Bonjour,
ce matin j'ai entendu sur une radio du service public[1] que démarrait aujourd'hui sur le site du Forum Internet[2] une consultation sur la carte d'identité biométrique, avec les avantages et risques que cela comporte.
Malheureusement, je n'ai pas encore trouvé l'URL précise sur ce site. Mais je suis sûr de deux choses :
1. Vous avez un avis sur ce point.
2. Vous trouverez surement l'adresse sur le site et vous nous en ferez part.
Bonne(s) réflexion(s).
Dripple
[1] : France Inter
[2] : Forum des Droits sur l'Internet
# Refusez !
Posté par Jack ze . Évalué à -3.
Ne vous laissez pas marquer comme des bêtes de troupeau,
ou on vous traitera comme des bêtes de troupeau.
Vous perdrez votre liberté.
A bon entendeur, salut !
[^] # Re: Refusez !
Posté par nicolassanchez . Évalué à 10.
Ça contient quoi exactement une carte d'identité biométrique ?
# mouarf ...
Posté par Mouns (site web personnel) . Évalué à 10.
- empreinte retinienne & digitale sont trucable d'un point de vu physique
- cela necessite un canal sur où le protocole de verification ne soit pas rejouable et l'affaire humpich montre que certains progres sont encore à faire
conclusion, ca fera plaisir au gouvernement, chier la population honnete, et le bonheur des malfaiteurs : rien ne se perd, rien ne se crée, tout stagne.
[^] # Re: mouarf ...
Posté par nicolassanchez . Évalué à 1.
Pourquoi le bonheur des malfaiteurs ? tout ça s'ajoute à la carte donc ça ne simplifie rien, au contraire...
chier la population honnete
Qu'est-ce qui te fais chier là dedans ? t'as déjà ton empreinte digitale dessus... ça a changé quelquechose pour toi (même pas les doigts sales quand tu le fais...) ?
[^] # Re: mouarf ...
Posté par Mouns (site web personnel) . Évalué à 7.
tu risque de trouver des attaques via ssh assez nombreuse.
l'attaque repose sur un préssuposé de la bétise humaine :
- ssh etant secure, je peux me permettre un mot de passe à la con avec un login à la con en laissant le port standard ouvert à toutes les connexions ( et le ssh root permis pour les plus audacieux )
un autre exemple :
- le stationnement illicite à paris ou personne n'est là pour verbaliser à certains moment ; pour des raisons de sécurité ( accès pompiers ), le stationnement n'est autorisé dans ma rue que d'un coté, la loi n'est respecté que quand les contractuelles sont suceptible de passer. mieux vaut ne pas avoir besoin des pompiers en urgence le soir ( et je n'ose parler du weak end ).
la biométrie c pareil, tu vas devoir faire plein de contrôle pour prouver ton honneteté mais quand il s'agira de contourner la loi, rien ne sera réellement prévu pour l'en empecher.
[^] # Re: mouarf ...
Posté par Fabio Parisi (site web personnel) . Évalué à 2.
[^] # Re: mouarf ...
Posté par Jerome Herman . Évalué à 7.
1 minute : un verre d'eau
2 minutes : un seau d'eau
3 minutes : une tonne d'eau.
Perdre de précieuses secondes à déplacer et/ou défoncer un véhicule peut avoir un impact fort sur la façon dont l'incendie se développe.
[^] # Re: mouarf ...
Posté par Mouns (site web personnel) . Évalué à 3.
il y en a plein ...
si les pompiers ou une ambulance doivent passer ...
imagine que ma soeur a été intubé et sorti par la fenetre du 4ieme étage à paris par le SMUR et les pompiers, apres avoir été réanimé puis mise sous curare. les 3 équipes dépeché sur place ont pu être chez ma mère assez rapidement car il n'y avait pas ce genre de la malin.
imagine que dans ma rue, pour faire cela, il faudrait que la police enlève 500 metres de voitures pour permettre aux pompiers et ambulance d'aller et venir.
