Informaticien.be » 2009/03/14 Informaticien adopte l'EID
Rappel du message précédent
2009/03/14 Informaticien adopte l'EID
Publié le 14/07/2009 @ 19:26:27,
Par rfrPour ton .der, il me demande aussi de le sauver
Combien les autres ont payé pour que IE8 soit allergique à cacert ...
To die is a time consuming activity, it often takes a lifetime (but some are faster than others ... though)
2009/03/14 Informaticien adopte l'EID
Publié le 14/07/2009 @ 19:39:04,
Par philfrEnfin, sous Firefox ça pulse, mais sous IE8 il te demande de le sauver, donc ça pulse déjà moins
Pour IE il y a d'autres moyens, pas testés par moi.
http://www.cacert.org/index.php?id=3
2009/03/14 Informaticien adopte l'EID
Publié le 14/07/2009 @ 19:45:39,
Par rfrTu es "Assurer" ?
To die is a time consuming activity, it often takes a lifetime (but some are faster than others ... though)
2009/03/14 Informaticien adopte l'EID
Publié le 14/07/2009 @ 19:51:03,
Par philfrDéjà que je trouve incroyable qu'on ai accepter d'avoir le même code pin pour les deux certificats
Moi j'ai du rentrer deux codes PIN quand j'ai été chercher ma carte. Mais j'ai constaté depuis que mes deux certificats on le même PIN.
Je n'ai pas voulu jouer le jeu de certains qui ont demandé de désactiver le certificat de signature au préposé communal incompétent (ou en tous cas très mal informé, comme quasi tous les fonctionnaires sensés expliquer les tenants et aboutissants de la question). Mais c'est clair que je suis tout aussi opposé à cette signature électronique contraignante qu'au vote par internet... Donc pour ma part, je préfèrerais virer ce certificat de ma carte.
A quand le premier procès pour contestation de signature ? Sans doute dès que la signature électronique par eID deviendra monnaie courante, ce qui n'est pas encore du tout le cas. Même Taxonweb n'utilise que l'authentification de l'eID.
2009/03/14 Informaticien adopte l'EID
Publié le 14/07/2009 @ 19:57:19,
Par rfrA quand le premier procès pour contestation de signature ? Sans doute dès que la signature électronique par eID deviendra monnaie courante, ce qui n'est pas encore du tout le cas. Même Taxonweb n'utilise que l'authentification de l'eID.
Intervat utilise la signature numérique pour ton envoi et tu reçois une pdf de confirmation qui est signée par un certificat du SPF.
To die is a time consuming activity, it often takes a lifetime (but some are faster than others ... though)
2009/03/14 Informaticien adopte l'EID
Publié le 14/07/2009 @ 20:05:59,
Par rfrMoi j'ai du rentrer deux codes PIN quand j'ai été chercher ma carte. Mais j'ai constaté depuis
En fait, c'est encore pire que ça ... Les deux codes que tu as entrés, ce sont les codes d'activations de tes deux certificats. C'est à ce moment que tu dois choisirs si tu vas activer ou revoker ces certificats.
Mais dans toutes les communes, le message est plutot:
"Il faudra recommencer la procedure deux fois, c'est comme ça. Après, n'oubliez pas votre code pin" (ce que 90% des gens font en passant la porte de l'administration ...). Pourquoi, comment ça ... je pense qu'ils comprennent à peine.
Je ne suis pas contre la signature numérique, mais le problème c'est de trouver une technologie qui permettent d'assurer le signataire de ce qu'il signe ... Et ça, c'est pas gagné. Mais je ne t'apprends rien si tu es proche des terminaux de payement
Mais signer quoique se soit sur un PC ... brrrrr ... Mais intervat, c'est obligatoire!
To die is a time consuming activity, it often takes a lifetime (but some are faster than others ... though)
2009/03/14 Informaticien adopte l'EID
Publié le 14/07/2009 @ 21:53:45,
Par rfrTiens, voici pourquoi on ne peut pas vraiment faire confiance aux juriste:
Le législateur a ensuite défini la signature électronique qui consiste "en l'usage d'un procédé fiable d'identification garantissant son lien avec l'acte auquel elle s'attache" (c.civ. art. 1316-4 al.2).
