Authentification et identité numérique en France

36
23
août
2020
Sécurité

L’identité numérique est un sujet qui a récemment été mis dans les priorités principales de la France par un groupe d’expert dans une tribune de presse. Quel défi l’État français devra relever pour pouvoir numériser les services publics ?

À un poste frontière, on présente un passeport au douanier. Celui‑ci a plusieurs moyens pour vérifier que le passeport est authentique (créé par l’État français), il vérifie ensuite notre visage. Avec ces informations, il en déduit que l’identité écrite dans le passeport est la vôtre.

L’identité numérique permet de faire toutes les démarches légales en ligne sans devoir se déplacer et de le faire de façon sécurisée.
On peut résumer les défis ainsi : ne pas pouvoir lier un compte Internet Tartempion, en se faisant passer pour M. Macron, pour voir ses fiches de paie, de préférence sans intervention humaine et sans ficher tout le monde.

On identifie une personne avec son nom. Mais il existe des homonymes, on utilise donc le nom complet (tous les prénoms en France), sa date et son lieu de naissance. On identifie ainsi une personne de façon unique. On voit parfois l’ajout de l’adresse actuelle, mais cette information a le mauvais goût de pouvoir changer. Le numéro français INSEE (numéro de Sécurité Sociale) est une donnée unique mais est pourtant peu utilisée directement [N. D. M. : historiquement, la polémique autour de SAFARI sur la généralisation de ce numéro a conduit à la création de la Commission nationale de l’informatique et des libertés (CNIL)].

Cela se complique, quand il faut prouver son identité, « s’authentifier » : auprès de sa banque ou des impôts par exemple.

Il existe trois façons de base de le faire : posséder quelque chose, être quelque chose, ou connaître quelque chose.

Sommaire

Ce qui se fait actuellement

Typiquement, on possède une carte d’identité ou un passeport qui contient une photo montrant une partie de ce que l’on est. Le système se complexifie avec les empreintes digitales. La biométrie a une caractérisation désagréable : on ne peut pas changer le moyen d’identification s’il a été compromis. On ne peut pas changer de doigts ou de tête. En revanche, cela peut arriver en cas d’accident ou de brulure par exemple, le système peut ne plus pouvoir nous identifier, c’est comme perdre un mot de passe mais en pire.

Sur un site Web, on utilise un couple de données : nom d’utilisateur et mot de passe que l’on connaît. En général, ce système est associé à un autre couple nom d’utilisateur et mot de passe en cas de problème : celui de son système de courriel.

Les systèmes 2FA (two factor authentication) ajoutent aux systèmes précédents la connaissance d’un téléphone mobile, que cela soit par l’envoi d’un SMS (connaissance du numéro) ou par la fourniture préalable d’une clef publique (FreeOTP). C’est ceinture et bretelles. Voler le mot de passe n’est pas suffisant, il faut aussi détourner le portable (c’est déjà possible avec les SMS, qui sont vus comme peu sécurisés).

Tous ces systèmes garantissent que vous êtes bien la personne qui a créé le compte web, mais ne dit rien sur votre identité civile. Les réseaux sociaux ont inventé le concept de compte certifié dans ce but. Ils demandent des informations vérifiables : biographie, copie de pièce d’identité, site Web personnel. Cela peut être suffisant pour des personnes connues, mais beaucoup moins pour n’importe qui. Une photo de passeport, cela peut se voler. C’est même parfois partagé en ligne.

Le badge d’entreprise est un objet à l’image d’une clef, qui sert à s’identifier auprès des portes ou du système. Les films d’espionnage montrent souvent le vol de celui‑ci.

On nous demande parfois un justificatif de domicile, comme une facture EDF, qui permet ainsi de lier un nom à une adresse physique. EDF a tous les Français ou presque comme clients, il peut ainsi fournir une preuve d’adresse physique liée à un nom donné.

Lors de l’usage du protocole HTTPS par un site Web, un certificat contenant une clef publique est utilisé. Ce certificat est associé au site Web que l’on visite pour établir un canal sécurisé entre leur serveur et notre navigateur Web. Mais comment savoir qu’il s’agit du bon certificat et non d’un usurpateur qui tente l’attaque de « l’homme du milieu » ? Pour cela, les certificats sont signés par d’autres certificats dit de confiance, distribués de base dans les navigateurs. Ils appartiennent à des sociétés dont le rôle est de bien vérifier l’identité de ceux qui demandent des certificats. Il existe une série de scandales sur ce système, les vérifications étant plus que légères (ici, ou ).

L’organisation « Let’s Encrypt » propose un moyen plus simple : il veut une preuve que vous contrôlez le site Web pour lequel vous demandez un certificat. Pour ce faire, il donne un fichier particulier à placer à sa racine, ou dans un champ d’enregistrement DNS particulier ou un en‑tête TLS. C’est un bon moyen de vérifier le contrôle effectif que vous avez sur celui‑ci. Ainsi, on a une liaison forte entre le site Web et son certificat.

GPG est un ancien système de chiffrement de courriel. Il utilise un couple de clefs publique‑privée, comme pour le HTTPS. Encore une fois, comment être sûr de la clef publique annoncée dans le courriel ? Cette fois‑ci, ce sont les utilisateurs du système qui signent les clefs des autres. Lors des fameuses « key signing parties », les personnes donnaient une carte de visite avec l’empreinte de leur clef publique et montraient une pièce d’identité pour prouver qu’ils étaient bien les personnes qu’ils affirmaient être. Le nombre de signatures sur la clef publique distribuée par les serveurs de clefs était la garantie de leur authenticité. Le système était alourdi par la distribution de la liste des clefs révoquées, qui devenait toujours plus grande.

Les cartes bancaires avec leur puce identifient leur porteur et sont sécurisées par leur code PIN. La carte est un coffre‑fort de clef privée qui nécessite de gros moyens pour être extraite. Le code PIN permet seulement d’autoriser des opérations avec cette clef.

Il existe une norme open source de carte à puce USB qui a fait un peu parler d’elle. Le but était de pouvoir se connecter avec elle sur un site Web, Firefox ayant un module dédié pour cela. Les impôts, au début, utilisaient la méthode des certificats personnels pour s’identifier, le problème est qu’ils étaient stockés sur la machine et étaient perdus en cas de changement ou de réinstallation. Ils pouvaient aussi être volés (par un virus dédié). Cela n’aurait pas été le cas avec une telle sorte de clef.

Une carte d’identité numérique est prévue en France pour l’an prochain (2021) [N. D. M. : les tentatives précédentes ont échoué, comme INES en 2005, ou plus tard IDéNum et FranceConnect]. A priori, c’est une carte à puce avec code. Le niveau de sécurité sera donc semblable à celle d’une carte bancaire. Les spécifications sont en lien plus bas. Difficile de savoir ce qu’impliquera la perte de la carte en termes d’utilisation frauduleuse possible ou simplement pour en faire une autre, et invalider la précédente.

Ce qui serait souhaitable

Pour revenir au défi initial, comment pourrait faire la sécurité sociale ? Elle dispose d’un identifiant unique (le numéro de sécurité sociale) et doit le relier au bon compte Internet.

La sécurité complète n’existe pas, il faut lister les risques et les hiérarchiser : fuite d’informations personnelles, usurpation d’identité, opération faite sous un autre nom, empêcher l’accès à la personne légitime. S’il est impossible de garantir cela, il faut moins pouvoir régler le problème simplement pour la victime et pouvoir poursuivre l’escroc (un « vol d’identité » peut être très pénible et insoluble actuellement).