J'habite dans le 16ieme au fait.
# URL
Posté par dripple . Évalué à 3. Dernière modification le 06 février 2018 à 19:33.
Une adresse (j'ai trouvé) :
http://www.foruminternet.org/forums/read.php?f=7&i=2&t=2[^] # Re: URL
Posté par tuan kuranes (site web personnel) . Évalué à 3. Dernière modification le 06 février 2018 à 19:33.
J'ai poste la :
http://www.foruminternet.org/forums/list.php?f=16(en parlant un peu de logiciel libre.)
Mon humble avis est que plus d'informaticien eclaire il y aura sur le firum, mieux ce sera.
En particulier quand a ca (avis eclaire) :
"partant du principe que les données sont stockées sur la carte, elles sont falsifiables et donc ont ne peut pas leur faire confiance…"
La reponses est :
"je pense que ce genre de risque est infime, les fabriquants de carte à puce font d'énormes progrès en terme de sécurité"
[^] # Re: URL
Posté par dripple . Évalué à 3.
Ben justement, je trouve qu'il n'y a pas grand monde sur ce forum... Serait-ce qu'il n'y a pas d'informaticiens éclairés ici ? ;-)
[^] # Re: URL
Posté par Philippe F (site web personnel) . Évalué à 9.
Le cas de Serge Humpich n'est pas forcement a generaler. Dans ce cas-la, on avait une vieille carte (une CB-B0' si je me souviens bien, ca date des annees 80) avec un systeme d'authentification offline minable. La faiblesse ne venait pas de la carte (d'ailleur, Humpich n'a pas casse la carte mais de l'automate) mais de la plateforme complete de paiment.
Je travaille actuellement sur les passeport electronique. Ils vont effectivement contenir photo, empreintes digitales et empreintes retiniennes. Les prochaines carte d'identite seront certainement derivees de ces specs.
Je peux t'affirmer une chose: les specs sont bien concues. Les principales objection par rapport a la protection de la vie privee sont prise en compte. Le seul hic, c'est que la securite maximale n'est pas exigee par defaut, mais seulement recommandee.
Concernant le passport, je vous decrit brievement comment ca marche:
- la carte ne contient pas les informations ecrites sur le passport. Notamment, le nom, le no du passport et la nationalite ne sont pas sur la carte. Un hash de ces infos est stockee sur la carte
=> lire la carte ne revele pas ces infos importantes
- toute lecture d'informations biometriques sur la carte est protegee par une authentification dynamique a la base des infos visuelles contenues dans le passport (nom, nationalite, etc). Donc, il est necesssaire de lire le passport optimquement avant de pouvoir lire le contenu de la carte.
=> impossible de scanner a distance le contenu du passport, il faut que le porteur le presente de facon ouverte pour qu'on puisse y acceder
- l'authentification se fait en s'appuyant sur un random
=> impossible de rejouer
- l'authentification est basee sur une signature avec une cle RSA et du DES ou de l'AES
=> pas facile a craquer
- la laison entre le passport et le lecteur est encryptee avec du DES et une cle de session generee a partir du random, de la cle de la carte et de l'authentificatino
=> impossible d'esploinner la communication
- la distance de fonctionnement est < 10 cm
=> on peut pas scanner toutes les personnes d'une piece. A moderer quand meme car on peut faire des super lecteurs, pas legaux, qui pourraient faire ce genre de chose.
On est quand meme loin du scenario noir decrit dans la plupart des cas.
Donc en ce qui concerne la carte, c'est bien securise. Maintenant, il reste les questions sur le systeme global:
- pourquoi est-ce que la securite max de la carte n'est pas obligatoire ? Ce serait les US qui ont refuse que ce soit obligatoire.
- que fait le lecteur des infos qu'il a lu ? Pour gerer le visa electronique, on parle de faire une connexion a une super base de donnee contenant toutes les infos des utilisateurs. Ca, c'est inquietant
- est-ce legitime de demander autant d'informations d'authentification sur une personne ? La fraude d'identite n'est pas a priori qqch que les gouvernements aiment, donc tout moyen pour la combattre est en general accueilli avec joie.