La signature électronique remplit dès lors les fonctions de la signature manuscrite pour autant que le procédé de signature mis en œuvre soit fiable. La fiabilité de ce procédé d'identification doit être prouvée, ce qui en pratique peut poser un certain nombre de difficultés matérielles, et rendre nécessaire le recours à une expertise. La généralité de ces termes autorise l'évolution technologique du procédé.
Vous remarquerez qu'on mélange de bon coeur deux concepts: procédé de signature et procédé d'identification.
En effet, autant la technologie peut assurer avec quasi certitude que la signature émane d'une personne donnée, autant il n'existe aucun moyen de preuve quant au fait que le document signé correspond bien à ce que l'utilisateur *pense* avoir signé. Surtout quand tout passe par des machines dont on connait la sensibilité aux virus, malware et autres brols ...
(Déjà rien que devoir entrer son code pin sur un clavier d'ordinateur est une hérésie ... La seule option valable serait au moins d'utiliser un lecteur de carte avec clavier!)
La comparaison est la suivante:
Imaginez que vous décidiez d'acheter une maison. Vous devez signer des contrats chez le notaire.
Mais en fait, vous devez signez le papier que le notaire vous tend, mais vous ne pouvez pas le lire. Vous devez faire confiance au notaire. Comme vous devriez, dans le cas de la signature électronique, faire confiance au logiciel qui calcul la signature ...
Bof quoi ...
Citation de: "Juriste en folie
Le législateur a ensuite défini la signature électronique qui consiste "en l'usage d'un procédé fiable d'identification garantissant son lien avec l'acte auquel elle s'attache" (c.civ. art. 1316-4 al.2).
La signature électronique remplit dès lors les fonctions de la signature manuscrite pour autant que le procédé de signature mis en œuvre soit fiable. La fiabilité de ce procédé d'identification doit être prouvée, ce qui en pratique peut poser un certain nombre de difficultés matérielles, et rendre nécessaire le recours à une expertise. La généralité de ces termes autorise l'évolution technologique du procédé.
Vous remarquerez qu'on mélange de bon coeur deux concepts: procédé de signature et procédé d'identification.
En effet, autant la technologie peut assurer avec quasi certitude que la signature émane d'une personne donnée, autant il n'existe aucun moyen de preuve quant au fait que le document signé correspond bien à ce que l'utilisateur *pense* avoir signé. Surtout quand tout passe par des machines dont on connait la sensibilité aux virus, malware et autres brols ...
(Déjà rien que devoir entrer son code pin sur un clavier d'ordinateur est une hérésie ... La seule option valable serait au moins d'utiliser un lecteur de carte avec clavier!)
La comparaison est la suivante:
Imaginez que vous décidiez d'acheter une maison. Vous devez signer des contrats chez le notaire.
Mais en fait, vous devez signez le papier que le notaire vous tend, mais vous ne pouvez pas le lire. Vous devez faire confiance au notaire. Comme vous devriez, dans le cas de la signature électronique, faire confiance au logiciel qui calcul la signature ...
Bof quoi ...
To die is a time consuming activity, it often takes a lifetime (but some are faster than others ... though)
2009/03/14 Informaticien adopte l'EID
Publié le 14/07/2009 @ 22:46:12,
Par rfrJe continue mes investigations et j'en arrive à la conclusion suivante ...
Il n'y a quasiment aucune possibilité pour un site web d'être sûr que l'on obtient les informations d'identité d'une personne ... Ca ne vaut rien, nada, bullshit ...
La seule chose qu'on peut savoir avec certitude, c'est le nom et le prénom de la personne via un des certificats ... super ...
En effet, un site web devra toujours passer par un applet pour obtenir les infos de l'EID ... mais l'utilisateur pourra toujours modifier un des éléments du système pour mentir sur son adresse, sa date de naissance (même si on pourra vérifier avec certitude qu'il est majeur ou pas vu la distinction entre l'eID et l'eID pour enfants).
Ajouter une signature ne changera pas grand chose ... L'utilisateur pourra signer de fausses infos (bon ok, dans ce cas ... on pourra prouver qu'il a menti mais il pourra aussi dire qu'il est victime d'une machination électronique).
