt d'une connexion rapide en posant simplement mon doigt. Je ne trouve pas dans les paramètres de Seahorse un moyen de déverrouiller le trousseau de connexion automatiquement au login. C'est pour quoi je demande votre aide. Au-delà de ça, je me demandais si je pouvais aussi configurer fprintd pour l'utiliser à chaque fois que je réalise une action nécessitant une authentification (comme ce qu'il y a par défaut sur Fedora). N'hésitez pas à me poser des questions pour tout renseignement supplémentaire.

Je vous remercie d'avance pour l'aide

[benjarobin]

Bonjour,
Ce que tu cherches à faire n'est pas "possible". Les développeurs ont refusé d'implémenter une telle chose (voir explication ci-dessous)
Il faut comprendre ce que fait un capteur d'empreinte et ce que fait un mot de passe :
- Un capteur d'empreinte va juste dire si l'empreinte est OK ou pas. Si c'est OK, cela déverrouille ta session, le mot de passe n'est jamais utilisé.
- Hors pour déverrouiller ton gestionnaire de mot de passe, il faut quelque chose avec suffisamment d'entropie, par une exemple une passphrase. Une empreinte ne peut pas être utilisé techniquement pour générer un secret, en effet à chaque scan de l'empreinte, ce n'est pas les mêmes informations qui sont lues par le capteur. Donc ces données brutes ne peuvent pas être utilisées pour déverrouiller le gestionnaire de mot de passe. Et comme à aucun endroit n'est stocké ton mot de passe de session sur le PC, il est impossible de déverrouiller le gestionnaire de mot de passe, car le PC ne le connaît juste pas

Je ne sais pas si ces explications te font du sens...
Pour faire ce que tu voudrais, il faudrait quelque chose comme un TPM et un capteur d'empreinte dans la même puce, et que ce composant libère la clé de déchiffrage de ton gestionnaire de mot de passe dans ce cas là.

Au-delà de ça, je me demandais si je pouvais aussi configurer fprintd pour l'utiliser à chaque fois que je réalise une action nécessitant une authentification

Voir wiki où cela est expliqué : https://wiki.archlinux.org/title/Fprint

[gabriel92]

Je crois comprendre ce que tu essayes de m'expliquer. Je déplore cela dans le sens où ça fait perdre tout l'intérêt du capteur d'empreinte dès lors qu'on doit systématiquement composer notre mot de passe en plus. Il me semble bien que Windows Hello ou encore Android s'affranchissent de ce genre de limitation et n'impose pas la composition d'un mot de passe, que ce soit pour se logger ou pour ouvrir un gestionnaire de mot de passe. Avec ce problème, je n'ai plus qu'à revenir à l'ancienne méthode (ce qui n'a rien d'un drame) mais ça me fait une fonctionnalité en moins là où aujourd'hui la biométrie s'impose partout.
Et puis comme je l'ai vu sur Fedora, je peux m'authentifier en tout avec mon doigt, ce qui avait pu me laisser penser qu'il utilisait mon mot de passe.

[benjarobin]

Windows Hello ne permet que d'ouvrir sa session (en gros).
Il n'y a pas vraiment de gestionnaire de mot de passe dans Windows (en natif) qui demande un mot de passe, je vais creuser ce point...
Sous Android il n'y a pas (en natif) de gestionnaire de mot de passe que je sache, et les applications de type Keepass nécessite bien de saisir la passphrase.

Après tu peux faire plus de chose quand tu as une maîtrise et une confiance dans la séquence de démarrage, et le système intégralement chiffré. C'est pour cela en autre que Windows 11 possède ces exigences en terme de matériel. Android et iPhone, même chose, entièrement chiffré et maîtrise de la séquence de démarrage.

Je t'ai donné un lien du Wiki qui explique comment utiliser fprint pour s’authentifier (en gros dire, oui je suis bien cette personne, tu peux me donner ces droits en particulier).
Tu dis que Fedora peux t'authentifier de partout avec ton empreinte, à part ce que je viens d'indiquer, je ne pense pas que tu puisses déverrouiller un gestionnaire de mot de passe, ou te connecter à un site Web avec...

[benjarobin]

J'étais curieux de savoir comment Windows avait implémenté la chose avec leur gestionnaire de mot de passe "Credential Manager".
Et en gros c'est le même principe, une base de donnée chiffrée avec le mot de passe de session.
Et à l'époque si on ne se connectait pas avec son mot de passe, mais avec un pin, empreinte, ... alors "Credential Manager" n'était pas fonctionnel de suite, il y avait apparemment une demande de mot de passe : https://www.confusedamused.com/notebook ... l-manager/

Apparemment après quelques année, pour gérer le déverrouillage du "Credential Manager" sans aucun mot de passe (avec une empreinte, ...), ils ont implémenté des choses plus ou moins foireuse, et bien sûr cela a été exploité : https://www.passcape.com/text/tbal.pdf

Bref ce n'est pas un sujet simple, pour faire quelque chose de pas trop foireux, il faut un disque chiffré, une complète maîtrise de la séquence de boot...
Hors sous Linux c'est un environnement assez fragmenté, en l'état actuel des choses, ce n'est pas faisable de manière sécurisé, donc les développeurs ont refusé de le faire car c'est faire croire à l'utilisateur que ses données sont sécurisés alors que ce n'est pas le cas.