Il y a des choses a combattre sur ce syteme, mais ne vous trompez pas de cible. C'est pas la carte qu'il faut viser pour trouver des defaillances techniques.
Les specs du passeport electronique sont dispo pour tout le monde sur le web. Je ne retrouve pas les references, mais je peux diffuser le document si certains sont interesses.
[^] # Re: URL
Posté par tuan kuranes (site web personnel) . Évalué à 2.
Je demande a voir, C'est pour ca que les specs m'interressent.
(et surement bcp de monde aussi... a poster peut-etre la bas ?)
Le cas de belles specs en theorie, qui tombent facilement n'est pas rare. Les cas ou leur realisation rate et ne sont pas confirme aux specs aussi.
Rien ne vaut les points de vues multiples et la confrontation a la realite. (surtout a grande echelle... les forteresse que personne n'attquent sont souvent dites "securisees")
Si la carte est securise, qu'en est-il des lecteurs, du reseau utilises, etc... les pirates vont attaquer les points faibles.
Le cas humpich est revelateur pour l'aspect plural d'une solution de securite.
Autre exemple : Le reseau Reseau Social Securise, belle specs, securite nulle, audits nombreux, pas de reactions, trop couteux de reviser le systeme...
Mon poste a moi vise un peu la technique, mais surtout la transparence (prestataires, logiciels, specs, perennite dans le temps )
[^] # Re: URL
Posté par dripple . Évalué à 2.
Ce matin sur Inter, ils mentionnaient justement qu'il n'existerait pas de super DB centrale avec toutes les données...
[^] # Re: URL
Posté par Matthieu Weber . Évalué à 2.
[^] # Re: URL
Posté par Philippe F (site web personnel) . Évalué à 2.
Ces evaluations comprennent aussi l'audit de code et la soumission de la carte a un labo qui essaye de la peter. Cela dit, je suis d'accord que c'est loin d'etre suffisant.
Pour ce que c'est qu'un OS securise, tu peux aller voir jayacard.sf.net . Cet OS open source pour carte a puce est protege contre les attaques connues au moment ou il a ete ecrit: Static Power Analysis, Dynamic Power Analysis, Fault injection, Electromagnetic Power Analysis.
Le reste de reseau est a mon avis bien plus fragile, c'est ce que j'ai dit dans mon post. Mais la carte honnetement, c'est du costaud. C'est un peu comme critiquer OO parce qu'il charge mal les document word. C'est pas a ce probleme qu'il faut s'attaquer.
[^] # Re: URL
Posté par Yusei (Mastodon) . Évalué à 3.
C'est pas très rassurant sur la confiance qu'ils ont dans leur système...
Je suis d'accord que c'est le maillon le plus faible de la chaîne qui casse, et que la carte n'est sûrement pas ce maillon, mais quand même, ça fait peur de voir qu'ils considèrent que révéler les specifications précises est une aide aux crackers. Qu'on croit en la sécurité par l'obscurité pour des petits trucs sans grande importance, d'accord, mais pour quelque chose d'une telle ampleur... (Bon ok, en pratique ils font tous ça)
[^] # Re: URL
Posté par jcs (site web personnel) . Évalué à 2.
je demande a voir, C'est pour ca que les specs m'interressent.
Regarde du côté des Certifications Critères Communs EAL
http://en.wikipedia.org/wiki/Common_Criteria(...)
http://en.wikipedia.org/wiki/Evaluation_Assurance_Level(...)
http://csrc.nist.gov/cc/Documents/CC%20v2.1%20-%20HTML/CCFOREWORD.H(...)
De nombreuses cartes à puce sont certifiées EAL 4+. Sans entrer dans les détails, parce que c'est un sujet complexe, cette certification te garantit un certain niveau de sécurité.
[^] # EAL
Posté par Baptiste SIMON (site web personnel) . Évalué à 1.
