|
|
Bruxelles veut renforcer l'identification en ligne
Julien L. -
publié le Samedi 19 Février 2011 à 09h35 -
posté dans Société 2.0
 La Commission européenne lance une consultation publique sur l'identification en ligne. De nombreuses activités se réalisant désormais via Internet (services bancaires, commerce électronique, administration), la question de l'authentification et de la sécurité est plus que jamais essentielle. Cette consultation vise aussi à uniformiser la législation à l'échelle européenne.
Ce débat arrive dans un contexte où les internautes européens ont désormais la possibilité de faire de nombreuses démarches depuis un poste informatique relié à Internet. Cela va des démarches administratives à distance aux opérations bancaires en ligne, sans oublier le commerce électronique. Autant d'activités qui demandent un haut niveau de sécurité et de fiabilité. "L'objectif est de permettre à n'importe qui en Europe d'utiliser Internet sans craindre de se faire escroquer ou de voir ses données utilisées à des fins frauduleuses. [...] Chacun est invité à donner son avis sur le moyen le plus efficace de vérifier l'identité et la signature d'une personne qui achète, vend ou effectue en ligne des démarches administratives qui doivent être parfaitement sécurisées" a commenté Neelie Kroes. Si la protection parfaite est bien entendu impossible à atteindre, de nombreuses propositions prétendent s'en approcher. On se souvient par exemple de la proposition de Jean-René Lecerf, sénateur UMP du Nord-Pas-de-Calais. Celui-ci avait proposé de se servir de la carte nationale d'identité pour s'identifier en ligne, et accomplir certaines démarches publiques ou privées. L'idée du sénateur était de stocker sur les cartes nationales d'identité des informations biométriques proches de celles que l'on retrouve sur les passeports biométriques, délivrés depuis bientôt deux ans. Une puce intégrée à la carte nationale d'identité contiendrait les informations habituelles (nom, prénoms, sexe, date et lieu de naissance, domicile), mais aussi les empreintes digitales et une photographie récente. La proposition de Jean-René Lecerf est à rapprocher d'une mesure listée dans le rapport sur l'éthique du numérique rédigé par quelques députés UMP, en juin 2010. De son côté, Nathalie Kosciusko-Morizet avait mis en avant le label idéNum. Celui-ci propose de stocker sur support matériel une signature électronique permettant de vérifier l'identité des internautes français lors de la connexion à certains services. à lire aussi
  Prix indiqués avec livraison
34
Commentaires à propos de «Bruxelles veut renforcer l'identification en ligne»
 Une fois qu'un site véreux à enregistré l'ensemble des ces information fournies gracieusement par le pigeon, qu'est ce qui l'empêche de les vendre pour faire des fausses identités.
Une fois qu'un commerçant véreux a récupéré le code de ta carte bleue, qu'est-ce qui l'empêche de l'utiliser ? Et pourtant, des millions de personnes payent tous les jours dans les magasins avec leur carte bleue. Quand au e-commerce, il progresse d'année en année. Et là, c'est encore pire : rien n'empêche un "commerçant" de faire une fausse page de demande de code de carte bleue, puis de s'en servir. La proposition concerne la mise en place d'une authentification d'une personne qui ne sera autorisée, bien entendu, que dans les cas où l'authentification nominative est indispensable : administration, banque, assurance, sécurité sociale, ... Un site comme Numerama n'aura bien entendu jamais l'agréement pour utiliser ce genre de système, pas parce qu'il n'est pas sérieux, mais parce que l'authentification nominative n'est pas nécessaire. Et le site de la FNAC n'aura pas non plus accès à ce genre d'authentification. Attention toutefois au risque de croisement des informations : le fait d'avoir un numéro de sécu différent du numéro fiscal, du numéro de compte bancaire, ... est indispensable pour éviter les croisements d'informations. Avec une authentification unique, on fait sauter un verrou.  Le système doit en effet garantir que le visiteur est bien la personne que l'on attends mais sans nécessairement la rattacher à une personne physique sans quoi, il n'est plus possible de créer plusieurs comptes distincts et toutes nos informations risquent de se retrouver dans la nature.