Créer un compte Internet typique, avec 2FA si l’on veut, permet d’être à peu près certain que la personne derrière son adresse de courriel est toujours la même. Il reste à la relier à une identité civile. L’utilisateur va donc la déclarer (noms, date et lieu de naissance). Comment peut‑il la prouver ? Il peut fournir une image d’un passeport, mais il va être difficile de vérifier que la photo est récente et qu’elle n’a pas été volée. Il peut fournir une photo de lui et du passeport ensemble pour valider le fait que les visages correspondent.

On peut aussi fournir une adresse physique, validée par un document d’EDF (car associé à son nom), pour envoyer par la poste des codes secrets ou une carte à puce. Ainsi, on peut vérifier le lien entre l’adresse physique et le compte Internet. EDF permet de faire le lien entre l’adresse physique et le nom de la personne. Cela ne marche que pour le titulaire du compte EDF. Une simple facture, surtout en PDF, cela se falsifie facilement. Le courrier peut se voler aussi.

Un paiement par carte bancaire nécessite d’inscrire son nom de porteur de carte, c’est un besoin du système bancaire (norme KYC). Cela ne lève pas le problème des homonymes, et il faut être sûr que tous les fournisseurs de cartes bancaires sont sérieux sur les vérifications d’identité des porteurs.

On peut imaginer se faire valider son compte par des tiers. Leur rôle serait de vérifier les papiers de la personne, par rapport aux noms déclarés. C’est le rôle des signatures sur GPG ou des certificats HTTPS. Si les personnes ne se connaissent pas, une fraude est toujours possible (papiers volés ou falsifiés) et si les personnes se connaissent, elles peuvent organiser une fraude à plus grande échelle. Il faudrait donc surveiller les groupes (« clusters ») de personne se faisant confiance, et en cas de doute, vérifier tout le monde.

On peut imaginer la livraison par courrier de codes QR à usage unique pour FreeOTP. Cela permet d’utiliser un autre moyen de communication que le Web pour le transmettre. C’est équivalent à des codes secrets à usage unique. Ce courrier peut aussi contenir des listes de codes, comme à la grande époque des jeux vidéo, comme moyen supplémentaire pour les personnes sans téléphone mobile. Une personne par foyer peut se porter garante pour les personnes sous le même toit. Les personnes les plus soucieuses pourraient d’elles‑mêmes utiliser plusieurs moyens d’authentification.

Des cartes à puces pourraient être mises en vente dans le commerce. Ainsi, l’identité pourrait être signée par une clef cryptographique qui aurait le même rôle qu’un couple identifiant et mot de passe sur un site Web. La carte pourrait accumuler d’autres signatures de confirmation (de tiers, d’agent public, etc.). La carte permet d’éviter de créer une base de données géante. Posséder plusieurs cartes ne pose pas de problèmes. Tout comme les clefs asymétriques, on peut en avoir plusieurs pour gérer les pertes, et les signer entre elle. La carte devrait être protégée par un code PIN et devra avoir une durée de vie pour éviter des soucis en cas de perte, comme pour les cartes de paiement.

On peut aussi imaginer l’usage de guichets qui permettraient de faire vérifier par une personne habilitée, une identité déclarée et des papiers d’identité. L’identité pourrait être exprimée dans une carte à puce ou sur un site Web, l’agent devrait seulement valider la justesse des informations par rapport à un passeport et au visage de la personne. Cela pourrait être plus ou moins automatique, lors de passage à la douane ou à un guichet d’une mairie. J’aurais aimé rajouter l’hôpital, mais vu le temps perdu en procédures administratives actuellement, cela serait plus efficace que les personnels hospitaliers soient seulement utilisateurs de l’identité numérique.

L’unicité des personnes physiques n’a pas encore été exploitée, si deux comptes Internet déclarent la même identité, cela peut provoquer une alerte. Ainsi, une fois toutes les personnes reconnues, il devient très difficile de se faire passer pour une autre personne. Sauf si la personne perd l’accès à son compte Internet ou si elle crée un nouveau profil.

Chaque moyen proposé a des défauts. À l’image du 2FA, il paraît nécessaire de proposer plusieurs moyens d’authentification mais d’exiger que deux sur trois fonctionnent, par exemple. Selon les situations personnelles, l’usage de certains moyens n’est pas possible (adresse EDF…) et nécessite des garants au minimum. Il faudra de la souplesse et croiser les moyens mis à disposition.

Il n’y a pas que l’adresse postale qui change. Le nom peut changer : francisation lors d’une naturalisation, « intérêt légitime » à changer, « nom d’épouse » même si ce n’est qu’un nom d’usage (et retour au nom de naissance après divorce). La loi a d’ailleurs évolué concernant les mariages : l’épouse ne « change » plus de nom de famille, elle peut choisir un nom d’usage, ainsi que son époux (les deux noms de famille accolés). Malheureusement un grand nombre de systèmes d’information ne sait pas gérer ce cas de figure. Pour retrouver une personne, cela voudrait dire qu’elle peut avoir un nom de naissance, un nom d’usage et un nom officiel qui peut être différent de celui de naissance. On pourrait même résumer cela à un nom de naissance, un « nom courant » et d’anciens noms courants.

Si l’on pouvait aussi éviter de mettre le « sexe » dans l’identification, cela éviterait tout un tas de complexités inutiles. Il pourrait être seulement indicatif et ne pas nécessiter de passer par le juge pour le changer.

Des moyens humains seront nécessaires pour lever les doutes, et gérer les erreurs. Même si le numéro de passeport peut être enregistré, il faut pouvoir vérifier la photo avec le visage de la personne. Il faut aussi essayer de détecter un photomontage pour le rejeter (il existe déjà des logiciels).

Pour résumer

Informations utilisables :

  • code à usage unique ;
  • nom d’utilisateur et mot de passe ;
  • numéro de téléphone ;
  • adresse physique ;
  • identité ;
  • numéro de sécurité sociale ;
  • code PIN ;
  • numéro de carte bancaire ;
  • IBAN.

Objet :

  • pièce d’identité ;
  • extrait de naissance ;
  • carte de paiement (carte bleue, carte Visa, etc.) ;
  • téléphone ;
  • carte à puce dédiée ;
  • carte de sécurité sociale (Vitale) ;
  • la nouvelle carte d’identité numérique.

Moyen de communication :

  • Web ;
  • code QR ;
  • courrier ;
  • adresse de courriel ;
  • numéro de téléphone ;
  • buraliste ou mairie (guichet) ;
  • commerce (achat de carte à puce).

Moyen biométrique :

  • photo du visage ;
  • empreintes.

Garant :

  • une autre personne du système ;
  • un officiel de l’état civil ;
  • une personne déléguée (buraliste) ;
  • justificatif de domicile ;
  • facture d’eau.

Caricature de cracker

Les abus

Comme vu plus haut, il y a un grand nombre de moyens pour abuser le système. Par exemple, l’utilisation d’une image du passeport, ou d’une photo de visage. Les deux peuvent être en effet trouvés sur Internet plus ou moins facilement.

La plupart des moyens de communication ne peuvent pas vérifier à coup sûr l’identité de la personne venant retirer des informations ou du courrier : le but de l’échange est justement de pouvoir créer ce moyen. Les informations d’identification sont publiques et ne peuvent donc pas être considérées secrètes (nom complet, date et lieu de naissance), voire image du passeport. Il y a des exemples de fraudes utilisant les dossiers montés pour les locations immobilières qui contiennent ses informations.

