• # Pas de smartphone, mais...

    Posté par  . Évalué à 3 (+1/-0). Dernière modification le 26 juin 2025 Ă  16:41.

    Même s'il ne faut pas de téléphone, il est nécessaire de posséder un matériel dédié.

    Et sans creuser plus, j'ai du mal à voir comment les tokens "Code Display" ou "audio code reader", (voir même "chip" qui ressemble beaucoup à un token FIDO de chez Feitian) sont compatibles avec le standard européen EUDI/eIDASv2 sans un wallet cloud masqué, dévérouillé par les dits tokens.

    • [^] # Re: Pas de smartphone, mais...

      Posté par  (site web personnel) . Évalué à 3 (+0/-0).

      C'est mignon et futuriste les wallets européens, mais si déjà un pays prends en compte des besoins simples comme ne pas racheter un téléphone tous les ans ou être utilisable par les malvoyants pour ses propres citoyens, c'est pas mal.

      Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

      • [^] # Re: Pas de smartphone, mais...

        Posté par  . Évalué à 2 (+0/-0). Dernière modification le 27 juin 2025 Ă  11:14.

        C'est peut être "mignon et futuriste les wallets européens", mais c'est ce à quoi les états se préparent actuellement, car ils doivent déployer des solutions d'ici courant 2027… Ça m'étonnerait beaucoup que le Danemark supporte aujourd'hui une solution qui ne vise pas la compatibilité, au moins à terme.

        Et, dans ce contexte, des tokens tels que proposés, je ne vois pas quelle autre solution ça permettrait que de passer par un wallet cloud masqué. Ce qui veut dire, un point de centralisation des credentials d'identités (format VC ou mDoc) et des clefs associées. Je ne suis pas sûr que ce soit une situation souhaitable, mais ça ne reste que mon point de vue.

        Bref, ce que je dis, c'est que la solution que tu présentes, ben elle a aussi des inconvénients qu'il faut mettre en balance avec le fait d'utiliser un téléphone. Surtout que rien n'interdirait d'utiliser un wallet depuis sont PC, si ce n'est le travail à fournir, plutôt qu'une solution "magique" telle que ce qui est proposé ici.

        Quand à développer un hardware wallet EUDI… serais-tu prêt à dépenser environ 100€ pour ça ? C'est grosso-modo le prix d'un wallet de cryptomonaies, et je ne suis pas sûr que le marché soit de la même taille au final, mais il faudrait faire une étude de marché…

    • [^] # Re: Pas de smartphone, mais...

      Posté par  . Évalué à 3 (+1/-0).

      Même s'il ne faut pas de téléphone, il est nécessaire de posséder un matériel dédié.

      comment faire de l'identité numérique, ou de la 2FA, sans aucun appareil?

      à part le triple mot de passe complexe (que j'approuve) qui sera refusé de partout, je vois pas

      • [^] # Re: Pas de smartphone, mais...

        Posté par  . Évalué à 2 (+0/-0).

        Je ne dis pas le contraire…

      • [^] # Re: Pas de smartphone, mais...

        Posté par  (site web personnel) . Évalué à 3 (+0/-0). Dernière modification le 27 juin 2025 Ă  16:28.

        La 2FA sans aucun appareil tiers et ultra sécurisé, ça s'appelle un certificat client.

        Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

        • [^] # Re: Pas de smartphone, mais...

          Posté par  . Évalué à 4 (+2/-0).

          Nope, ce n'est qu'un facteur. Utilisé seul, il est bien plus sûr qu'un mot de passe1, mais il ne permet pas d'obtenir de l'authentification forte. C'est cette dernière qui est le but, pas le 2FA en tant que tel.

          Pour qu'il puisse être utilisé en authentification forte, il faut que associer à ton certificat client une méthode de dévérouillage (un PIN/password ou de la biométrie). Par exemple en stockant le certificat sur une carte à puce (ou un dongle USB encapsulant un processeur sécurisé).

          Ce qu'on appelle aujourd'hui le 2FA est le moyen d'ajouter un facteur à un autre existant, que ce soit sous la forme d'un token matériel ou d'une app, pour prouver qu'on connaît un autre secret/possède un autre matériel.

          1: D'ailleurs je l'ai utilisé par le passé dans des architecture de produits de sécurité, et j'ai du mal à comprendre que ça ne rencontre pas plus de succès (même si Vault et la montée en grade du 0-trust lui redonnent du brillant).
          Mon hypothèse, c'est que le outils pour déployer une PKI locale sont tellement bloatés que personne ne veut déployer ça sur son infra, et qu'en plus "ça uilise de la crypto personne y comprend rien". Ajoute à ça que ça oblige à remonter de l'info (et travailler) avec la couche 3, et que les architectes softwares aiment bien rester en couche application…

          • [^] # Re: Pas de smartphone, mais...

            Posté par  (site web personnel) . Évalué à 3 (+0/-0).

            Ton certificat est bien sûr "verrouillé" par une passphrase et stocké sur disque chiffré lui même à "dévérouiller" par un autre moyen.

            Evidemment tu peux rajouter de la sécurité avec des périphériques physiques comme tu le suggères, mais bon il faut être en mode fuck the planet.

            Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

Envoyer un commentaire

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.