Publié le: 26/07/2013 @ 20:45:19: Par zion Dans "Sécurité"
Ce billet fait suite à un article publié par les confrères du soir, qui sur un titre provocateur sur une eID non sûre, explique de manière plutôt maladroite la manière dont fonctionne une authentification sur Internet.
Avant de revenir sur le fond, un petit disclaimer s'impose, à savoir que même si la réaction ici n'est que pure technique, l'eID est un de mes outils de travail de tous les jours. Ceci étant dit, revenons en aux faits.
Dans l'article du Soir, on indique donc que l'eID pose un problème de sécurité car, si on réouvre la page de TaxOnWeb quelques secondes après l'ouverture, la connexion sera toujours active, même si vous n'avez plus l'eID en place. Non, mais allô?
Pour bien comprendre comment cela fonctionne, il faut savoir comment fonctionne l'eID, et le web. D'un côté, on a une carte qui permet de faire 3 choses: s'identifier (dire qui on est), s'authentifier (dire qui on est, et qu'on en est le propriétaire) et signer une transaction. Typiquement, pour un système critique comme TaxOnWeb, ou un système bancaire, on a besoin de s'authentifier avec le code pin, puis pour certaines actions, typiquement un virement, on doit le signer et donc remettre la carte. Si tant est donc que le système était peu sécurisé sur une réouverture de page, toute action importante devrait demander signature et donc imposer la présence de la carte.
Mais cela n'empêchera pas un accès aux données me direz-vous? Que neni. La technique utilisée par le gouvernement est ce qu'on appelle le "reverse proxy". En gros, lorsque vous vous authentifiez, le certificat SSL est regénéré avec une signature de votre carte, et cette session indique que vous en êtes le "propriétaire". Mais pour que cela fonctionne, il faut également un cookie de session chez l'utilisateur, sinon, chaque personne sur la même IP pourrait se faire passer pour vous. Le cookie est donc indispensable, et c'est grâce à lui que l'on pourra rester connecté pendant un certain temps défini par le serveur. Et c'est ce cookie de session qui semble prendre la foudre des journalistes, essayant par la même, en criant au scandale, de décrédibiliser une autre technologie.
Mais savent-ils réellement de quoi ils parlent, dans le fond? Parce que chaque banque repose sur ce même système, dont certaines ne réclament même pas de signature pour des virements. Les banques seraient donc non sécurisées? ... Vaste débat, mais pour certaines, on peut mieux faire. Et pour la session donc? Généralement, les sites fournissent un cookie avec une durée de vie, courte pour les banques, et certains proposent même de prolonger ce cookie avant qu'il n'expire. Et pourtant, la norme propose tout simplement d'envoyer une durée de vie 0, qui demande explicitement au navigateur d'oublier le cookie une fois la fenêtre fermée, et de rendre ainsi la ré-authentification obligatoire.
Quoi? Mais donc on nous raconte n'importe quoi? ... Joker, mais il faut croire que de disposer d'une technologie en avance sur de nombreux autres pays semble déranger une partie des "bobos gauchistes", qui ne se priveront jamais de critiquer plutôt que d'essayer de valoriser ce que notre pays peut faire. Est-ce réellement ce dont nous avons besoin pour le moment?
Sur ces bonnes paroles, bon weekend à tous!
Avant de revenir sur le fond, un petit disclaimer s'impose, à savoir que même si la réaction ici n'est que pure technique, l'eID est un de mes outils de travail de tous les jours. Ceci étant dit, revenons en aux faits.
Dans l'article du Soir, on indique donc que l'eID pose un problème de sécurité car, si on réouvre la page de TaxOnWeb quelques secondes après l'ouverture, la connexion sera toujours active, même si vous n'avez plus l'eID en place. Non, mais allô?
Pour bien comprendre comment cela fonctionne, il faut savoir comment fonctionne l'eID, et le web. D'un côté, on a une carte qui permet de faire 3 choses: s'identifier (dire qui on est), s'authentifier (dire qui on est, et qu'on en est le propriétaire) et signer une transaction. Typiquement, pour un système critique comme TaxOnWeb, ou un système bancaire, on a besoin de s'authentifier avec le code pin, puis pour certaines actions, typiquement un virement, on doit le signer et donc remettre la carte. Si tant est donc que le système était peu sécurisé sur une réouverture de page, toute action importante devrait demander signature et donc imposer la présence de la carte.