Personnellement je trouve qu'une solution telle que openID (http://www.openidfrance.fr/home-1/Decouvrir+OpenID.html) couplée avec une authentification forte (http://fr.wikipedia.org/wiki/Authentification_forte) peut être pas mal. Ou alors, si l'on veut rattacher une identité numérique à un support physique (comme c'est le cas avec la proposition du sénateur), il faudrait que ce soit quelque chose de remplaçable (genre des clés usb qu'on peut acheter en magasin et qui aient un numéro unique). On peut en avoir autant qu'on veut et on ne sait pas à qui appartient telle clée... Mais bon, le problème reste bien sur qu'internet n'a pas été conçu dans un objectif de fiabilité et de sécurité mais plutôt de résistance. Pour des sites nécessitant une authentification certaine de l'utilisateur (impôts, banque...), la meilleure solution serait selon moi de basculer sur un autre réseau que le web (qui peut avoir la même interface) afin que celui-ci offre des garanties de fiabilité (pas de TCP-IP par exemple). Toutes les autres solutions, reposant sur le web, auront des bases non fiables et seront donc faillibles ("on ne construit pas un château sur du sable"  ).c'est clair que l'identification sur internet est ce qu'il y a de moins sécurisé.... et chaque site ou organisme y va de sa petite méthode, que ce soit les pavés numériques à codes qu'il faut juste survoler sans cliquer pour éviter les keyloger, les certificats, ou le pire de tous: le simple mot de passe associé à un pseudo ou une adresse mail. comme il y a des mdp partout impossible de tous les retenir donc on prend le même pour presque tout. bon des moyens existent mais aucun n'est réellement satisfaisant.
au moins cette initiative aura peut-être le mérite de faire avancer les choses... stacato, le 19/02/2011 - 10:10 Une fois qu'un site véreux à enregistré l'ensemble des ces information fournies gracieusement par le pigeon, qu'est ce qui l'empêche de les vendre pour faire des fausses identités.
Une fois qu'un commerçant véreux a récupéré le code de ta carte bleue, qu'est-ce qui l'empêche de l'utiliser ? Et pourtant, des millions de personnes payent tous les jours dans les magasins avec leur carte bleue. Quand au e-commerce, il progresse d'année en année. Et là, c'est encore pire : rien n'empêche un "commerçant" de faire une fausse page de demande de code de carte bleue, puis de s'en servir. Sauf que si tu t'en rends compte, (en faisant régulièrement tes comptes), tu fais opposition, on te file une nouvelle carte et un nouveau code et voilà. Comment tu changes tes données biométriques? Tu meurs et tu te réincarnes c'est ça? Au lieu de faire ça, ils feraient mieux de donner des certificats aux gens, une autorité centrale stocke les partie publiques, et tu vas à la mairie/préfecture pour avoir ta partie privée. Et tu peux en demander un nouveau quand tu en a besoin.  Pourquoi toujours vouloir réinventer la roue ? La signature électronique (numérique) a valeur légale en France depuis 1999. Il suffit de mettre en place une IGC (infrastructure de gestion de clés).
 Lorsque l'on perd une clef, on change de cylindre pour avoir de nouvelles clefs. Si on se fait voler son identité, on ne change pas d'identité.
L'idée que la sécurité se résume à l'identité est fausse. La sécurité consiste à avoir des clefs différentes et à ne pas utiliser les mêmes clefs dans différents services. C'est bien pour cela que certaines banques pour sécuriser des transactions sur internet crées un bon unique et jetable de transaction plutôt que de transférer les données de cartes bleue au commerçant. stacato, le 19/02/2011 - 10:10 Une fois qu'un site véreux à enregistré l'ensemble des ces information fournies gracieusement par le pigeon, qu'est ce qui l'empêche de les vendre pour faire des fausses identités.
Une fois qu'un commerçant véreux a récupéré le code de ta carte bleue, qu'est-ce qui l'empêche de l'utiliser ? Et pourtant, des millions de personnes payent tous les jours dans les magasins avec leur carte bleue. Quand au e-commerce, il progresse d'année en année. Et là, c'est encore pire : rien n'empêche un "commerçant" de faire une fausse page de demande de code de carte bleue, puis de s'en servir. Sauf que si tu t'en rends compte, (en faisant régulièrement tes comptes), tu fais opposition, on te file une nouvelle carte et un nouveau code et voilà. Comment tu changes tes données biométriques? Tu meurs et tu te réincarnes c'est ça? Au lieu de faire ça, ils feraient mieux de donner des certificats aux gens, une autorité centrale stocke les partie publiques, et tu vas à la mairie/préfecture pour avoir ta partie privée. Et tu peux en demander un nouveau quand tu en a besoin. comme dans plusieurs pays en europe actuellement quoi. la france est une fois de plus à la traine mais l'article en parle comme si c'était à inventer. Pour le paiement sur internet, il existe une méthode simple & très efficace: Le n° unique.