[^] # Re: EAL
Posté par jcs (site web personnel) . Évalué à 4.
Si, Windows 2000 SP3
allez... soyons sérieux.
C'est très sérieux mais il faut comprendre comment fonctionnent les Critères Communs. Une évaluation EAL te donne un niveau le confiance que tu peux mettre dans un système pour un ensemble de spécifications. Toute la subtilité est là. Dire qu'un produit est certifié EAL4+ n'a pas de sens en soi, il faut préciser ce qu'on appelle le Protection Profile qui est l'ensemble des spécifications, ou objectifs de sécurité, couverte par l'évaluation. Dans le cas des cartes à puce il existe le Smart Card Protection Profile (SCPP) qui te donne de nombreuses garanties de sécurité sur la carte.
L'évaluation de Windows couvre le Controlled Access Protection Profile (CAPP). Ce profil précise qu'il se s'applique pas dans de nombreux cas (The profile is not intended to be applicable to circumstances in which protection is required against determined attempts by hostile and well funded attackers to breach system security.).
toutes les explications ici (et en plus c'est le premier lien donné par Google)
http://eros.cs.jhu.edu/~shap/NT-EAL4.html(...)
[^] # Re: EAL
Posté par Philippe F (site web personnel) . Évalué à 2.
[^] # Re: URL
Posté par Nicolas Bernard (site web personnel) . Évalué à 4.
Oui et non. Il est vrai que le coût d'un équipement pour lire le contenu d'une carte protégée rend de telles attaques impossibles à faire par l'individu lambda, ainsi que par l'escroc de base.
Néanmoins, quand on voit ce qui peut se faire avec un équipement universitaire "relativement" sommaire (cf par exemple l'équipe de Ross Anderson et Markus Kuhn à Cambridge), on se dit qu'un tel matériel est parfaitement accessible à des organisations criminelles qui ont de l'argent, ce qui, à écouter ces mêmes personnes qui pronent l'utilisation de telles cartes, ne manque pas!
[^] # Re: URL
Posté par barnabe2 . Évalué à 2.
[^] # Re: URL
Posté par barnabe2 . Évalué à 1.
http://www.microsoft.com/belux/fr/office/eid/secure_b.aspx(...)
[^] # Re: URL
Posté par riri le breton (site web personnel) . Évalué à 2.
Ca dépend fortement du type de carte. Tu serais épaté de voir comment sont gérées les cartes vitale (oui celle qui détient tes informations civiles, et peut-être dans le futur, certaines informations médicales) ...
[^] # Re: URL
Posté par doublehp (site web personnel) . Évalué à 2.
Tout le reste peut etre demonte par qui en as la patience. Et ce qui peut prendre 1 mois aujourdhui prendra 1h dans 1 an.
Les CB francaises sont la risee des professionels de la crypto, mais quand ils le disent aux journaleux, ils se font emmenere en prison. Elles ont plus de 15 failles connues exploitable par un etudiant en info sans conaissances crypto avancees. Plusrieur de ces failles ont deja fait la une des journeaux, ou sujet de conferances a l Epita.
Passe donc un DESS de math, et travaille un peu pour les banques, tu verra que c est assez simple de pirater la chose.
Le plus dure, c est toujours la meme chose: ne pas se faire prendre.
Alors dis toi que si _1_ s est fait prendre, 10 ont sont passes inapercus.
[^] # Re: URL
Posté par doublehp (site web personnel) . Évalué à 0.
la plastique de l utilisateur est statique: elle peut etre enregistree, car c est par definition ( et propriete essentielle de notre probleme) une info constante; je propose le chemat suivant:
- tu enleve une borne de lecture de carte ( c est tres simple, et ca as deja ete fait pour des DAB: tu gares un remorqueur devant le DAB, tu sort un poste a souder type MIG sur batterie de camion ou onduleur de puissance, tu soude deux pattes sur le DAB ( 1 mn a tout casser), tu attaches les pattaes a des chaines du remorqueur ( 20s ), tu rembobine les chaines au plus serre, tu repars en remorqueur. Le DAB ne fait pas le poids face au camion, tu le traine par terre. Une fois 3 rue plus loin, tu fini d enrouler les chaines. Tu as toute la vie pour ouvrire le coffre et recuperer le liquide) ...