En conclusion, la seule chose de vrai et de vérifiable la dedans ... et à distance, ce sont les certificats.
Moralité, ce truc aurait pu être (un peu plus) utile si:
- On avait un code pin par certificat
- Les informations d'identités inclues dans un certificats d'Identité.
Une autre solution aurait été d'intégrer dans chaque eID une clé privée unique, qui aurait servi à signer les informations d'identité (directement par la carte).
Donc au lieu d'avoir un appel du genre: getMunicipality()
ou aurait eu:
getSecureMunicipality(challenge) et en réponse, on aurait eu Municipality + S(Municipality, Challenge)
Plus j'y pense, et plus je déchante ... car la confiance des parties n'est jamais établies.
Donc ... l'eID, pour les informations d'ID pures, faut juste voir ça comme une aide au remplissage de formulaire "pour l'utilisateur". Sans plus.
Et finalement, un seul truc qui fonctionne et sur lequel toutes les parties peuvent s'accorder de manière sûr, c'est l'authentification.
Ce sont vraiment des spécialistes qui ont pondu ce truc ou ... c'est juste qu'on leur a demandé exprès de faire les choses n'importe comment?
Dernière édition: 14/07/2009 @ 22:54:53
Il n'y a quasiment aucune possibilité pour un site web d'être sûr que l'on obtient les informations d'identité d'une personne ... Ca ne vaut rien, nada, bullshit ...
La seule chose qu'on peut savoir avec certitude, c'est le nom et le prénom de la personne via un des certificats ... super ...
En effet, un site web devra toujours passer par un applet pour obtenir les infos de l'EID ... mais l'utilisateur pourra toujours modifier un des éléments du système pour mentir sur son adresse, sa date de naissance (même si on pourra vérifier avec certitude qu'il est majeur ou pas vu la distinction entre l'eID et l'eID pour enfants).
Ajouter une signature ne changera pas grand chose ... L'utilisateur pourra signer de fausses infos (bon ok, dans ce cas ... on pourra prouver qu'il a menti mais il pourra aussi dire qu'il est victime d'une machination électronique).
En conclusion, la seule chose de vrai et de vérifiable la dedans ... et à distance, ce sont les certificats.
Moralité, ce truc aurait pu être (un peu plus) utile si:
- On avait un code pin par certificat
- Les informations d'identités inclues dans un certificats d'Identité.
Une autre solution aurait été d'intégrer dans chaque eID une clé privée unique, qui aurait servi à signer les informations d'identité (directement par la carte).
Donc au lieu d'avoir un appel du genre: getMunicipality()
ou aurait eu:
getSecureMunicipality(challenge) et en réponse, on aurait eu Municipality + S(Municipality, Challenge)
Plus j'y pense, et plus je déchante ... car la confiance des parties n'est jamais établies.
Donc ... l'eID, pour les informations d'ID pures, faut juste voir ça comme une aide au remplissage de formulaire "pour l'utilisateur". Sans plus.
Et finalement, un seul truc qui fonctionne et sur lequel toutes les parties peuvent s'accorder de manière sûr, c'est l'authentification.
Ce sont vraiment des spécialistes qui ont pondu ce truc ou ... c'est juste qu'on leur a demandé exprès de faire les choses n'importe comment?
Dernière édition: 14/07/2009 @ 22:54:53
To die is a time consuming activity, it often takes a lifetime (but some are faster than others ... though)
2009/03/14 Informaticien adopte l'EID
Publié le 14/07/2009 @ 22:59:45,
Par Jean-Christopherfr > Tu sais que tu es un grand torturé?
2009/03/14 Informaticien adopte l'EID
Publié le 14/07/2009 @ 23:07:19,
Par rfrAllez, puis après c'est fini
Supposez ... que je suis un indépendant qui fasse développer une application de signature de contrat par une prestataire de service ...
Le monsieur passe une commande, il signe, le commerçant il est super content ...
Sauf que ... l'eID a en fait été volée et le code obtenu. Le propriétaire a bien prévenu son administration ... mais le prestataire n'a pas jugé utile d'utiliser OCSP pour vérifier que le certificat n'a pas été révoké. Kaboum ...
