Se connecter
Inscription
Mot de passe perdu
Supprimer un message
rfr
Je continue mes investigations et j'en arrive à la conclusion suivante ...
Il n'y a quasiment aucune possibilité pour un site web d'être sûr que l'on obtient les informations d'identité d'une personne ... Ca ne vaut rien, nada, bullshit ...
La seule chose qu'on peut savoir avec certitude, c'est le nom et le prénom de la personne via un des certificats ... super ...
En effet, un site web devra toujours passer par un applet pour obtenir les infos de l'EID ... mais l'utilisateur pourra toujours modifier un des éléments du système pour mentir sur son adresse, sa date de naissance (même si on pourra vérifier avec certitude qu'il est majeur ou pas vu la distinction entre l'eID et l'eID pour enfants).
Ajouter une signature ne changera pas grand chose ... L'utilisateur pourra signer de fausses infos (bon ok, dans ce cas ... on pourra prouver qu'il a menti mais il pourra aussi dire qu'il est victime d'une machination électronique).
En conclusion, la seule chose de vrai et de vérifiable la dedans ... et à distance, ce sont les certificats.
Moralité, ce truc aurait pu être (un peu plus) utile si:
- On avait un code pin par certificat
- Les informations d'identités inclues dans un certificats d'Identité.
Une autre solution aurait été d'intégrer dans chaque eID une clé privée unique, qui aurait servi à signer les informations d'identité (directement par la carte).
Donc au lieu d'avoir un appel du genre: getMunicipality()
ou aurait eu:
getSecureMunicipality(challenge) et en réponse, on aurait eu Municipality + S(Municipality, Challenge)
Plus j'y pense, et plus je déchante ... car la confiance des parties n'est jamais établies.
Donc ... l'eID, pour les informations d'ID pures, faut juste voir ça comme une aide au remplissage de formulaire "pour l'utilisateur". Sans plus.
Et finalement, un seul truc qui fonctionne et sur lequel toutes les parties peuvent s'accorder de manière sûr, c'est l'authentification.
Ce sont vraiment des spécialistes qui ont pondu ce truc ou ... c'est juste qu'on leur a demandé exprès de faire les choses n'importe comment?
Il n'y a quasiment aucune possibilité pour un site web d'être sûr que l'on obtient les informations d'identité d'une personne ... Ca ne vaut rien, nada, bullshit ...
La seule chose qu'on peut savoir avec certitude, c'est le nom et le prénom de la personne via un des certificats ... super ...
En effet, un site web devra toujours passer par un applet pour obtenir les infos de l'EID ... mais l'utilisateur pourra toujours modifier un des éléments du système pour mentir sur son adresse, sa date de naissance (même si on pourra vérifier avec certitude qu'il est majeur ou pas vu la distinction entre l'eID et l'eID pour enfants).
Ajouter une signature ne changera pas grand chose ... L'utilisateur pourra signer de fausses infos (bon ok, dans ce cas ... on pourra prouver qu'il a menti mais il pourra aussi dire qu'il est victime d'une machination électronique).
En conclusion, la seule chose de vrai et de vérifiable la dedans ... et à distance, ce sont les certificats.
Moralité, ce truc aurait pu être (un peu plus) utile si:
- On avait un code pin par certificat
- Les informations d'identités inclues dans un certificats d'Identité.
Une autre solution aurait été d'intégrer dans chaque eID une clé privée unique, qui aurait servi à signer les informations d'identité (directement par la carte).
Donc au lieu d'avoir un appel du genre: getMunicipality()
ou aurait eu:
getSecureMunicipality(challenge) et en réponse, on aurait eu Municipality + S(Municipality, Challenge)
Plus j'y pense, et plus je déchante ... car la confiance des parties n'est jamais établies.
Donc ... l'eID, pour les informations d'ID pures, faut juste voir ça comme une aide au remplissage de formulaire "pour l'utilisateur". Sans plus.
Et finalement, un seul truc qui fonctionne et sur lequel toutes les parties peuvent s'accorder de manière sûr, c'est l'authentification.
Ce sont vraiment des spécialistes qui ont pondu ce truc ou ... c'est juste qu'on leur a demandé exprès de faire les choses n'importe comment?