- tu attaque la borne, et tu isole la partie qui lis les empruntes. tu te debrouilles pour scanner des personnes, tu enregistre les donnees.
- tu presente la carte au lecteur, et tu restitue au lecteur la sequence decrivant la personne. Le lecteur te livre toutes les infos de la carte.
Solution: equiper chaque carte d identite d une puce resistante a l invesigation, qui ne puisse parler qu a une puce de meme type dansle DAB ... Aucun gmvt au monde ne prendra ce risque. ( de donner une puce pareille a chacun de ses habitants)
donc si le DAB n est pas equipe d un emeteur GPS autonome et que la moindre puce d une de ses cartes n est pas resistante a l investigation, je te pete le truc vite fait. ( moyennant moins de 100k¤, mais si je peux falsifier des cartes d identitee,s je pense que ca se vends bien )
Autre chemat: un employe d etate insert dans une borne une carte espion sur le bus de sortie du lecteur de carte ... cette personne as donc acces a tous les dossiers transitant par cette borne;
solution: encryption de bout en bout -> necessite encore des puces resistantes presentes dans tous les equipements d etats ... si il est trop diffuse, la probabilite qu il soit vole augmente de maniere non negligeable -> pas viable non plus
Il y a des solutions plus sure que d autres, mais rien de parfait.
La seule solution contre les MIM sont les encryptions fortes de bout en bout, avec cle de cession generee aleatoirement, elle meme encryptee avec une cle privee ... et comme toujours, c est l echage de cette cle privee qui pose probleme. Si elle est stoquee en dur dans une puce, une puce peut etre volee et etudiee.
Je pense que je me debrouillerai pour travailler quelques annees dans une fonderie ... la t as acces a tous les secrets du monde ( militaires, gouvernementaux, espinage, industriels ... ) je me demande si mon niveau d etude est suffisant pour entrer dans ce monde la ...
[^] # Re: URL
Posté par Philippe F (site web personnel) . Évalué à 4.
Les methodes que tu proposes pour peter le systeme sont plutot minables. La methode du bulldozer, ca se faisait au Bresil, ca ne se fait plus en France. Le plus simple, c'est de mettre un mini-lecteur de bande magnetique sur la fente ou tu enfonces ta carte, ou de mettre une webcam en fibre optique derrier le mec qui tape (sur le plafond du distributeur).
En plus, le besoin, ce n'est pas de casser une carte donnee, c'est de faire des fausses cartes. Ca tombe bien parce que c'est beaucoup plus facile. Donc ce qui devrait faire rire les professionnels, ce n'est pas la carte.
Le rapport un mois / 1h est aussi tres fantaisiste.
Bref, tes affirmations sont plutot a cote de la plaque, ce qui me fait dire que tu ne connais pas grand chose sur le sujet a part les trucs que tu as entendu a gauche et a droite.
Le gros probleme du systeme de paiement francais, c'est qu'il y a des vieux terminaux de paiement encore presents chez les commercants, donc on ne peut pas faire evoluer le systeme facilement. Si il suffisait de changer les cartes, il y a longtemp que ce serait fait, on les change tous les 4 ans. Il faut voir que les commercants payent pour le terminal de paiement et qu'ils n'ont pas envie de le changer tous les ans (an 2000, euro, moneo, EMV 2000, bon voyons !)
Pour vous consoler,on a le systeme le plus securise du monde pour la gestion de cartes bancaires. Je vous laisse imaginer ce que c'est ailleurs...
