10/10/2005 @ 18:33:16: Belgique - La carte d'identité électronique sur les sites de chat?
La technologie s'implante chez nous, l'eID s'est déjà installée sur plusieurs sites de conversations et de chat en ligne, à savoir SeniorenNet et KidCity.
SeniorenNet est, apparemment, une première mondiale et son public est, comme le nom l'indique, le 3ème âge. KidCity on s'en doute aussi facilement, a un public plus jeune, estimé à 12-15 ans en moyenne. Ces deux sites proposent donc à tout le monde de s'identifier via sa carte d'identité pour permettre ainsi une meilleure authentification des personnes. Votre enfant de 12 ans saura alors si le camarade avec qui il discute a bien 13 et pas 43 ans.
Petit bémol par contre, alors que tous les enfants qui fêtent leur 12ème anniversaire cette année peuvent recevoir un lecteur de carte gratuit (on estime le chiffre à 120.000 enfants), le lecteur est plutôt difficile à trouver. J'avoue moi même avoir eu du mal à trouver un prix et un magasin ou on pourrait se l'approprier pour que les PMEs puissent intégrer ce système, dommage.
Savonnoir> Bonne url, j'en ai eu une autre en main et je n'ai eu que des liens vers qqs sites (aussi renseignés la) qui n'ont aucun prix ni aucun moyen de commande. Merci
Bon par contre, le developper kit à 1000 EUR, c'est pas un rien exagéré?
Enfin, y a des lecteurs à - de 50EUR, je réfléchirai pour essayer
Dernière édition: 10/10/2005 @ 20:38:56
L'intention est peut-être louable présentée comme ça, mais pour moi ce genre de techno ultra-intrusive, c'est le mal
Hors de question que je m'identifie "physiquement" sur internet, sauf sur le site de banques ou éventuellement sites de vente en ligne sérieux et encore...
Dernière édition: 10/10/2005 @ 21:34:34
ovh> Et sur le site de ta commune pour des documents officiels, tu serais prêt à t'identifier?
Mais question subsidiaire, qui a envie d'acheter un tel lecteur alors que ca ne lui apporte pas vraiment de "plus" à part un peu de sécurité pour aller sur 2 sites? A part des sites officiels, je vois pas encore la killer application.
Ou alors, la poste pour des recommandés? Mais c'est pas très courant non plus...
Bah c'est pas msn qui devrait bientôt intégrer cette techno ?
Sinon pour le site de ma commune> oui, et pour le vote par internet : oui.
j'imagine déjà.. "j'ai pas peu voter entre 9h et 18h car ma connexion était en panne!"
Si c'est en panne t'a qu'à aller au bureau en bois classique avec les mémés et les pépés
Je suis contre le fait de voter par internet
par contre je suis pour pouvoir faire tout les papiers par internet
ça ne me donne toujours pas envie d'installer un chat
Poire > note les français sont contre le fait de voter en général
Les français ont bien voté la dernière fois
Comment ça je pourris le sujet ?
Si j'ai bien compris, actuellement en introduisant son code pin l'encodeur n'a aucune manière de savoir si cette opération a permis d'accéder à l'identité de la carte et à la photo incluse ou si il a laissé vider son compte en banque ou bien encore si il a commandé une video X dans un paradis fiscal.
Bref, le citoyen est invité à signer un "chèque en blanc", aucune preuve irréfragable de la transaction et de son objet de la part du partenaire n'est requise, ni même proposée.
Quelqu'un pourrait il me contredire ? S'il vous plait dites oui, dites que je me trompe, prouvez-moi que la tracabilité des transactions est garantie, donnez-moi la cléf publique actuelle de l'agent certificateur dans les conditions de sécurité normale pour ce genre de transaction.
J'en ai jamais eu en main, mais de ce que j'ai compris, ce n'est pas tout à fait ca (heureusement).
Moyennant ton accord (code pin), tu donnes accès à tes données (adresse et cie), mais tu ne signes rien, vu que, si il y a une clé privée au niveau de la carte, c'est elle qui doit pouvoir signer une opération à chaque fois et tu ne sais pas t'en passer pour signer un email ou une transaction quelconque.
Maintenant on est loin d'utiliser cette carte pour des paiements en ligne ni pour accéder à son ebanking donc pas de soucis de ce côté de toute façon, mais à chaque transaction, il est probable que tu doives la confirmer à l'aide de ta carte et de ton pin.
Pour le reste, faudra lire un peu les specs, je suis curieux de voir ce qu'on peut en faire pour ma part, ca pourrait être intéressant.
Le code pin étant identique pour la signature et pour l'autentification, aucun moyen n'est certifié et proposé au possesseur de la carte d'identité pour savoir quelle est réellement l'opération effectuée (Le risque est limité si prudemment seule l'autentification est validée).