Les documents fournis peuvent être modifiés (« photoshopés »). Il serait sain que ces documents puissent être fournis sous forme de fichiers PDF signés par leur créateur, le but étant de garantir leur contenu. Il existe aussi des logiciels capables de détecter si une image a été modifiée (uniformité de la perspective créé par l’objectif, uniformité de la colorimétrie du capteur…).

Aucun moyen ne peut être garanti 100 % sûr. Il est souhaitable de cumuler les moyens pour renforcer la probabilité que la personne est bien celle qu’elle prétend être.

Il est aussi peu souhaitable que cette identité circule. Personne n’a envie de finir sur une liste publicitaire ciblée de Facebook ou Criteo. Une identité numérique serait utile pour l’échange « légal » avec l’État, ou lors de prestations de service (banque, FAI, etc.), mais problématique si elle est demandée par tous les commerçants pour garder une trace de vente pour le SAV. À l’inverse, il serait difficile de parler d’erreur lors du non‑respect d’un système du type Bloctel.

Pour prouver que l’on est majeur sur les réseaux sociaux, on pourrait imaginer un site intermédiaire tampon qui validerait que la personne est majeure, sans donner plus qu’un jeton aléatoire. Celui‑ci ferait le lien entre le couple nom d’utilisateur et mot de passe du réseau et la vraie identité.

Aller plus loin

  • # GPG c'est bien

    Posté par  . Évalué à 10.

    Si le monde était bien foutu on aurait avec notre carte d'identité une clé GPG signée par l'État, et qui garantirait de notre identité pour toutes les démarches administratives.

    Cette clé aurait une durée de vie courte (par exemple 1 mois) et il faudrait renouveler la date d'expiration régulièrement. Ça permettrait de prouver qu'on est encore vivant, notamment. Évidemment il y aurait des dérogations possibles si on habite dans une zone blanche, si on part pour un long voyage, etc. Mais ces dérogations devraient rester marginales, et ne devraient pas être une excuse pour l'État pour ne pas lutter contre la fracture numérique.

    En cas de faille de sécurité (compromission d'un algorithme, etc.), on bénéficierait d'une période de quelques jours où on pourrait renouveler sa clé en en créant une nouvelle qui serait signée par l'ancienne. Au-delà de cette période, ce serait comme pour une compromission de clé ou un vol de carte d'identité, il faudrait faire valider sa nouvelle clé en préfecture.

    Comme pour les serveurs HKP, l'annuaire serait public. Comme tout citoyen aurait une clé, on pourrait signer et chiffrer ses échanges quand on communique avec l'administration, mais aussi entre chaque citoyen. Évidemment, le fait d'avoir un annuaire public avec les adresses e-mail de chacun serait problématique pour ce qui est du spam mais chacun aurait le droit de lier à sa clé GPG une adresse e-mail dédiée uniquement aux échanges administratifs, et qui refuserait tout courrier n'étant pas signé par une clé reconnue par l'État.

    *splash!*

    • [^] # Re: GPG c'est bien

      Posté par  (site web personnel) . Évalué à 4.

      Ça semble tellement simple à mettre en œuvre, et tellement à la portée de n'importe qui !

    • [^] # Re: GPG c'est bien

      Posté par  . Évalué à 3.

      Enfin une solution aussi simple et évidente que bitcoin !

      Si le monde était bien foutu

      … on aurait pas besoin du numérique pour tout ça

    • [^] # Commentaire supprimé

      Posté par  . Évalué à 5.

      Ce commentaire a été supprimé par l’équipe de modération.

      • [^] # Re: GPG c'est bien

        Posté par  . Évalué à 5.

        Dans ce cas, pas besoin de GPG. Si les signatures sont centralisées, autant mettre en place une bonne vielle chaine de certificats avec le certificat racine administré par l'Etat.

        Avec GPG tu peux avoir des signatures multiples. La clé qui est reconnue par l'État pourrait être reconnue par une autre entité.

        Le système de dérogation ne serait possible que si on connait longtemps à l'avance une indisponibilité. Et une dérogation ne serait pas renouvelable.

        Après c'est juste une idée que je jette là pour gérer le cas où la durée de vie est fixée à 1 mois. C'est la durée de vie que j'utilise personnellement, mais peut-être que 2 mois, 6 mois ou même 1 an, ce serait bien aussi.

        La fracture numérique ne se résume pas à l'accès à Internet. L'accès à un terminal informatique est aussi un enjeu majeur.

        Oui. On l'a bien vu récemment, où on était tous quasi-obligés de se mettre en télétravail alors que les questions de l'accès à Internet et de l'accès au terminal n'ont toujours pas été résolues.

        Quid de la révocation ? Car si une faille est découverte et qu'un attaquant arrive à renouveler les clés avant leur propriétaire légitime… Indispensable également en cas d'usurpation d'identité.

        Tu utilises le certificat de révocation que tu n'as bien sûr pas oublié de créer et de backuper quand tu as obtenu ta clé.

        Pour terminer, cela fait aussi un magnifique point de centralisation. Que se passerait-il en cas d'attaque style déni de service ? Ou d'un ransongiciel ? Si le système tombe ne serait-ce qu'une journée, cela serait un beau merdier. Plusieurs jours, je n'ose imaginer… car l'impact serait national. C'est également un risque à prendre en compte.

        Tu parles de l'annuaire public ? Ou de l'e-mail ?

        Pour l'annuaire public, les serveurs HKP ça peut se répliquer (on utilise même des pools maintenant), par contre en cas de faille dans le fonctionnement de ceux-ci (comme il y a eu récemment avec les signatures), je ne sais pas.

        Pour l'e-mail on parle d'adresses qui refusent les courriers dépourvus de signature valide, ça ne veut pas dire que ça doit être centralisé, n'importe qui peut faire ça.

        *splash!*

        • [^] # Re: GPG c'est bien

          Posté par  (site web personnel) . Évalué à 3. Dernière modification le 24 août 2020 à 09:09.

          GPG n'est pas sans problème. La taille du registre des clefs révoquées est déjà gros. Je ne pense pas que le système puisse passer à l'échelle.

          Passer par la préfecture en cas de soucis n'est pas vraiment une option non plus, il faudrait des milliers de fonctionnaires juste pour gérer tous ces problèmes potentiels.

          L'état avait tenter le coup au début avec les impôts qui donnait un certificat reconnu par le navigateur. Mais c'était hyper chiant, il fallait se rappeler quelle machine l'avait, qu'elle n'avait pas été réinstallé et autre.

          "La première sécurité est la liberté"

          • [^] # Re: GPG c'est bien

            Posté par  . Évalué à 10.

            Passer par la préfecture en cas de soucis n'est pas vraiment une option non plus, il faudrait des milliers de fonctionnaires juste pour gérer tous ces problèmes potentiels.

            Bah, on a bien plus que ça de chômeurs qui apprécieraient qu’on leur propose du travail de bureau en préfecture, pour changer des boulots moisis que Pôle Emploi tente habituellement de leur refiler… Et pour le salaire, je reste persuadé que ce serait une goutte d’eau comparé à ce qu’on peut récupérer du côté de la fraude fiscale des entreprises.

            Bref, ce n’est absolument pas un souci de devoir créer des milliers de postes de fonctionnaires, bien au contraire ;)

            • [^] # Re: GPG c'est bien

              Posté par  (site web personnel) . Évalué à 3.

