A partir du moment ou il ne faut pas un pin pour accéder à une informatio de la carte, elle se doit d'être considérée comme publique.

Tu veux mon chip number?

534C494E336600296CFF28BFB0152E0F

Non il y a quelques autres infos non publiques, pour ne citer que celles ci:
-le numéro de carte (que tu as cité)
-le numéro du chip (<> de la carte)
-la date de début et de fin validité (difficile de la deviner aussi sans avoir vu la carte)

Si tu fais des combinaisons de ces champs, et d'autres considérés publics, c'est déjà plus difficile à avoir sans au minimum avoir eut ta carte d'identité en main.

rfr> Tu sembles oublier un principe de base. Une sécurité doit être proportionnelle aux informations que tu veux protéger. Hors ici, même si il a accès à ton compte, à part de lire un privé à toi et pouvoir poster en ton nom, quel est ton risque réel? Sincèrement?

Et si cela devait arriver par le plus grand des malheur, en plus on saura qui l'aura fait vu qu'on aura son IP et tu pourras porter plainte.

<troll du mardi>Si une simple clé me suffisait pour être content, j'utiliserais l'OpenId hein </troll du mardi>

Certes, mais ce n'est pas comme une des autres informations que l'on peut obtenir sans toucher du tout a ta carte. Ici on se rapproche du probleme des cartes magnetiques et des serveurs de resto qui partaient en cuisine avec pour les passer dans le sabot.

C'est la ou je veux en venir ... Il suffit qu'un autre site utilise la "Methode à Zion" pour authentifier ses membres et le concepteur du site pourra profiter du "Friendly Open Zion Single Sign-On".

Je ne l'oublie pas mais ici, au niveau sécurité, l'usage de l'eID que tu fais est carrément moins sécurisé que la protection par mot de passe.

Gné?



Donc tu trouves qu'il y a plus de chance qu'un mec ait ta carte d'identité, puisse la mettre dans un lecteur pour pirater ton compte informaticien.be que de simplement deviner ton mot de passe?
T'es sérieux là?

Et pourtant t'utilises la version HTTP et pas HTTPS, ce qui permet à n'importe quel pelé de te piquer ton mot de passe sur le réseau ou chez ton provider. Pourquoi tu pousses pas le vice jusqu'à là au moins?

Du tout. Il suffit qu'un mec se creer une petite applet et un proxy pour qu'il puisse envoyer les infos supposees contenues sur une carte d'identite, et ce, sans aucune carte ni lecteur.

Dans ce cas là, si j'ai bien tout suivi, il sera loggué sur un nouveau compte.
Je ne vois pas le problème.

Plus de chance qu'un mec me pique mes infos sur ma CI? Ben c'est clair, vu que c'est "déjà" fait ... Et je défié n'importe quel pelé de sniffé mon mot de passe

Gizmo, par exemple, pourrais-tu sniffé mon mot de passe s'il te plait?

Pas s'il rentre les infos d'un compte existant. C'est justement la tout le probleme.

Je ne suis pas pelé (et merci la prochaine fois de ne pas utiliser de mot avec accent, mon clavier en etant depourvu. )

Ou pire encore ... Imaginons un couple, qui se connecte sur informaticien.be, il y en a peut-être

Ils ont chacun un compte personnel ... Ben rien que dans ce cas, il suffit à l'un de prendre la carte de l'autre pendant la nuit et hop, c'est gagné.

Pour le mot de passe, là il faut des compétences techniques ...

Copaing... enfin!




Tu joues de mauvaise foi, j'ai insisté sur le fait qu'il doit être sur ton réseau, ou chez ton provider. Faut pas croire qu'il n'y a que des gens gentils chez les providers

Des compétences ultimes comme... de savoir qu'il va utiliser son code PIN comme 99% des gens, ou le nom de leur fille?
Ou d'avoir trouvé un "password sniffer" sur Google en 3s sans rien devoir coder?

Dis rfr, t'es sérieux sérieux dans tout le topic?
Franchement j'espère que non

Voici des informations publiques de ma carte d'identité:

Chip Number: 534C494E336600296CFF28BFB0152E0F

Date de validité: 31.01.2009 - 31.01.2014

C'est plus clair comme ça?

Toutes les infos, ce qui implique d'avoir donc touché à la carte.

rfr, sors de Gizmo

Ben hyper sérieux oui ... c'est toi qui me fait carrément peur là ...

Pour moi c'est comme si tu publiais ton mot de passe, pourquoi tu viens râler après?

Sinon, que j'ai dit que "c'était en beta" et que je devais utiliser une signature quelconque mais que je n'y voyais aucune urgence, que je l'ai répété 3 ou 4 fois déjà au moins, on s'en fout aussi?

Et que je ne vois en rien des informations sensibles sur informaticien.be, je l'ai dit aussi assez de fois?

Quel procès d'intention bon sang!

Pour moi non ...

Et pour le concepteur de l'eID, ces données n'ont jamais été "privée".

Mon mot de passe lui, il est privé.

Pour te donner un exemple plus parlant, la sécurité que tu proposes est a peu prêt équivalente à celle d'un mot de passe unique qu'on utiliserait sur tous les sites qu'on fréquente.