Je sais que c'est pareil pour un certificat ... mais ici, en laissant faire n'importe qui faire n'importe quoi avec le SDK, on risque d'avoir pas mal de désillusion ...
Supposez ... que je suis un indépendant qui fasse développer une application de signature de contrat par une prestataire de service ...
Le monsieur passe une commande, il signe, le commerçant il est super content ...
Sauf que ... l'eID a en fait été volée et le code obtenu. Le propriétaire a bien prévenu son administration ... mais le prestataire n'a pas jugé utile d'utiliser OCSP pour vérifier que le certificat n'a pas été révoké. Kaboum ...
Je sais que c'est pareil pour un certificat ... mais ici, en laissant faire n'importe qui faire n'importe quoi avec le SDK, on risque d'avoir pas mal de désillusion ...
To die is a time consuming activity, it often takes a lifetime (but some are faster than others ... though)
2009/03/14 Informaticien adopte l'EID
Publié le 14/07/2009 @ 23:26:43,
Par rfrMême pas vrai ... mais ce truc, qui utilises des technologies pas toujours facile à comprendre, est lâché dans la nature sans réelles explications sur ce que ça permet et ce que ça ne permet pas.
Avec la signature manuelle, on avait le problème des 10% d'analphabètes fonctionnels ...
Avec la signature numérique, je crois qu'on peut sans peine dire qu'on est à 99% d'analphabètes.
To die is a time consuming activity, it often takes a lifetime (but some are faster than others ... though)
2009/03/14 Informaticien adopte l'EID
Publié le 14/07/2009 @ 23:30:02,
Par didixMême pas vrai, t'avais qu'à aller voir ce qu'on peut en faire dans l'EID-Bus qui sillonne les foires et autres kermesses
2009/03/14 Informaticien adopte l'EID
Publié le 14/07/2009 @ 23:41:06,
Par rfrMême pas vrai, t'avais qu'à aller voir ce qu'on peut en faire dans l'EID-Bus qui sillonne les foires et autres kermesses
Et les gens comprennent???
To die is a time consuming activity, it often takes a lifetime (but some are faster than others ... though)
2009/03/14 Informaticien adopte l'EID
Publié le 15/07/2009 @ 01:10:30,
Par didix+/- mais pas sûr que ceux qui présentent comprennent mieux...
Puis c'est le truc basique qui en jette plein la vue: ToW, Maison du Futur avec liste de course et commande en ligne toussa (pas vraiment compris l'intérêt de l'EID pour ça), lecture du dossier médical par un médecin avec la carte d'un citoyen (pas tout capté non plus).
Mais j'ai eu un lecteur gratuit
Puis c'est le truc basique qui en jette plein la vue: ToW, Maison du Futur avec liste de course et commande en ligne toussa (pas vraiment compris l'intérêt de l'EID pour ça), lecture du dossier médical par un médecin avec la carte d'un citoyen (pas tout capté non plus).
Mais j'ai eu un lecteur gratuit
2009/03/14 Informaticien adopte l'EID
Publié le 15/07/2009 @ 08:04:40,
Par zionLa seule chose qu'on peut savoir avec certitude, c'est le nom et le prénom de la personne via un des certificats ... super ...
Bah, pour ma part, c'est déjà pas mal, qu'il ait forgé son adresse soit, tant qu'on sait qu'il a pas forgé son nom
Mais j'ai pas approfondi les documents qui parlaient de ça, il me semblait avoir lu un truc plus positif. On va voir
Je suis le Roy
2009/03/14 Informaticien adopte l'EID
Publié le 15/07/2009 @ 08:57:01,
Par rfrBah, pour ma part, c'est déjà pas mal, qu'il ait forgé son adresse soit, tant qu'on sait qu'il a pas forgé son nom
Mais j'ai pas approfondi les documents qui parlaient de ça, il me semblait avoir lu un truc plus positif. On va voir
Sauf s'il s'appeller François Dupont
J'ai un peu regarde l'applet de mon coté ... Tu utilises vraiment une vieille version du middleware
En fait, il y a moyen de deployer tout ce qu'il faut du coté client (Applet, Java API et interface JNI) via JNLP et une applet "spéciale". C'est intéressant car de ce fait, tu es un peu (beaucoup) moins tributaire de ce que le client fait du cas des mises à jour.