(Exception: Ca ne peux pas marcher pour un abonnement récurrent, c'est tout). C'est fait en France par la méthode "e-carte bleue", qui est malheureusement proposé par très peu de banque en France, et qui coute cher au client (alors que c'est au bénéfice de la banque). L'avantage est que avec la e-carte bleue, on donne AUSSI le montant à débiter : Un autre montant sera refusé... Au US , paypal avait lancé cela il y a quelques années. J'arrive toujours pas a comprendre pourquoi c'est pas plus répandu. Enfin si: Les banques s'en foutent, de la fraude: Elles paient des assurances pour ça donc elles sont remboursées en cas de fraude. Les assurances s'en foutent, car elle augmentent simplement la cotisation annuelle des banques, qui nous la refacture via la cotisation annuelle de la carte bancaire. => On est dans un système classique de privatisation des bénéfices & mutualisation des pertes. Financièrement parlant, les banques n'ont RIEN a gagner à ce qu'il y ai moins de fraude à la CB, tant que la plupart gens ont encore confiance dans ce moyen de paiement. Changer de système coute juste cher pour 0 bénéfices court terme. Regardez aux US: C'est encore plus simple, le n° fait fois. Ya pas de code secret, rien.  Que devient notre "IDéNum" national au fait ?
Et combien de logiciels privateurs seront nécessaires pour la nouvelle initiative européenne ? Le système doit en effet garantir que le visiteur est bien la personne que l'on attends mais sans nécessairement la rattacher à une personne physique sans quoi, il n'est plus possible de créer plusieurs comptes distincts et toutes nos informations risquent de se retrouver dans la nature.
Le système est prévu pour les cas où l'identification de la personne physique est absolument indispensable. Tu n'aimerais pas que je fasse ta déclaration d'impôt à ta place, en remplissant les cases un peu au hasard ? Mais bon, le problème reste bien sur qu'internet n'a pas été conçu dans un objectif de fiabilité et de sécurité mais plutôt de résistance.
Oui. Mais l'Internet de 1970 n'a plus rien à voir avec celui de 2011 et n'aura rien avoir avec celui de 2050. Il ne faut pas rester figé sur des schémas d'il y a 40 ans. Toutes les autres solutions, reposant sur le web, auront des bases non fiables et seront donc faillibles
Aucun système n'est fiable à 100%, tout le monde le sait. Mais un système du monde physique basé sur la présentation d'une carte d'identité physique fonctionne (et pourtant on peut trouver des millions de situation où ce système est pris en défaut). Alors pourquoi pas un système basé sur une CI virtuelle ? Parce qu'il y aura des fraudes, il faut ne rien faire ? "sans craindre de se faire escroquer ou de voir ses données utilisées à des fins frauduleuses"
Le soucis c'est que les institutions en ligne, les grands groupes commerciaux et services bancaires etc... sont les premiers à faire usage de manière douteuse de nos informations personnelles en les vendant à des fins commerciales à d'autres... Pour moi, renforcer l'identification en ligne nécessite aussi l'augmentation de la confidentialité des données (données de navigation, d'historiques, etc...) des utilisateurs. Parce que renforcer l'identification, c'est nous suivre à la trace assuré. stacato, le 19/02/2011 - 12:13 Oui. Mais l'Internet de 1970 n'a plus rien à voir avec celui de 2011 et n'aura rien avoir avec celui de 2050. Il ne faut pas rester figé sur des schémas d'il y a 40 ans. Tu aimerais remplacer Internet par quoi, et ce sera basé sur quel(s) protocole(s) ?  MdMax, le 19/02/2011 - 11:40 Que devient notre "IDéNum" national au fait ? Et combien de logiciels privateurs seront nécessaires pour la nouvelle initiative européenne ? stacato, le 19/02/2011 - 12:13
Toutes les autres solutions, reposant sur le web, auront des bases non fiables et seront donc faillibles
Aucun système n'est fiable à 100%, tout le monde le sait. Mais un système du monde physique basé sur la présentation d'une carte d'identité physique fonctionne (et pourtant on peut trouver des millions de situation où ce système est pris en défaut). Alors pourquoi pas un système basé sur une CI virtuelle ? Parce qu'il y aura des fraudes, il faut ne rien faire ? L'identification c'est la clef dans la serrure. L'exemple de la carte d'identités est un mauvais exemple car elle sert quand même relativement peu et sa falsification ne pose aucun problèmes (tu apporte les bon documents en mairie et tu ressort avec une carte d'identité réel même au nom d'un autre). Les impôts ont déjà un système d'identification sur la feuille d'impôt qui ne nécessite en rien une carte d'identité électronique universelle pour être efficace. Tu as un numéros d'identification, le montant des impôts que tu as payés l'année précédente (information qui en France est relativement personnelle) et un code d'identification écrit sur la feuille d'impôts qui permet d'avoir une données variable autre. En gros tu as une clef unique, jetable d'une année à l'autre et qui ne correspond qu'a une seule et unique utilisation. Tu est dans un système sécurisé, ta clef une fois utilisée ne servira plus et ne permettra pas à un tiers de faire quelque chose de nuisible. Reste la gestion des certificats qui pose des problèmes lorsque plusieurs personnes utilisent le même ordinateur ou quand les personnes changent souvent de machine. Bas y a PGP pour l'identification.