              On ne doit pas avoir la même définition de "l'efficacité" ?

              "La première sécurité est la liberté"

              • [^] # Re: GPG c'est bien

                Posté par  (site web personnel) . Évalué à 4.

                Le but d’une entreprise est de fournir un travail à des personnes. L’argent est un moyen en vue de cette fin.

                L’efficacité d’une entreprise peut donc se mesurer à sa capacité à salarier des personnes (note: ne pas confondre avec le fait de salarier une personne avec le travail d’autres personnes).

                Bien sûr il serait dommage de payer des gens à reboucher des trous qu’ils creusent, mais ça, à la rigueur, c’est la problématique de l’efficacité et de l’utilité du travail, pas la question de l’efficacité de l’entreprise.

                ce commentaire est sous licence cc by 4 et précédentes

    • [^] # Re: GPG c'est bien

      Posté par  . Évalué à 2. Dernière modification le 27 août 2020 à 18:15.

      L'Estonie, il y a quelques années, s'est emparé du problème de l'identité régalienne dans le monde numérique : ils ont mis en place une carte d'identité basée sur carte à puce. Elle permet d'authentifier ses échanges avec l'administration notamment : https://e-estonia.com/solutions/e-identity/id-card/ . Je ne comprend pas qu'on ne fasse pas pareil chez nous, sur des cartes d'identités qui sont de toute façon munies d'une puce…

      La solution, si je ne me trompe pas, est une PKI classique, basée sur des certificats x509. Dans le cadre d'une identité garantie par l'état, ça me semble une plutôt bonne solution. Libre à toi d'authentifier les utilisateurs à l'aide de sa clef certifiée par l'état et ensuite de lui émettre une nouvelle identité numérique, basée sur OpenPGP.

      Je ne vois pas bien l'interrêt de donner à cette identité une durée de vie trop courte, sinon ajouter un protocole et ses possible faiblesse pour le renouvellement (ou encombrer les préfectures, mairies, etc.). Surtout si on vise à faire de la signature : ma signature d'achat de maison, j'aime autant qu'on puisse la vérifier longtemps après que ma clef ait expirée, il faudra donc garder toutes les clefs émises, au moins jusqu'à ma succession.

      • [^] # Re: GPG c'est bien

        Posté par  . Évalué à 3.

        Tu as besoin de révoquer ces certificats et ça ne monte pas en charge. À chaque fois que tu veut valider un certificat, il faut aller vérifier les liste de révocations (CRL). Plus tu allonge la durée de validité plus tu allonge la taille de la CRL.

        Une durée de vie longue augmente la durée pendant la quelle tu accepte des algorithmes faibles (algo de chiffrement, somme de contrôle,…).

        https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

        • [^] # Re: GPG c'est bien

          Posté par  . Évalué à 2.

          Tu as besoin de révoquer ces certificats et ça ne monte pas en charge. À chaque fois que tu veut valider un certificat, il faut aller vérifier les liste de révocations (CRL). Plus tu allonge la durée de validité plus tu allonge la taille de la CRL.

          Tu ne peux virer les certificats expirés des CRL uniquement pour les clefs qui ne servent qu'en "live", comme les certificats des sites web. Pour des certificats de clefs qui peuvent avoir du sens longtemps après expiration (ancien messages chiffrés, signature), tu as potentiellement besoin de connaître l'état de révocation du certificat longtemps après son expiration. Dans ce cas, des certificats à durée de vie courte amplifie le problème.

          En fait, c'est une histoire de compromis : tu fais des choix plus ou moins risqués qui donne des résultats plus ou moins pratiques… tout comme la carte d'identité : les garder valables 10 ans (voir plus en UE)a des inconvénients (les gens changent en 10 ans, plus de risque de fraude, etc), mais ça évite de faire les démarches tous les quatre matins.

          • [^] # Re: GPG c'est bien

            Posté par  . Évalué à 3.

            Pour des certificats de clefs qui peuvent avoir du sens longtemps après expiration (ancien messages chiffrés, signature)

            Il ne faudrait pas. Si on les fait expirer ce n'est pas pour rien, elle se fragilisent avec le temps. Pour les 2 cas que tu donne en exemple :

            • ancien messages chiffrés : tu met à jour ta clef/tu rechiffre tes données, le fait que ton interlocuteur ai utilisé une ancienne de tes clefs publique n'a pas grande importance, son objectif était de te le faire parvenir malgré un medium peu fiable. Il n'y a aucun intérêt à garder le message tel quel, la manière dont tu stocke le message pour archivage est indépendant ;
            • signature : la signature a la même question, tu ne va pas revalider une signature des années après. Si à t0 je t'envoie un message que j'ai signé, tu le reçois, tout va bien, si ma clef est compromise à t1, tu va arrêter de faire confiance à mon message ? Encore une fois la signature en question est là pour garantir que le message vient de moi, une fois qu'il t'es parvenu, la signature a fait son travaille, éventuellement tu peu resigner le message pour traçabilité (et resigner quand tu met à jour ta clef parce que sinon la signature devient faible).

            Il ne faut pas croire qu'un système cryptographique est pérenne, il est nécessaire de faire suivre la chaine de confiance dans le temps (resigner/rechiffrer), sinon on s'appuie sur des éléments cryptographiques (algorithme, taille de clef, algo de hash, plus tout un tas de paramètres comme la gestion de l'alignement) de plus en plus faibles.

            https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

      • [^] # Re: GPG c'est bien

        Posté par  . Évalué à 3.

        Pareil en Belgique depuis 2002. Au final, c'est très peu utilisé.

        « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

  • # BankID et calculette

    Posté par  (site web personnel) . Évalué à 10.

    C'est un sujet déjà maintes fois abordé, et le résultat est que la France fera comme elle fait toujours : filer le marché juteux (sur le dos des contribuables) aux copains des grosses SS2I avec un résultat à la hauteur de l'appli stopCovid, c'est à dire proche du néant.

    Il ne faudrait surtout pas pour une fois s'inspirer de ce qui se fait ailleurs et qui fonctionne.

    Par exemple en Suède, il existe depuis belles lurettes une infrastructure nommée BankID qui répond aux besoins. Voila comment ça fonctionne :

    En premier, il faut un personummer : numéro personnel, genre de numéro de carte d'identité qui fait 12 chiffres (facile à retenir puisque 8 chiffres sont la date de naissance, et les 4 autres un numéro séquentiel des demandes pour cette date). En France on a le numéro de sécu qui s'y rapproche. En Suède, tout le monde à un personummer, et donc une carte d'identité suédoise, y compris les étrangers qui s'y installe (avoir une carte d'identité suédoise ne veut pas dire qu'on est de nationalité suédoise).

    Ensuite il faut une application sur smartphone, application a un code secret pour se lancer (6 chiffres).

    Si on veut s'authentifier sur un site quelconque (sa banque, les impôts, aides sociales, payer un amende, rechercher un job sur le site du pole emploi, …), le cheminement est le suivant :
    - sur le site, je tape mon personnummer (ce n'est pas un secret).
    - le site contacte BankID (intermédiaire de confiance) et me dit de lancer l'appli BankID sur mon smartphone.
    - je lance bankID sur le smartphone, tape mon code secret (6 chiffres), et l'appli m'indique que le site xxx que je consulte veut que je m'authentifie.
    - je dis ok. C'est terminé.