[^] # Re: URL
Posté par doublehp (site web personnel) . Évalué à -1.
oui tu as raison, mais je prefere ne pas m interesser de trop pros a la chose, je n ai pas envie d etre fiche en tant qu expert de securite comme certains de mes amis, et de se faire espionner a longueur de temps par les RG ...
Je prefere rester un petet idiot qui sort regulierement des betises qu un pro qui peut pas dire je t aime a sa maitresse par telephone sans que tout soit enregistre. Merci echelon.
Et encore, meme avec ca je sais que j ai deja les RG sur moi. Ca m as ete prouve deux fois recement.
Alors si je commencais a faire des recherches sur la securite bancaire, a poster tous les jours sur les news de crypto, je peux dire aurevoir a ma liberte. Et meme sans tout ca, je dois deja me considerere comme un black hat.
# Super
Posté par cho7 (site web personnel) . Évalué à 4.
P.S : après réflexion, qui aurait interêt a se faire passer pour moi ?
[^] # Re: Super
Posté par liberforce (site web personnel) . Évalué à 4.
[^] # Re: Super
Posté par Antoine J. . Évalué à 6.
Encore faut-il que les malfaiteurs le sachent.
[^] # Re: Super
Posté par Jerome Herman . Évalué à 6.
Et la detection du flux sanguin ne change pas grand chose dans ce cas là.
(N.B : Pour les malfaiteur en herbe, çà ne marche pas avec un gant latex, il faut un autre plastique qui resiste mieux à la pression. Mais l'idée générale est là)
[^] # Re: Super
Posté par syntaxerror . Évalué à 7.
http://cryptome.org/gummy.htm(...)
http://www.schneier.com/crypto-gram-0205.html#5(...)
http://www.itu.int/itudoc/itu-t/workshop/security/present/s5p4_pdf.(...)
Les "nounours" haribo bientôt hors la loi pour contournement de dispositif de protection ?
[^] # Re: Super
Posté par Éric (site web personnel) . Évalué à 2.
On va dire que pour un contrôle d'identité le gars en face verra que tu met un bras sanglant à la place du tiens ;)
[^] # Re: Super
Posté par Nicolas Bernard (site web personnel) . Évalué à 2.
[^] # Re: Super
Posté par doublehp (site web personnel) . Évalué à 3.
celui qui as besoin d un casier judiciaire vierge.
[^] # Re: Super
Posté par cho7 (site web personnel) . Évalué à 1.
J'ai été condamné à 10 ans de prison ferme pour délit d'entrave à la justice, trahison dans le cadre d'une affaire d'Etat, et homicide involontaire.
Désolé, mais là vraiment j'vois pas qui voudrait de mes papiers ^^
# En attendan tla modération de mon message...
Posté par Jerome Herman . Évalué à 10.
Bonjour,
L'identification unique et certaine d'un individu et des droits qu'il possède est une arme à double tranchant. D'un coté elle permet d'assurer la protection et l'accès au service des ayants droits. D'un autre elle peut créer des clivages forts entre ceux qui peuvent montrer patte blanche et ceux qui ne peuvent pas. Il est donc très important de savoir qu'elles informations sont stokées, ou elles sont stockées et comment elles sont certifiées.
Je me permet de livrer çi dessous la liste des éléments nécessaires à un fonctionnement sain de cette carte.
- Qualité de l'authentification :
La photo d'identité et une ou plusieurs empreintes digitales ne sont pas des informations fiables. Même l'empreinte rétinienne, considéré longtemps comme "sure" montre aujourd'hui de nombreuses faiblesses.
L'authentification par "Je suis" I.E une analyse purement physique et non interactive d'un individu (apsect, taille, empreinte dentaire, implantation capilaire, empreintes digitales etc.) est un plus mais ne saurait constituer un tout. Une authentification supplémentaire par code ("Je connais") ou mieux par signature physique classique ("Je sais faire") est absolument nécessaire pour s'assurer non seulement de l'identité de la personne, mais aussi de son accord à la procédure en cours.
- Informations en circulation
La carte d'identité numérique permettra pour les démarches administrative une identification complète de façon à faciliter et accélerer lesdites démarches.