Mais cela n'empêchera pas un accès aux données me direz-vous? Que neni. La technique utilisée par le gouvernement est ce qu'on appelle le "reverse proxy". En gros, lorsque vous vous authentifiez, le certificat SSL est regénéré avec une signature de votre carte, et cette session indique que vous en êtes le "propriétaire". Mais pour que cela fonctionne, il faut également un cookie de session chez l'utilisateur, sinon, chaque personne sur la même IP pourrait se faire passer pour vous. Le cookie est donc indispensable, et c'est grâce à lui que l'on pourra rester connecté pendant un certain temps défini par le serveur. Et c'est ce cookie de session qui semble prendre la foudre des journalistes, essayant par la même, en criant au scandale, de décrédibiliser une autre technologie.
Mais savent-ils réellement de quoi ils parlent, dans le fond? Parce que chaque banque repose sur ce même système, dont certaines ne réclament même pas de signature pour des virements. Les banques seraient donc non sécurisées? ... Vaste débat, mais pour certaines, on peut mieux faire. Et pour la session donc? Généralement, les sites fournissent un cookie avec une durée de vie, courte pour les banques, et certains proposent même de prolonger ce cookie avant qu'il n'expire. Et pourtant, la norme propose tout simplement d'envoyer une durée de vie 0, qui demande explicitement au navigateur d'oublier le cookie une fois la fenêtre fermée, et de rendre ainsi la ré-authentification obligatoire.
Quoi? Mais donc on nous raconte n'importe quoi? ... Joker, mais il faut croire que de disposer d'une technologie en avance sur de nombreux autres pays semble déranger une partie des "bobos gauchistes", qui ne se priveront jamais de critiquer plutôt que d'essayer de valoriser ce que notre pays peut faire. Est-ce réellement ce dont nous avons besoin pour le moment?
Sur ces bonnes paroles, bon weekend à tous!
Liens
L'article sur le site du soir (325 Clics)
Plus d'actualités dans cette catégorie
Commentaires
testeurdesite:
L'eID pas sûre? Ou quand le journaliste parle technique
De l'utilité de recouper les informations, ce qui semble pourtant être le B A BA de la profession et qui passe en second face au sensationnalisme et le chiffre de vente à court terme.
rfr:
L'eID pas sûre? Ou quand le journaliste parle technique
Mais cela n'empêchera pas un accès aux données me direz-vous? Que neni. La technique utilisée par le gouvernement est ce qu'on appelle le "reverse proxy". En gros, lorsque vous vous authentifiez, le certificat SSL est regénéré avec une signature de votre carte, et cette session indique que vous en êtes le "propriétaire".
Fichtre ... cette phrase n'a rien à envier à l'article du soir ... Parce que c'est absolument incorrect.
zion:
L'eID pas sûre? Ou quand le journaliste parle technique
Contrairement au soir, tu peux me corriger, j'ai écrit en one shot, et je suis toujours ouvert aux modifs (d'ailleurs, y a un gros drapeau en dessous pour ça )
Mais oublie pas de vulgariser un peu aussi
Mais oublie pas de vulgariser un peu aussi
zion:
L'eID pas sûre? Ou quand le journaliste parle technique
Et je rajouterais... plutôt que de dire "tu t'es planté" ou "c'est nul", merci de justifier. La critique constructive, c'est quand même vachement mieux.
Ou alors on est en Belgique, et on doit juste critiquer
Ou alors on est en Belgique, et on doit juste critiquer
H2G2:
L'eID pas sûre? Ou quand le journaliste parle technique
Citation de: "zion"
il faut croire que de disposer d'une technologie en avance sur de nombreux autres pays semble déranger une partie des "bobos gauchistes", qui ne se priveront jamais de critiquer plutôt que d'essayer de valoriser ce que notre pays peut faireTu sais ce qu'ils te disent les bobos gauchistes?