    Le site en question ne connait que mon personummer et BankID lui a confirmé que c'est bien moi.
    Le tiers de confiance sait que je me suis authentifié sur tel ou tel site. Ca peut être vu comme un problème de confidentialité, mais c'est censé être géré par l'état, qui peut déjà consulter les logs des FAI, donc bon…

    Paraitrait-il que l'appli BankID nécessite les API google. Je n'ai pas vérifié, et s'en inspirer ne veut pas dire faire exactement pareil. Il y a moyen de faire un truc propre et léger.

    J'entends déjà hurler les "c'est cool ton truc, mais je n'ai pas de smartphone, comment je fais ?". Il existe aussi des genres de mini-calculettes qui demande un code pin (secret, initialisé au départ) qui génèrent des nombres uniques et temporaires (jetons), c'est également ce qui est utilisé en Suède, fournie gratuitement et qui tient dans la paume de la main. C'est principalement utilisé pour valider les paiements en ligne.

    Mais mon côté pessimiste me fait dire qu'on va réinventer la chose, pour très cher et en moins bien. La french touch quoi.
    En cadeau : ma main velue avec une calculette fournie par Sewdbank.
    Calculette

    • [^] # Re: BankID et calculette

      Posté par  (site web personnel) . Évalué à 6.

      Ton truc ressemble à la techno freeotp + un bon fichage de la population pour gérer l'ID unique de tout le monde, non ?

      "La première sécurité est la liberté"

      • [^] # Re: BankID et calculette

        Posté par  (site web personnel) . Évalué à 6. Dernière modification le 24 août 2020 à 12:33.

        Le sujet est "Authentification et identité numérique…", donc c'est un peu le but d'avoir un ID unique qui soit facile à utiliser pour s'identifier sur les sites sur lesquels une identification est nécessaire.

        Pour le fichage, je ne vois pas ce que ça ajoute de plus que ce que l'état connait déjà. Tu as d'ailleurs déjà quelques ID uniques (numéro de sécu, CNI, numéro de passeport…), et des moyens de t'identifier (france connect et consorts), c'est juste que c'est un peu le bordel, donc pas simple d'utilisation.

        • [^] # Re: BankID et calculette

          Posté par  (site web personnel) . Évalué à 2. Dernière modification le 24 août 2020 à 12:41.

          "donc c'est un peu le but d'avoir un ID unique qui soit facile à utiliser pour s'identifier sur les sites sur lesquels une identification est nécessaire."

          Non, avec un truc type GPG, ce n'est pas le cas. Chaque site contient ses utilisateurs, mais personne n'a la liste complète.

          Pour le fichage, je ne vois pas ce que ça ajoute de plus que ce que l'état connait déjà

          Le croisement de fichier fait peur. C'est à double tranchant. L'état sera bien plus efficace pour traquer les abus, les personnes en difficulté et les opposants politiques.

          Quelqu'un aurait une source sur les problèmes posées par le fichage généralisé (qui ont amené à créer la CNIL tout de même) ?

          "La première sécurité est la liberté"

          • [^] # Re: BankID et calculette

            Posté par  (site web personnel) . Évalué à 5.

            Non, avec un truc type GPG, ce n'est pas le cas. Chaque site contient ses utilisateurs, mais personne n'a la liste complète.

            Oui, si le but est de s'authentifier. Non, si le but est de s'identifier. Ce sont deux besoins différents.

            Le croisement de fichier fait peur. C'est à double tranchant. L'état sera bien plus efficace pour traquer les abus, les personnes en difficulté et les opposants politiques.

            Ca dépend… de l'usage qui en est fait; sans doute.
            En Suède ça se passe bien, c'est efficace (l'administration suédoise est globalement largement plus efficace que l'administration française). Que les abus (des politiques surtout) et personnes en difficulté soient traqués plus efficacement me semble être plus une qualité qu'un défaut. Pour les opposants politiques… heu, je ne vois pas ce qui pourraient être fait de plus que ce qui se fait déjà (les RG ont déjà des dossiers bien remplis), et là aussi il n'y a pas de cas en Suède venant conforter cette idée.

            • [^] # Re: BankID et calculette

              Posté par  (site web personnel) . Évalué à 3.

              Oui, si le but est de s'authentifier. Non, si le but est de s'identifier. Ce sont deux besoins différents.

              Oui, et c'est même dans l'article. Si tu as une identité + une clef signé par l'état pas besoin de base de donnée.

              je ne vois pas ce qui pourraient être fait de plus que ce qui se fait déjà

              Je pense au 2 ou 3 pays ayant fait des "listes noires" de site web. L'Australie (de mémoire) avait ajouté des sites d'opposants politiques, Wikileaks avait fait fuiter cette liste.

              Si les bases ne surveillent pas sérieusement qui consultent et qui modifient (droit bien gérer + traçabilité), cela donne une puissance énorme aux personnes qui gèrent ses bases.

              "La première sécurité est la liberté"

              • [^] # Re: BankID et calculette

                Posté par  (site web personnel) . Évalué à 4.

                Tu as raison.
                On ne parlait juste pas tout à fait de la même chose, je voyais ça pour un usage proche de celui de la Suède, à savoir s'identifier sur des sites étatiques ou assimilés, là où s'identifier a vraiment un intérêt, pas pour les sites lambda comme linuxfr.
                Mais il ne faut pas se leurrer, quand cette identification sera mise en place (et elle le sera, ce n'est qu'une question de temps), il y aura forcément ensuite une loi qui sera pondue pour que ce soit obligatoire, y compris sur les sites lambda, au nom de la lutte contre le terrorisme informatique (l'excuse qui fait tout passer).
                Il y aura quelques avantages, par exemple il faudra assumer ses propos sur les forums et autres, fini de se cacher derrière un pseudo, mais il y aura aussi risque de dérives de l'état.
                Donc tes craintes sont fondées, non pas sur l'usage initial, mais sur l'usage détourné à long terme, compte tenu de la nature des hommes de pouvoir. La France n'est pas la Suède, la transparence n'est pas dans nos moeurs.
                C'est l'histoire du couteau qui sert à couper la nourriture, ou à tuer quelqu'un. L'outil peut être utilisé à bon escient, ou pas.

    • [^] # Re: BankID et calculette

      Posté par  . Évalué à 10.

      J'entends déjà hurler les "c'est cool ton truc, mais je n'ai pas de smartphone, comment je fais ?". Il existe aussi des genres de mini-calculettes qui demande un code pin (secret, initialisé au départ) qui génèrent des nombres uniques et temporaires (jetons), c'est également ce qui est utilisé en Suède, fournie gratuitement et qui tient dans la paume de la main. C'est principalement utilisé pour valider les paiements en ligne.

      Je fais partie des sans-smartphone, qui galèrent un peu plus chaque année pour de plus en plus de démarches, qu’elles soient liées à l’administration ou à d’autre structures obligatoires comme les banques.

      Bah franchement, ce genre d’appareil "low-tech" et hors-ligne, je l’adopte dès demain si on me le propose. On pourra toujours me rétorquer que ça veut dire que je ne peux pas envoyer de virement bancaire quand je suis en déplacement sans mon boîtier, mais c’est déjà le cas actuellement vu que ma banque m’envoie des codes sur mon téléphone fixe en cas d’opération à valider.

    • [^] # Re: BankID et calculette

      Posté par  . Évalué à 10.

