• # Petit parallèle

    Posté par  . Évalué à 10.

    DocuSign vient d'admettre qu'il utilise les données de ses clients pour entraîner ses modèles d'IA

    DocuSign vient d'admettre qu'il utilise les données de ses clients (c'est-à-dire tous les contrats, déclarations sous serment et autres documents confidentiels que nous lui envoyons) pour former son IA. Il ne semble pas non plus y avoir de moyen de retirer son consentement, mais cela m'a peut-être échappé.

    J'ai souvent croisé DocuSign pour les souscriptions contractuelles "sérieuses" en ligne, on est pas sorti de l'auberge.

  • # Je voudrais bien plus de détails

    Posté par  (Mastodon) . Évalué à 7.

    Très intéressant comme sujet, je suis en train de travailler en pro avec des signatures scannées…

    Si on m'envoie un email avec dedans une signature scannée (par exemple acceptation de devis), est-ce que le combo "email + signature scannée" permet cette-fois-ci de reconnaître l'auteur ?

    En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

    • [^] # Re: Je voudrais bien plus de détails

      Posté par  (site web personnel, Mastodon) . Évalué à 8. Dernière modification le 18 avril 2024 à 15:10.

      C'est un commencement de preuve par l'écrit. S'il y a un litige, tu auras des problèmes.

      Il faut soit recourir à des solutions comme yousign1, soit avoir une signature électronique, qui, elle, a force probante. Et les deux parties doivent en être dotées.

      Dans le cadre d'une solution de type yousign : tu envoies les doc à signer au site et un e-mail au client pour lui dire de signer avec l'adresse. Le client va devoir fournir une preuve d’identité pour signer. Après, ça peut poser des problèmes spécifiques : on peut pour une raison ou un autre, ne pas recevoir le courriel (ça m'est arrivé, le notaire a dû me renvoyer sur une autre adresse, le courriel était resté bloqué sur le serveur pour une raison mystérieuse, les autres sont arrivés à cette adresse), je n'ai pas pu signer avec mon Firefox et ses extensions (bloqueurs de pub, Privacy Badger, réglage des cookies).


      1. Au moment de la séance de tempête de crânes, ils ont dû hésiter entre yousign et signhub, j'imagine (je l'ai faite avant vous). Le choix a dû se faire grâce à des moyens hautement technologiques appelés "pièce à pile ou face". 

      « Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.

      • [^] # Re: Je voudrais bien plus de détails

        Posté par  (site web personnel, Mastodon) . Évalué à 10. Dernière modification le 18 avril 2024 à 15:10.

        En lisant la page sur la signature électronique du site Francenum que je donnais en lien, je découvre Lex-personna qui est une solution française, hébergée en France et lex-community qui propose des solutions de signature électronique gratuite pour les particuliers et les indépendants.

        « Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.

      • [^] # Re: Je voudrais bien plus de détails

        Posté par  . Évalué à 1. Dernière modification le 02 mai 2024 à 20:24.

        Juste pour préciser, la personne qui demande la signature, peut requérir un niveau d'authentification plus ou moins important :

        1. La réception du lien suffit
        2. Lien + SMS ou Email
        3. Authentification contrôlée, soit à base d'une pièce d’identité + photo ou à partir d'un tiers de confiance comme FranceConnect

        Les trois niveaux n'ont pas le même degré de preuve, il faut donc adapter selon les risques et les contraintes que les signatures plus élevées représentent.

  • # Intéressant

    Posté par  (site web personnel, Mastodon) . Évalué à 8. Dernière modification le 18 avril 2024 à 14:23.

    Peut-être qu'on va enfin se mettre à déployer à grande échelle des systèmes de cryptographie asymétrique comme PGP ou S/MIME, en les liant à une vraie vérification d'identité comme l'identité numérique certifiée.

    Non, pardon, c'est juste moi qui rêve, là. Les mails vont continuer d'avoir une sécurité nulle et on va continuer les « Bonjour, vous avez été classé premier au concours de maître de conférences en cryptographie et nous vous en félicitons. Afin d'organiser votre recrutement, merci de nous envoyer par mail un scan de votre carte d'identité ainsi que le document ci-joint avec une photo de votre signature »…

    • [^] # Re: Intéressant

      Posté par  (site web personnel) . Évalué à 10. Dernière modification le 19 avril 2024 à 08:09.

      L'identité numérique certifiée, c'est aujourd'hui un abandon de souveraineté par l’État (que des sociétés privés), un emmerdement pour les utilisateurs (que des logiciels privateurs, téléphone très récent obligatoire, uniquement certaines marques précises avec OS non personnalisé…) et un danger pour la vie privée (services et comptes google/apple obligatoire).