Chaque personne, phisique ou morale, se crée une clé asymetrique GPG va faire enregistrer la clé publique auprès d'une autorité de confiance. À partire de là, tout le monde peut s'identifier de façon sécurisé. zorro3364, le 19/02/2011 - 10:30 c'est clair que l'identification sur internet est ce qu'il y a de moins sécurisé.... et chaque site ou organisme y va de sa petite méthode, que ce soit les pavés numériques à codes qu'il faut juste survoler sans cliquer pour éviter les keyloger, les certificats, ou le pire de tous: le simple mot de passe associé à un pseudo ou une adresse mail. comme il y a des mdp partout impossible de tous les retenir donc on prend le même pour presque tout. bon des moyens existent mais aucun n'est réellement satisfaisant. au moins cette initiative aura peut-être le mérite de faire avancer les choses... Pour les multiple mot-de-passe, certains OS proposent un système d'enregistrement sécurisé de ces dits mot de passes. J'en ai une chié, pourtant ils sont pour la pluparts différents.  En Belgique, on n'a pas de gouvernement ni de pétrole et parfois des idées.
Et nous avons donc une carte d'identité "électronique" qui remplace la CI en format papier. C'est la CI en format carte à puce qui contient les info de base comme nom, prénom, date de naissance, adresse, numéro de registre nationale, ... Avec cette carte, un petit lecteur et son code PIN on peut se connecter à différent services administratif (impôt, demande de document, statut fiscal, ...). On peut également signer des documents (mail, pdf, ...) avec, elle fournit un certificat SSL. Plus d'info: http://eid.belgium.be/fr/ Et cerise sur le gâteau, les logiciels sont opensource (GPL): http://code.google.com/p/eid-mw/ Autant la clé est un problème, la serrure n'est pas abordée...
Je m'explique: avec cette jolie identification que va-t-il être possible de faire en ligne? Tout ce qu'il sera possible d'y faire, sera donc accessible par un hack pur et dur du site. stacato, le 19/02/2011 - 12:13 Toutes les autres solutions, reposant sur le web, auront des bases non fiables et seront donc faillibles
Aucun système n'est fiable à 100%, tout le monde le sait. Mais un système du monde physique basé sur la présentation d'une carte d'identité physique fonctionne (et pourtant on peut trouver des millions de situations où ce système est pris en défaut). Alors pourquoi pas un système basé sur une CI virtuelle ? Parce qu'il y aura des fraudes, il faut ne rien faire ? C'est ce qui donne à ta carte d'identité, la clé, l'inverse étant aussi vrai, et, sans parler de la signature, pour les documents! stacato, le 19/02/2011 - 10:10 Une fois qu'un site véreux à enregistré l'ensemble des ces information fournies gracieusement par le pigeon, qu'est ce qui l'empêche de les vendre pour faire des fausses identités.
Une fois qu'un commerçant véreux a récupéré le code de ta carte bleue, qu'est-ce qui l'empêche de l'utiliser ? Et pourtant, des millions de personnes payent tous les jours dans les magasins avec leur carte bleue. Quand au e-commerce, il progresse d'année en année. Et là, c'est encore pire : rien n'empêche un "commerçant" de faire une fausse page de demande de code de carte bleue, puis de s'en servir. Soit 2,3/1000 des transactions internet. Et, les fraudes sont détectées, car se faire siphonner son compte: c'est visible; alors, qu'initier des démarches administratives, ... Avec des stats pareilles, tous les pirates vont peupler des adresses avec des familles de "Sims"; attention, je ne critique pas l'aspect ludique...
|
A LA UNE
LES + COMMENTÉS
 Télécharger
windows 7 gratuit,
voissa anonymo,
antivirus avast,
redtube video downloader,
restauration msn messenger,
emule island,
passion,
adobe flash player,
Accès rapide :
eMule (et mods eMule) |
Photo numérique |
Outils Réseau |
Codecs et plugins |
Nettoyeurs |
Optimisation |
Navigateur Web |
|
La Commission européenne a lancé vendredi 
Une fois qu'un site véreux à enregistré l'ensemble des ces information fournies gracieusement par le pigeon, qu'est ce qui l'empêche de les vendre pour faire des fausses identités.