      Pour le coup, les pays scandinaves ne sont pas forcement à prendre en exemple non plus : comme tu le décris bien, chez eux, ce sont les banquiers qui se sont saisis de la problématique de l'identité régalienne. Et ils ont très bien réussi, ils sont aujourd'hui presque indispensables.

      Le raisonnement est simple : tout le monde doit avoir un compte en banque, et puisque les régulations les obliges à faire de grosses vérifications de l'identité de leurs clients, et qu'ensuite ils ont tous les outils pour faire de l'authentification à distance (notamment les cartes de paiement), pourquoi ne pas s'en servir. Le raisonnement tient dans les deux sens : de la part du banquier qui se rend indispensable ; de la part de l'état qui veut être efficace avant tout, et ne pas se lancer dans un bourbier logiciel.

      Mais quand ce sont des boites privées qui se mettent à fournir les services d'identités à la place de l'état, j'ai mon alarme Cyberpunk qui se met en route, j'y peu rien, ça me fait flipper :/

  • # Etre quelque chose

    Posté par  (site web personnel) . Évalué à 4.

    Oui, historiquement dans la sécurité informatique on disait ça, sauf qu'être quelque chose ça a le mauvais goût de ne pas se changer ni se transmettre.
    En réalité il s'agit d'identification et non pas d'authentification, et confondre les deux c'est s'ouvrir a de gros problèmes.

    Ex mon empreinte digitale:
    - si on me la copie (oui on sait faire) je suis coincé définitivement car je ne peux pas en changer
    - si le me brûle je suis coincé définitivement, je n'ai plus d'empreinte
    - si je veux la transmettre (prêter parce que je suis malade, donner parce que je suis mort) c'est juste impossible

    Mais c'est valable pour toutes les biométries, même si on en imagine une que tout le monde a et ne peut pas perdre, l'amélioration des technologies fait qu'on pourra un jour la copier et donc voler l'authentification de quelqu'un sans recours.

    • [^] # Re: Etre quelque chose

      Posté par  (site web personnel) . Évalué à 2. Dernière modification le 24 août 2020 à 11:03.

      si je veux la transmettre (prêter parce que je suis malade, donner parce que je suis mort) c'est juste impossible

      Pourtant tu dis qu'on sait la copier ?

      Adhérer à l'April, ça vous tente ?

  • # Pas de numéro de sécurité sociale comme clé primaire

    Posté par  . Évalué à 6. Dernière modification le 24 août 2020 à 14:06.

    De mémoire de mes cours de droit informatique, à moins d'être dans le domaine médical, on a pas le droit d'utiliser le numéro de sécurité sociale comme identifiant ou comme clé de recherche et pour pouvoir légalement le stocker, il y a bien peu de cas autorisés (ce que votre déclaration de fichier informatique à la CNIL vous rappellera rapidement).
    En passant, ce n'est pas un identifiant unique pour identifier une personne physique :
    - Un enfant partage le même numéro de sécurité sociale que les parents jusqu’à ce qu'il ait le sien.
    - On peut avoir plusieurs numéros de sécurité sociale associés à une personne, notamment en cas de réassignation de genre.
    Donc on a un numéro qui peut être assigné à N personne et une personne qui peut avoir N numéros, une magnifique relation N-N, assez inadaptée comme identifiant unique.

    • [^] # Re: Pas de numéro de sécurité sociale comme clé primaire

      Posté par  (site web personnel) . Évalué à 4. Dernière modification le 24 août 2020 à 14:23.

      Le numéro de sécu / NIR est normalement à utiliser avec un nom + prénom pour réduire les collisions.

      Autre cas de collision de numéro : avec les centenaires qui se multiplient, et la date stockée sur deux chiffres, les chances de collision augmentent entre le Pierre Martin né le 3 juin 1920 à Groland (département 96) inscrit au numéro 042 de l'état civil et le Pierre Martin né le 3 juin 2020 à Groland (département 96) inscrit au numéro 042 de l'état civil, avec le même numéro 1.06.20.96.666.042 (le risque est abaissé par les modes sur les prénoms, la fusion/séparation de communes et la baisse de naissances aussi).

      Cet « identifiant fiable et stable, conçu pour rester immuable la vie durant » (cf https://fr.wikipedia.org/wiki/Num%C3%A9ro_de_s%C3%A9curit%C3%A9_sociale_en_France#cite_note-CNIL-3 ) peut être affecté par une demande de changement de sexe aussi.

    • [^] # Re: Pas de numéro de sécurité sociale comme clé primaire

      Posté par  (site web personnel) . Évalué à 3.

      Alors non. L'enfant à son propre numéro de sécu dès sa naissance. D'ailleurs celui ci apparait en clair sur les attestations de sécurité sociale que l'on peut aisément récupérer sur les site AMELI.
      Qu'on utilise celui d'un parent pour des questions administratives n'a rien à voir.

      Pour le coup du changement de sexe, il me semble que le numéro d'ordre est indépendant du sexe (autrement dit, on attribue pas le même numéro d'ordre a un garçon et une fille nés dans le même lieu le même mois de la même année, ce numéro est unique pour chaque mois/année dans chaque commune).

    • [^] # Re: Pas de numéro de sécurité sociale comme clé primaire

      Posté par  . Évalué à 6.

      De ce que j'ai pu comprendre de lectures passées (et récentes ;-) ), le NIR est signifiant et qu'il permet donc du tri (voire de la discrimination). On peut même remonter à la personne si on dispose de son NIR.

      En effet, le NIR n'est pas aléatoire :
      le premier chiffre correspond au sexe de la personne (1 : masculin / 2 : féminin)
      les deux suivants correspondent à l'année de naissance (85 : pour 1985)
      les deux suivants correspondent au mois de naissance (05 : pour mai)
      les deux suivants correspondent au département de naissance (63 : Puy de Dôme)
      Les trois suivants correspondent à la commune de naissance (047 : La Bourboule)
      Les trois suivants correspondent au numéro d'ordre sur le registre d'état civil (005 : 5ème naissance à la Bourboule en mai 1985)
      Les deux derniers correspondent à la clé de contrôle (reste de la division euclidienne par 97)

      Il est donc théoriquement (voire pratiquement) possible d'identifier quelqu'un uniquement via son NIR.

      Un enfant ne partage pas son NIR avec celui de ses parents puisqu'il dispose du sien. Par contre, il n'a pas de carte vitale avant ses 16 ans. Avant ça, il est sur la carte vitale d'un parent (qui stocke les différents NIR des enfants rattachés, le professionnel de santé sélectionnant la personne soignée)

      • [^] # Re: Pas de numéro de sécurité sociale comme clé primaire

        Posté par  (site web personnel) . Évalué à 3.

        Un collègue raconte qu'il a eu deux n° de sécu. Son premier lors de sa naturalisation, puis un courrier reçu quelques années plus tard lui indiquant son nouveau numéro, sans explication.

        Il a gardé le courrier au chaud pour faire valoir ses droits à la retraite quand il devra justifier ses trimestres : il s'attend a des galères…

        • [^] # Re: Pas de numéro de sécurité sociale comme clé primaire

          Posté par  (site web personnel) . Évalué à 5.

          Il a gardé le courrier au chaud pour faire valoir ses droits à la retraite quand il devra justifier ses trimestres : il s'attend a des galères…

          Peut être qu'il ne devrait pas attendre, et commencer à poser des questions auprès des services compétents (lesquels?)