Mais il est très important que les tiers non ratachés à l'état ne puissent pas accéder à l'ensemble des informations, notamment dans le cas de tiers marchands (banques, commerces, fournisseurs de services etc.) Dans cette optique il appartient au gouvernement de définir avec soin secteur par secteur et activité par activité à quelles informations un tiers peut prétendre avoir accès pour ses besoins d'identification. La reservation de places de théatre ne nécessite pas par exemple pour le commerçant de connaitre mon lieu de naissance, mon age ou mon lieu de résidence. Ces informations ne doivent donc pas être transmises, le cas contraire pourrait entrainner un mécanisme de ségrégation extrèmement puissant et très difficile à démonter, les personnes trop jeunes, trop vieilles ou trop epu rentables commerciallement seraient alors redirigées vers des offres moins attractives voire ignorées.
- Indépendance des identifications
Il est important pour les raisons vues plus haut, que les informations fournies soient aussi limitées que possible. Dans cette optique deux options sont possibles :
1) Une simple certification des informations : je continue à saisir l'ensemble des informations que je dois transmettre moi même , celle ci sont ensuite passées par un hash (filtre mathématique non inversible) et comparées au hash de l'information de la carte. De cette façon le serveur d'authentification ne dispose d'aucune information exploitable et ne peut que confirmer ou infirmer la validité des informations saisies par le porteur de carte.
2) Les données réelles existent (stoquées sur la carte ou sur un serveur distant) et sortent spontanément de la carte à la demande du porteur. Dans ce cas là il est très important tout d'abord que l'ensemble des données transmises à la personne requérant une identification soient aussi réduites que possible (cf plus haut), et que l'ensemble des données transmises ne soient ni interceptables ni modifiables ni copiables par un tiers. Et bien entendu il faut éviter que qui que ce soit puisse enregistrer le processus d'identification pour le reproduire par la suite.
Dans les deux cas il est important que l'ensemble des étapes qui composent le processus d'identification soient validées par des tiers de confiance.Hors qui dit tiers de confiance dit dépendance à un tiers. Il faut bien alors prendre conscience du pouvoir dont disposerait un tel tiers si il était malveillant et en situation monopolistique. Il pourrait simplement rendre imposssible l'utilisation de la carte d'identité numérique à qui il voudrait. Le piège vient du fait que si l'on essaye de pennaliser un coportement arbitraire vis à vis des identifications, on risque de se retrouver ave cune gestion laxiste des authentifications. La seule solution pour éviter l'épineux problème l'équation : abus de pouvoir ou laxisme est la suivante;
- Tout d'abord rendre l'ensemble des principes d'authentification public, et spécifier publiquemet les critéres de validité d'une authentification.
- Ensuite multiplier autant que possible le nombre des tiers de confiance de façon à éviter qu'une défaillance ou une malveillance de l'un des tiers n'empêche une personne de se servir de sa carte pendant une durée inderterminée.
Pour les mêmes raisons, il est important que le nombre de fournisseurs de puces soit aussi élevé que possible et que les caractéristiques des puces soient publiques.
- Cohérence des identifications
Quelque soit le système biométrique ("je suis") ou technométrique ("je sais faire") mis en place, il est important de prévoir dès aujourd'hui un mécanisme de secours en cas d'impossibilité d'authentification. Une personne qui a perdu son pouce dans un accident a autant besoin qu'un autre (voir plus au début compte tenu des démarches qu'impliquent un accident) de prouver son identité. Il faut donc que l'on puisse rapidement changer le mode d'authentification. Les problèmes sont que
a) la rapidité nécessaire de ce changement ne doit empiéter ni sur la fiabilité de la carte ni sur son utilisabilité.
b) il faut pouvoir propager aux tiers de confiance le changement de mode d'authentification de façon fiable et rapide.