      Ce n'est pas un rêve, c'est un cauchemar.

      Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

      • [^] # Re: Intéressant

        Posté par  (site web personnel) . Évalué à 4.

        On ne peut pas imaginer que l'état gère des signatures de clef publique dont il a vérifié l'identité. Ensuite, les prestataires privé peuvent les mettre dans une carte à puce ou autre.

        "La première sécurité est la liberté"

        • [^] # Re: Intéressant

          Posté par  . Évalué à 7. Dernière modification le 19 avril 2024 à 10:54.

          On ne peut pas imaginer que l'état gère des signatures de clef publique dont il a vérifié l'identité

          Pourquoi pas? Il y a des clefs publiques/privées dans les eID (cartes d'identité électroniques) en Belgique, et on peut les utiliser pour s'authentifier sur les différents portails des services publics ou pour signer des documents. C'est compatible avec pcscd mais afaik la signature de documents PDF ne fonctionne qu'avec Adobe Acrobat.

          Par contre ils utilisent le numéro de registre national comme CN et donc du coup ironiquement c'est pas top niveau vie privée car ce numéro est une donnée sensible qu'on évite généralement de partager à tout vent.

        • [^] # Re: Intéressant

          Posté par  (site web personnel) . Évalué à 3.

          Pour protéger la vie privé, il faudrait juste que l'état garantit qu'il sait parfaitement identifié le détenteur de la clef et donc la justice aussi. Mais rien de plus.

          "La première sécurité est la liberté"

      • [^] # Re: Intéressant

        Posté par  (site web personnel, Mastodon) . Évalué à 2.

        Je suis bien d'accord que c'est un cauchemar que l'État français officialise que les deux seuls compétiteurs possibles sur le marchés des smartphones soient Google et Apple. Pour les autres inconvénients, je n'en avais pas conscience et ça m'incite à me renseigner, merci pour l'info. En tous cas, je parlais plus du principe général que de l'implémentation particulière.

        • [^] # Re: Intéressant

          Posté par  (site web personnel) . Évalué à 9.

          En plus pourquoi lier identité et smartphone? La dématérialisation liée à un matériel, ça ne choque personne malheureusement…

          Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

          • [^] # Re: Intéressant

            Posté par  . Évalué à 1.

            La dématérialisation liée à un matériel, ça ne choque personne malheureusement…

            Ça c'est parce que tu fais le malin en voulant cantonner le mot à son sens étymologique. Dématérialisation c'est juste un synonyme de numérisation. Donc possibilité d'utiliser divers matériels, interchangeables, plutôt qu'être cantonné à un unique morceau de papier.

            • [^] # Re: Intéressant

              Posté par  (site web personnel) . Évalué à 3.

              interchangeables

              hmmm comment tu valides des SMS sans avoir ton ordiphone sur toi ? Tu empruntes celui d'un ami qui n'a pas reçu le SMS ? ô_O

              • [^] # Re: Intéressant

                Posté par  . Évalué à 1.

                Interchangeables = ça fonctionnera quelque soit le téléphone qui porte la puce liée à ce numéro de téléphone. Donc aujourd'hui je peux valider avec un tél Firefox-mobile, demain avec un Galaxy S24 et après demain un iPhone. Contrairement au morceau de papier unique. Bref dans ce contexte la dématérialisation n'est qu'un synonyme de numérique.
                Il est évident que "dématérialiser" ne veut pas dire que ça fonctionne à travers l'ether et par la pensée…

            • [^] # Re: Intéressant

              Posté par  . Évalué à 4.

              Sauf que de plus en plus cela résume à un appareil mobile récent disposant d'un numéro de téléphone avec l'os d'origine, le miens fonctionne très bien, sauf qu'il n'a plus eu de mise à jour système depuis juillet 2022, dès que j'ai un long week end je remplacerai l'os, mais cela risque de le bloquer pas mal d'appli qui réclament une "sécurité".

              Il ne faut pas décorner les boeufs avant d'avoir semé le vent

              • [^] # Re: Intéressant

                Posté par  . Évalué à 1. Dernière modification le 22 avril 2024 à 14:05.

                Je ne défends pas ça. Oui nous retrouver cantonnés aux versions récentes des 2 géants c'est n'importe quoi.
                Mais je ne parle que de vocabulaire… dématérialiser n'est qu'un synonyme de numériser, ça ne veut pas dire "sans matériel, qui flotte dans l'ether et qu'on attrape par la pensée".

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.