Mais ... hier j'ai voulu lancer le ./compile.sh de la nouvelle applet et ça n'a même pas voulu compiler
C'est surement une bêtise mais je n'avais pas le courage hier de lancer mon eclipse.
Je vais regarder aujourd'hui à ca.
To die is a time consuming activity, it often takes a lifetime (but some are faster than others ... though)
2009/03/14 Informaticien adopte l'EID
Publié le 15/07/2009 @ 09:29:06,
Par rfrTiens, si vous avez un lecteur de cartes (et une eID), vous pouvez essayer ceci:
https://www.erefer.be/
https://www.erefer.be/
To die is a time consuming activity, it often takes a lifetime (but some are faster than others ... though)
2009/03/14 Informaticien adopte l'EID
Publié le 15/07/2009 @ 09:36:19,
Par kortenbergIl y a deux certificats sur l'eID ?
quel est l'intérêt ?
quel est l'intérêt ?
2009/03/14 Informaticien adopte l'EID
Publié le 15/07/2009 @ 09:40:27,
Par TangPetite pierre à l'édifice, en tout cas au niveau de l'évolution de l'utilisation de l'eID pour "signer" des actes comme dans l'exemple de rfr.
Tu parles de signer un acte d'acquisition sans le lire.
Tu n'est pas si loin du futur car il est question d'utiliser l'eID pour signer un acte d'acquisition "électronique", où chaque partie serait chez son notaire et ne devrait dès lors plus se déplacer chez l'autre notaire.
Cet acte serait alors "validé" par les notaires via une carte "spéciale" de la Chambre des Notaires.
Ensuite l'acte serait envoyé aux différentes administrations pour les diverses formalités.
Cela a déjà été "testé" en France (où les distances entre notaire sont quand même plus contraignantes).
Mais pour l'instant en tout cas on en reste au bon vieux bic.
Voilà pour ma petite contribution à un des points soulevés.
Tu parles de signer un acte d'acquisition sans le lire.
Tu n'est pas si loin du futur car il est question d'utiliser l'eID pour signer un acte d'acquisition "électronique", où chaque partie serait chez son notaire et ne devrait dès lors plus se déplacer chez l'autre notaire.
Cet acte serait alors "validé" par les notaires via une carte "spéciale" de la Chambre des Notaires.
Ensuite l'acte serait envoyé aux différentes administrations pour les diverses formalités.
Cela a déjà été "testé" en France (où les distances entre notaire sont quand même plus contraignantes).
Mais pour l'instant en tout cas on en reste au bon vieux bic.
Voilà pour ma petite contribution à un des points soulevés.
2009/03/14 Informaticien adopte l'EID
Publié le 15/07/2009 @ 09:40:38,
Par zionTiens, si vous avez un lecteur de cartes (et une eID), vous pouvez essayer ceci:
https://www.erefer.be/
https://www.erefer.be/
Et avant qu'on clique, tu pourrais dire ce que cela fait?
Je suis le Roy
2009/03/14 Informaticien adopte l'EID
Publié le 15/07/2009 @ 09:43:06,
Par rfrIl y a deux certificats sur l'eID ?
quel est l'intérêt ?
quel est l'intérêt ?
L'un est utilisé pour l'authentification, l'autre pour la signature.
L'"intérêt" est que (la signature numérique a force légale), tu puisses utiliser ton eID sans "t'impliquer légalement" par une signature.
Même vu que l'accès aux deux certificats est conditionné par le même code PIN, l'intérêt est pour moi plus que limité (en réalité, ce n'est pas l'accès aux certificats qui est conditionné par un code pin ... le code pin sert juste à vous identifier comme propriétaire de la carte, par la carte elle-même. En effet, la carte n'acceptera pas de signer quelque chose avec la clé privée associée à votre certificats (et impossible à obtenir de l'extérieur) sans ce code pin. L'accès au certificat en lui même étant totalement libre, vu qu'il est "public").
On peut faire revoker l'un ou l'autre des certificats dans sa commune.
To die is a time consuming activity, it often takes a lifetime (but some are faster than others ... though)