          Pourquoi bloquer la publicité et les traqueurs : https://greboca.com/Pourquoi-bloquer-la-publicite-et-les-traqueurs.html

  • # « FreeOTP »

    Posté par  (site web personnel, Mastodon) . Évalué à 5.

    Ce n'est pas correct de mentionner uniquement FreeOTP. Il s'appuie sur des normes ouvertes (comme TOTP) donc si ça marche avec FreeOTP, ça marchera avec n'importe lequel des très nombreux logiciels qui font du TOTP. FreeOTP n'est qu'un logiciel, pas un protocole.

    (Et TOTP n'utilise pas de clé publique, contrairement à ce qui est écrit.)

  • # France Connect n'a pas échoué

    Posté par  (site web personnel, Mastodon) . Évalué à 5.

    La remarque sur FranceConnect est curieuse. En quoi a-t-il « échoué » ? Je trouve que c'est une bonne idée, bien mise en œuvre, et qui semble largement utilisée.

    • [^] # Re: France Connect n'a pas échoué

      Posté par  (site web personnel, Mastodon) . Évalué à 7.

      Petit exemple personnel.

      J’ai un compte FranceConnect via La Poste. Un facteur est donc passé il y a quelques années chez moi pour vérifier que j’existe bien à l’adresse indiquée.

      Voilà que ça a changé, et il m’est demandé de refaire le toutim d’identité soit en utilisant un système numérique (webcam, reconnaissance faciale et ça c’est non, ferme et définitif) et, à cause de la pandémie de passer à un bureau de poste munie du SMS que j’ai reçu pour refaire mon identité numérique (déjà ça craint, il faut un téléphone mobile). Je suis passée ce matin, j’ai fui devant la foule. Mais, si j’ai bien compris, ça ne sera valide qu’après avoir montré mon museau masqué) et ma carte d’identité au bureau de poste (pas de problème) ET avoir fait je ne sais quoi sur une appli à télécharger. Je suis quasiment sûre que l’appli n’existe pas sur F-droid ou sur un site non Google, de toute façon, il n’y a aucune obligation légale à posséder un smartphone.

      Ça c’est déjà un problème. Ensuite, finalement, c’était pas si simple de se connecter via FranceConnect. Déjà, ça ne marchait pas pour tout. Et enfin ça ne donne pas une signature numérique.

      Je ne pense pas que ça soit vraiment une réussite.

      « Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.

      • [^] # Re: France Connect n'a pas échoué

        Posté par  (site web personnel, Mastodon) . Évalué à 9.

        C'est un témoignage concernant un des fournisseurs d'identité qui peut utiliser FranceConnect (personnellement, j'ai utilisé Ameli et les impôts). Le principe de FranceConnect étant de séparer le service d'authentification du fournisseur d'identité, il me semble qu'un problème chez un des fournisseurs d'identité ne remet pas en cause FranceConnect.

      • [^] # Re: France Connect n'a pas échoué

        Posté par  . Évalué à 2.

        Autre exemple personnel: l'appli Android L'identité numérique refuse de démarrer si elle n'a pas été installée depuis Google Play ! Donc si vous l'avez téléchargé en tant que fichier APK ou utilisé une appli comme Aurora Store ça ne marchera pas… :-(

        • [^] # Re: France Connect n'a pas échoué

          Posté par  (site web personnel, Mastodon) . Évalué à 3.

          Cela dit, j'ai essayé de me connecter à FranceConnect avec mon compte Ameli et ça fonctionne. Pas besoin d'appli dédiée.

          La Poste peut aller se faire voir dans les grandes largeurs.

          « Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.

    • [^] # Re: France Connect n'a pas échoué

      Posté par  (site web personnel) . Évalué à 3.

      Pas échoué dans l'absolu, mais l'idée de généraliser une solution de carte d'identité numérique à la population française n'est pas actuellement réalisée.

      • [^] # Re: France Connect n'a pas échoué

        Posté par  (site web personnel) . Évalué à 3.

        Ceci étant dit FranceConnect se targue de 17 470 533 personnes utilisatrices, pour la connexion à plus de 700 services en ligne.

      • [^] # Re: France Connect n'a pas échoué

        Posté par  (site web personnel, Mastodon) . Évalué à 6.

        Oui, mais cette idée d'une « carte d'identité numérique pour toute la population » étant mauvaise (et je rappelle que la carte d'identité n'est pas obligatoire en France), qu'elle ne soit pas réalisée ne me gêne pas.

        • [^] # Re: France Connect n'a pas échoué

          Posté par  . Évalué à 1.

          je rappelle que la carte d'identité n'est pas obligatoire en France

          Oui, mais pour autant, tu dois être en mesure de justifier ton identité… Il existe plusieurs documents pour le faire, rien n'empêche de généraliser l'identité numérique à plusieurs supports (et donc plusieurs clefs/certificats).

          • [^] # Re: France Connect n'a pas échoué

            Posté par  . Évalué à 3.

            je rappelle que la carte d'identité n'est pas obligatoire en France

            Oui, mais pour autant, tu dois être en mesure de justifier ton identité (loi de 1993 si je me souviens bien)… Il existe plusieurs documents pour le faire, rien n'empêche de généraliser l'identité numérique à plusieurs supports (et donc plusieurs clefs/certificats).

            Après, tu es effectivement libre de n'avoir aucun papier d'identité (le témoignage peut faire office de justificatif), mais tu t'expose à attendre au commissariat que les flics puissent vérifier ton identité… bref, c'est galère. On peut faire pareil avec le numérique : c'est facile avec les supports qui vont bien, c'est galère autrement.

  • # OpenPGP

    Posté par  . Évalué à 9.

    (J’avais vu passer la dépêche dans l’espace de rédaction mais n’avais pas trouvé le temps de corriger le paragraphe sur OpenPGP. Du coup, je fais part de mes commentaires chipotages ici.)

    GPG est un ancien système de chiffrement de courriel.

    • Le « système », c’est OpenPGP. GPG (GnuPG) est une de ses implémentations1 — largement la plus répandue et celle qui fait office de référence, certes, mais quand même une implémentation parmi d’autres.
    • Si OpenPGP est « ancien », alors HTTPS l’est tout autant. Les deux protocoles ont quasiment le même âge (environ 25 ans, ils sont nés vers le milieu des années 1990).
    • OpenPGP est surtout un système de vérification d’intégrité de paquetages logiciels, occasionnellement utilisé pour chiffrer des courriels. :D

    Lors des fameuses « key signing parties », les personnes donnaient une carte de visite avec l’empreinte de leur clef publique et montraient une pièce d’identité pour prouver qu’ils étaient bien les personnes qu’ils affirmaient être.

    C’est un mode de fonctionnement possible, c’est loin d’être le seul.

    Le nombre de signatures sur la clef publique distribuée par les serveurs de clefs était la garantie de leur authenticité.

    Le nombre de signatures portées par une clef publique n’a jamais été une garantie de l’authenticité de la clef. Dans le modèle de la toile de confiance, Alice considère que la clef de Bob est authentique parce qu’elle porte quelques signatures émises par des personnes en lesquelles Alice a confiance, pas parce qu’elle porte un grand nombre de signatures émises par des personnes dont Alice n’a probablement jamais entendu parler.

    Le système était alourdi par la distribution de la liste des clefs révoquées, qui devenait toujours plus grande.