Je comprends l'agacement, mais c'est quand même une drôle d'idée de politiser un débat technique, hein.
zion:
L'eID pas sûre? Ou quand le journaliste parle technique
Non c'est pas une drôle d'idée, c'est la réalité
Ceux qui critiquent le plus cette technologie sont ceux qui y comprennent le moins, et l'associe à un outil du pouvoir pour les opprimer. Ils en font une guerre de principe. C'est minoritaire, mais agaçant, comme l'époque de ceux qui ne voulaient pas de gsm, et qui aujourd'hui ont tous un iPhone en poche
Ceux qui critiquent le plus cette technologie sont ceux qui y comprennent le moins, et l'associe à un outil du pouvoir pour les opprimer. Ils en font une guerre de principe. C'est minoritaire, mais agaçant, comme l'époque de ceux qui ne voulaient pas de gsm, et qui aujourd'hui ont tous un iPhone en poche
H2G2:
L'eID pas sûre? Ou quand le journaliste parle technique
C'est une posture idéologique, là , on est d'accord mais politique... en termes de clivage gauche-droite (d'autant que les bobos gauchiste sont eux-mêmes un peu au pouvoir, j'ai le pénible devoir de t'en informer), je ne crois vraiment pas
Sinon, c'est pas seulement Le Soir, c'est aussi l'Avenir, la rtbf, rtl, bref c'est l'agence Belga, quoi
Sinon, c'est pas seulement Le Soir, c'est aussi l'Avenir, la rtbf, rtl, bref c'est l'agence Belga, quoi
zion:
L'eID pas sûre? Ou quand le journaliste parle technique
Oui, c'est Belga, autant pour moi.
Mais Le Soir l'a mis en première page en gros
Je n'ai rien contre les bobos gauchistes, juste les bobos gauchistes qui croient qu'ils savent, les bobos craignos sapiens
Les autres, je les aime bien moi.
C'est une critique récurrente du pouvoir qui est faite pour effrayer les masses avec des arguments biaisés. C'est tout sauf constructif
Mais Le Soir l'a mis en première page en gros
Je n'ai rien contre les bobos gauchistes, juste les bobos gauchistes qui croient qu'ils savent, les bobos craignos sapiens
Les autres, je les aime bien moi.
C'est une critique récurrente du pouvoir qui est faite pour effrayer les masses avec des arguments biaisés. C'est tout sauf constructif
zion:
L'eID pas sûre? Ou quand le journaliste parle technique
Ces derniers mois j'ai vu des dizaines de projets en wallonie, plein de petites boîtes qui font des supers trucs, et qui démontré à des boîtes leaders à l'étranger inspire le respect.
Dans la même délégation, un bus entier de journalistes.
Et on retient quoi dans les gros titres?
Que l'avion a fait demi tour, que mickey a de grandes oreilles, et quelques autres bêtises. S'intéresser à ce que font les belges? Ah mais faut pas trop demander monsieur, ça fait pas vendre de journaux ça...
C'est un petit coup de gueule, et ça fera juste "pschiiit", mais au moins je dormirai l'esprit plus tranquille ce soir
Dans la même délégation, un bus entier de journalistes.
Et on retient quoi dans les gros titres?
Que l'avion a fait demi tour, que mickey a de grandes oreilles, et quelques autres bêtises. S'intéresser à ce que font les belges? Ah mais faut pas trop demander monsieur, ça fait pas vendre de journaux ça...
C'est un petit coup de gueule, et ça fera juste "pschiiit", mais au moins je dormirai l'esprit plus tranquille ce soir
Clandestino:
L'eID pas sûre? Ou quand le journaliste parle technique
zion >
Le peuple ne veut pas de l'actu-vérité, il veut de l'actu-sensation qui lui fasse oublier la grisaille de tous les jours, fût-ce au prix d'une relative approximation. Et si c'est carrément portnawak, tant mieux si ça fait vendre !
Le peuple ne veut pas de l'actu-vérité, il veut de l'actu-sensation qui lui fasse oublier la grisaille de tous les jours, fût-ce au prix d'une relative approximation. Et si c'est carrément portnawak, tant mieux si ça fait vendre !