La situation juridique que l'on peut observer pour les cartes bancaires devrait inciter à la prudence. Un petit coup d'oeil à un magazine de consommateur devrait convaincre les indécis.
"Moyennant ton accord (code pin), tu donnes accès à tes données (adresse et cie), mais tu ne signes rien, vu que, si il y a une clé privée au niveau de la carte, c'est elle qui doit pouvoir signer une opération à chaque fois et tu ne sais pas t'en passer pour signer un email ou une transaction quelconque."
Le problème est que l'utilisateur est incapable de faire la différence entre la signature d'un email et une transaction quelconque. Si je me trompe donne moi les renseignements, j'aimerais bien pouvoir changer d'avis.
Par ailleur la relation est fortement assymétrique. La personne physique signe avec sa carte d'identité électronique avec un haut niveau de sécurité, admettons. Le partenaire commercial signe avec quoi ? avec quel niveau de sécurité ? Quelle preuve, quelle garantie est fournie ? La réputation. La réputation qui favorise incontestablement les gros opérateurs par rapport aux petits.
Restons dans le domaine officiel. On demande un document à une commune. La commune n'a pas d'identité électronique. Quelle est la garantie ? "Best effort". C'est efficace comme internet, mais ce n'est pas une garantie de qualité de service.
Si je peux me permettre ce jeux de mots totalement cynique et déplacé. "Le phising sera un jeu d'enfant"
J'ai envisagé le problème il y a environ 2 ans. J'ai du faire face à 3 couches d'incompétence pour aboutir à une personne qui avait plus que des notions superficielles de sécurité. J'ai signalé quelques les problèmes et suggéré quelques solutions et je n'ai plus jamais entendu parler de rien. Et je ne suis pas du tout un spécialiste sécurité. Je suis simplement attentif à ce problème.
Il y a une mauvaise raison à la situation actuelle, c'est le coût et le manque de rentabilité financière. Le manque de ressource n'excuse en rien le manque de qualité.
Je n'ai jamais eu le loisir de tester un de ces lecteurs, je ne sais pas si ils réagissent tous pareil ni même comment ils réagissent, mais il est certain qu'il ne faut pas voir dans la carte d'identité électronique un miracle de la technologie permettant de sécuriser tout sur internet.
Je ne peux te donner aucune preuve pour contredire ce que tu as dit, je pense d'ailleurs que tu as raison en bonne partie, ce qui peut faire peur en soit. La technologie a été créée pour répondre à un besoin, de pouvoir identifier le contribuable qui est sur sa machine, pas le contraire, l'identification du partenoire doit être géré par la sécurisation du serveur web (avec un joli certificat SSL).
Maintenant, c'est triste à dire vu le prix que cela coûte, mais je vois mal cette technologie décoller à l'heure actuelle, l'Internet belge ne représente pas grand chose, et à part pour des services officiels et encore, ce n'est pas gagné. Qui va payer un lecteur de 50 EUR pour pouvoir commander un extrait de naissance sur le net? Sérieusement? Puis qui saura réellement l'utiliser? Et quelle commune aura les moyens pour se payer un site qui supporte ce genre de chose? Regarde les sites des communes, à part quelques communes branchées, les sites font en général très peur et on dirait qu'ils ont été codé par le petit neveu ou un amateur du coin
La situation juridique que l'on peut observer pour les cartes bancaires devrait inciter à la prudence.
Alors la par contre, je ne suis plus d'accord
Il y a en Europe maintenant, des techniques d'authentification, le 3D Secure et le Secured by Visa, qui change totalement la donne. Le processus est pas encore terminé, mais on sécurise ici l'achat (avec obligation de digipass ou autre technologie propre à la banque emetrice) et on responsabilise les banques et les clients. Sinon, si tu râles chez VISA, c'est le commerçant qui trinque à chaque fois, ce qui n'est pas non plus la solution
C'est "Verified by VISA" d'abord
Mais peu de clients ont ces trucs activés sur leur carte à l'heure actuelle, non ?
ovh> Oui, très peu, juste les clients Fortis, mais c'est un système qui inclut tout le monde. Le marchand doit avoir accepté de nouvelles règles de sécurité pour permettre une identification du client par les banques (via digipass et cie) et les banques doivent proposer un système d'authentification.
Le client a alors son digipass (je prends le cas de fortis) et en est responsable.
Pour un client fortis, si il y a répudiation de la vente, on a:
-c'est le marchand qui paie si il a pas inclut cette sécurité
ou
-c'est le client qui paie vu qu'il a donné son digipass à qqn
Pour un client d'une banque qui a pas encore mis en oeuvre cette protection, c'est la banque qui paie si le marchand a la sécurité en place. Pour le moment donc, c'est dexia, ing et les autres qui paient la fraude jusqu'à ce qu'ils ait programmé de quoi identifier les clients. Tant que cela leur coute moins que le développement du truc, ils le feront pas... mais ca va arriver
La première version de PGP date de 1991....