    J’ai l’impression que ce passage fait davantage référence aux Certificate Revocation Lists (CRL) du monde X.509, dont l’usage a effectivement été abandonné (pour HTTPS du moins — les navigateurs web ne vérifient plus les CRL). Il n’y a pas de « liste des clefs révoquées » dans le monde OpenPGP. Quand une clef est révoquée, le certificat de révocation est attachée à la clef elle-même et distribué en même temps que la clef (typiquement via les serveurs de clefs).


    1. Je ne perds pas espoir, je finirai par faire rentrer cette distinction entre GPG et OpenPGP dans la tête des gens. Un jour… 

    • [^] # Re: OpenPGP

      Posté par  (site web personnel, Mastodon) . Évalué à 4.

      On peut aussi préciser qu'OpenPGP est une norme ouverte, spécifiée dans le RFC 4880.

    • [^] # Re: OpenPGP

      Posté par  (Mastodon) . Évalué à 3.

      Je ne perds pas espoir, je finirai par faire rentrer cette distinction entre GPG et OpenPGP dans la tête des gens. Un jour… ↩

      Il est inutile d'espérer pour entreprendre…

      Allez, en lisant ton commentaire, je me suis dis "Ah oui, j'ai déjà lu cela sur linuxfr". C'est déjà un début de mémorisation :-)

      Surtout, ne pas tout prendre au sérieux !

  • # Douanier numérique

    Posté par  . Évalué à 3. Dernière modification le 25 août 2020 à 10:21.

    Le douanier numérique est déjà présent dans pas mal d'aéroport internationaux depuis quelques années.

    Dans les pays Européens, on passe dans un sas, dans lequel on met la page du passeport comportant la photo. Il scan le visage, et autorise si il juge valide. Des fois ça ne passe pas, chez les personnes à la peau matte, je pense que c'est en raison du bruit supérieur au signal des caméras dans les valeurs de luminance sombres, dans ce cas un douanier vérifie manuellement.

    En Chine, depuis des années, il y a la reconnaissance faciale + vérification par douanier à l'arrivée et au départ, et depuis 2 ans, on met le passeport dans un scanner à des bornes, et scan les empreintes digitales (elles sont déjà contenues numériquement dans le passeport depuis une quinzaine d'années normalement). On a pas de ticket pour aller voir le douanier tant que l'on n'est pas passé à la borne. Et au moment, de passer au poste avec un vrai douanier, il faut remettre certains doigts sur un lecteur et la vérification de visage est effectuée. J'imagine que la personnes sans bras ou mains, doit pouvoir passer le test des empreintes, guidé par quelqu'un de l'aéroport/poste frontière pour éviter machine + ticket.

    Au Japon, de mémoire, ils se contente de relire les données du passeport et de comparer avec un vérificateur d'empreinte, puis caméra de reconnaissance faciale, au poste du douanier.

    • [^] # Re: Douanier numérique

      Posté par  . Évalué à 5.

      En Chine, depuis des années, il y a la reconnaissance faciale + vérification par douanier à l'arrivée et au départ, et depuis 2 ans, on met le passeport dans un scanner à des bornes, et scan les empreintes digitales (elles sont déjà contenues numériquement dans le passeport depuis une quinzaine d'années normalement)

      De mémoire, pour m'être un peu renseigné sur le passeport biométrique il y a quelques années, il y a deux catégories d'informations sur la puce :
      - l'état civil et la photo sont lisibles en déchiffrant à partir d'une clé calculable en lisant la MRZ (bande de texte noir avec plein de chevrons sur fond blanc sous la photo)
      - les autres informations biométriques (empreintes digitales principalement, mais les états peuvent en choisir/ajouter d'autres) ne sont lisibles que par le pays émetteur.

      Résultat, en Chine ils t'imposent une prise d'empreinte sur leurs machines avant de passer l'immigration, puisqu'ils ne peuvent pas lire directement celles sur le passeport. Et donc, ils gardent une belle base de données centralisée d'empreintes.

  • # « Norme open source de carte à puce USB » ?

    Posté par  . Évalué à 3.

    Il existe une norme open source de carte à puce USB qui a fait un peu parler d’elle. Le but était de pouvoir se connecter avec elle sur un site Web, Firefox ayant un module dédié pour cela. Les impôts, au début, utilisaient la méthode des certificats personnels pour s’identifier, le problème est qu’ils étaient stockés sur la machine et étaient perdus en cas de changement ou de réinstallation. Ils pouvaient aussi être volés (par un virus dédié). Cela n’aurait pas été le cas avec une telle sorte de clef.

    Tu fais référence à quelle norme, et quel module Firefox ?

    Pour moi ça ressemble à la description de Scute, un module PKCS#11 pour Firefox qui permet d’utiliser un certificat X.509 dont la clef privée est stockée sur une carte OpenPGP.

    Sauf que… je ne crois pas que Scute ait jamais vraiment fait parler de lui, même « un peu » (j’en suis le premier chagriné d’ailleurs, vu que j’en suis le mainteneur !), donc je me dis que ça ne doit pas être ça… Et du coup je suis curieux de savoir de quelle norme il s’agit !

    • [^] # Re: « Norme open source de carte à puce USB » ?

      Posté par  (site web personnel) . Évalué à 5. Dernière modification le 25 août 2020 à 16:50.

      Impossible de remettre la main dessus. Il y a eu quelques postes ici, une clef usb ("carte à puce") était vendu sur amazon fait par une startup qui respectait le standard. Mais je n'ai pas retrouver le nom. C'était vendu comme une solution à problèmes des login/mot de passe, mais cela n'a pas vraiment pris.

      https://linuxfr.org/news/openpgp-card-une-application-cryptographique-pour-carte-a-puce
      Sacré news technique, mais c'était la tienne, j'avais vu passé pourtant un lien amazon du produit qui fonctionnait avec Firefox.

      "La première sécurité est la liberté"

    • [^] # Re: « Norme open source de carte à puce USB » ?

      Posté par  . Évalué à 2. Dernière modification le 01 septembre 2020 à 11:46.

      Il existe une norme open source de carte à puce USB

      Une norme de carte à puce USB, ou de lecteur plutôt, c'est CCID. Mais ça concerne les drivers sur PC. À ma connaissance, il n'y a rien pour accéder à un lecteur de carte/SE interne depuis un navigateur ; il y a eu des tentatives (j'ai en mémoire une tentative de portage de OpenMobileAPI par le W3C), mais ça n'a jamais pris… Et je le regrette fortement.

      La solution la plus commune, c'est par le biais de Java (qui est plutôt bien foutu pour ce qui est des cartes à puces — il faut dire que beaucoup sont programmées dans ce langage), soit comme une applet (berk), soit de plus en plus par un serveur local (moi j'utilise du websocket, et on peu utiliser un autre langage, moi je le fais en Go), éventuellement embarqué dans un projet Electron.

      Je ne connais pas grand chose en extensions web, je ne sais pas si on pourrait faire la même chose pour faire une extension web (et lancer automatiquement le "serveur" local).

  • # La sécu c'est bien, la complexifier ça craint

    Posté par  (site web personnel) . Évalué à 7.

    Pour revenir au défi initial, comment pourrait faire la sécurité sociale ?

    Pour les branches maladies et accidents, il suffit de proposer des soins gratuits, comme ça la sécu n'aura pas besoin d'identifier les individus !

    Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

  • # clé de sécurité U2F

    Posté par  (site web personnel) . Évalué à 3.

    J'ai retrouvé la clé de sécurité dont je ne trouvais plus la norme : https://u2f-key.tech/fr/

    "La première sécurité est la liberté"

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.