Hors la personne qui vient de subir cet accident n'est plus en mesure de prouver son identité "facilement". Il appartient donc à l'état de garder sur l'ensemble du territoire des structures d'accueil classiques et efficaces à même de prouver l'identité de tel ou tel personne.Sans ces structures la personen accidentés devrait alors surmonter un double handicap, tout d'abord celui lié à l'accident lui même et ensuite celui lié à une société dans laquelle la carte dont il ne peut plus se servir serait devenue obligatoire pour toute transaction commerciale.
Cordialement.
[^] # Re: En attendan tla modération de mon message...
Posté par Nap . Évalué à 4.
Après c'est marrant les aspects techniques, ça a un coté organique, ça change des mots de passes, certificats, etc.
- on stocke des "doigts" dans l'annuaire ou sur la carte
- il y a des codes d'erreurs "doigt trop sec, humectez le" ou "doigt sale"
# Ca fout les boules...
Posté par Ju. . Évalué à 7.
http://www.microsoft.com/belux/fr/office/eid/secure_b.aspx(...)
http://www.microsoft.com/belux/fr/office/eid/(...)
http://www.macgeneration.com/mgnews/depeche.php?aIdDepeche=114335(...) (lien allcolor, occuppé sur la tribune ;-)
# Belgique et Bille Gates
Posté par Space_e_man (site web personnel) . Évalué à 4.
Vous avez tous entendu parler des problèmes à causes des enfant par chez nous... Et bien c'est notamment pour ça que Bill va nous aider... Ça va sécuriser la messagerie instantanée, une première mondiale pour 2009 !
À condition d'utiliser des logiciels "disciplinés" (vs libres ?) tels que Windows et MSN de Microsoft et un lecteur branché au PC, les Belges âgés de plus de 12 ans "pourront"(ou devront ?) s'identifier formellement...
Pour le reste, notre sinistre Peter Vanvelthoven s'étale en courbettes devant notre pourvoyeur des temps modernes et lui propose même de devenir Belge... Si c'est pas mignon ça... Humour, humour, bien sûr...
VDN :
http://www.laviedunet.be/VDN/Viedunet/Economie/page_4947_297742.asp(...)
La Libre :
http://www.lalibre.be/article.phtml?id=12&subid=179&art_id=(...)
[^] # Re: Belgique et Bille Gates
Posté par Space_e_man (site web personnel) . Évalué à 2.
http://www.microsoft.com/belux/fr/eid/(...)
Et la distribution à bien commencée :
http://www.esat.kuleuven.ac.be/~decockd/wiki/bin/view.cgi/Main/Belg(...)
C'est super...
# Quoi de neuf ?
Posté par Mais qui suis-je ? :) . Évalué à 3.
Franchement je suis moins choquer par la conservation de la structure des vaisseaux sanguin au fond de mon oeil que de mon emprunte digitale ( comme c'est deja le cas !! )
Pourquoi a prioris les vaisseaux de mon oeil il faut un dispositif special pour les lires , les empruntes on les deposes qu'on le veuille ou non sur tout ce qu'on touche
Bref a part si les gens commence a prelever les empruntes genetiques je ne vois pas de raison de plus s'inquieter pour nos libertes
Meme si j'avoue ne pas etre convaincu par l'uttilisation de fichier systematique meme pour la police , ca doit faire un rapport signal sur bruit asser mauvais
Maintenant pour ce qui est l'informatisation massive des donnee c'est deja le cas . certes tous est peut etre stocker dans une dizaine de serveurs differents
mais entre les mairie et les prefectures tous ce qui nous concernes d'uttilile pour l'administration y est bref la aussi AHMA rien de neuf .
Bref dans l'absolu ce n'est pas l'introduction d'une carte a puces qui va modifier la politique de fichage ammorcee il y a lomgtemps
Tout comme ce n'est pas une puces electronique qui va deranger les faussaires ...
--
Excuse usuelle pour ma (tres) mauvaises orthographe
# ... et Microsoft ?
Posté par rzr (site web personnel) . Évalué à 2.
gpg:0x467094BC
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.