Informaticien - 2009/03/14 Informaticien adopte l'EID

14/07/2009 @ 13:19:16: zion: 2009/03/14 Informaticien adopte l'EID

Bon, le débat sera long, et certainement plus durable que la news alors par simplicité, je propose qu'on continue sur le forum :smile:

La news:
http://www.informaticien.be/news_item-7567-BETA___Informaticien_be_accepte_votre_carte_d_identite.html

Pour répondre plus en détails à RFR sur le fait que des données sont lues sur la carte. Bien sûr, c'est le principe de la carte, pouvoir disposer d'informations fiables sur les utilisateurs. Cela peut permettre pour un e-Commerce d'avoir les données complètes avec une certification sur l'identité de la personne, et à l'utilisateur de ne pas devoir encoder à chaque fois ses données.

Comme quand on donne sa carte d'identité à sa banque ou à toute autre institution, les données publiques (nom/prénom/adresse) peuvent être lues, d'autres sites comme TaxOnWeb comme tu le soulignes n'en ont pas besoin, tout simplement parce qu'avec ton simple certificat ils ont déjà toutes les données pour t'identifier, ils ont pas besoin de lire ta carte pour connaître ton nom, ils savent même ce que tu as gagné :ddr555:

Mais si on pousse la parano plus loin, depuis que le site existe aucun mail n'a jamais (et ne sera jamais!) revendu, et pourtant on me l'a déjà demandé plusieurs fois. Il en est de même pour les autres informations, mais je préfère être en négatif que de vendre les emails. Mais mais mais si après avoir entré ta carte tu changes d'avis, un petit email pour me demander de virer l'association suffit.

Bon, retour sur le point de vue technique maintenant :petrus:

Pourquoi cette date de naissance n'est plus dispo sur l'applet? :sweat:

14/07/2009 @ 13:23:18: zion: 2009/03/14 Informaticien adopte l'EID

Sinon, question con: Ton applet, y a les sources quelque part? J'aimerais bien voir ses entrailles.

Oui, j'ai cherché pas mal pour les trouver, et j'ai trouvé le tout dans "Belgium Identity Card SDK", je t'en extrais juste l'applet. Il y a d'ailleurs une page HTML de test pour l'applet.

14/07/2009 @ 13:29:58: rfr: 2009/03/14 Informaticien adopte l'EID

Bon, le débat :tongue:

J'ai eu peu regarder ton code ... Hum ... je ne vois en rien ce qui assure que j'ai bien une carte d'identitié électronique ... et encore moins que les infos sont correctes...

Si j'écris une applet BEID et que je tripatouille un proxy, je m'authentifie comme je veux avec des données bidons ...

Veni, vidi ... parti :tongue:

Je trouve franchement que l'utilisation de la carte est intéressante, ceci dit ... de la manière ou s'est réalisé, je ne peux que mettre mon véto à la chose.

Je pense que l'utilisation de l'eID est déjà tellement méconnue, qu'il est presque criminel pour un professionnel de l'informatique de faire croire (implicitement) à un utilisateur lambda qu'il suffit de mettre sa carte pour s'identifier.

On a entre les mains un outil presque merveilleux, mais qui pourrait être habillement détourné. Je propose donc qu'on l'utilise ... comme il se doit, et non en utilisant des effets de bords.

My 2 cents. Mais je ne peux aussi que t'encourager dans la voie de l'utilisation (correcte) de l'eID! :wink:

14/07/2009 @ 13:38:07: zion: 2009/03/14 Informaticien adopte l'EID

Pour le fait que j'utilise des infos non signées, merci de le souligner, mais je le savais (heureusement quand même!), je dois rajouter l'utilisation du certificat, mais je veux modifier légèrement l'Applet pour pouvoir me simplifier le boulot de ce côté, et supprimer la notification.

Je vais pas répéter tout le blabla que j'ai déjà fait, mais je ne peux me satisfaire du certificat pour te connecter. TaxOnWeb et les autres possèdent toutes tes données persos, ils n'ont en rien besoin de les extraire, pour ce que je veux en faire, c'est à dire l'intégrer dans la partie e-Commerce (d'autres fitioures suivront), j'ai besoin de ces infos.

En fait, j'utilise la carte car je veux les infos, le fait de l'utiliser pour le login est vraiment accessoire, mais je l'ai déjà dit plus haut et tu sembles pas vouloir comprendre. Je t'assure, dans quelques mois tu comprendras très bien pourquoi je suis parti dans cette direction, mais je me garde le droit de ne pas dévoiler toute ma roadmap d'avance :wink:

Et je m'insurge que tu me traites de criminel, faut pas pousser bobonne non plus.

14/07/2009 @ 13:43:21: zion: 2009/03/14 Informaticien adopte l'EID

Sinon, si tu trouves que d'extraire ton nom de ta carte d'identité est un effet de bord, pourquoi tu la donnes à ta banque quand tu déménages? A ta mutuelle? Et que tu donnes jusqu'à ton email, ton nom et ton GSM à FaceBook, voir plus encore?

La carte d'identité dans mon esprit est un outil formidable pour ne plus devoir encoder notre adresse, nom et prénom des milliers de fois et permettre à des systèmes de fonctionner avec moins d'administratif. C'est réellement un outil formidable, on ne peut limiter son utilisation qu'à un "machin à certifier"...

14/07/2009 @ 13:43:23: SMaton: 2009/03/14 Informaticien adopte l'EID

Bon, en meme temps il faut dire qu'on est obligé (nous les indépendants) de deposer nos declarations TVA en signant avec notre carte d'identité electronique. Si, je dit bien si, quelqu'un s'amusait a y aller avec mon n° de TVA et en utilisant un faux eID (voir l'exemple de rfr), il déclare n'importe quoi comme frais, chiffre d'affaire du trimestre etc. Et aprés j'ai des dettes jusqu'au coups.

Pas sur, pas fonctionnel, pas utilisable sans risque...

14/07/2009 @ 13:48:42: zion: 2009/03/14 Informaticien adopte l'EID

Si si, eux utilisent le certificat pour t'authentifier, très sûr, très fonctionnel :smile:

Ici pour commencer la fritoure, même si c'est pas signé on risque pas grand chose non plus, ah si on peut aller lire vos privés :ddr555:

14/07/2009 @ 13:49:59: rfr: 2009/03/14 Informaticien adopte l'EID

Citation de: zion

Pour le fait que j'utilise des infos non signées, merci de le souligner, mais je le savais (heureusement quand même!), je dois rajouter l'utilisation du certificat, mais je veux modifier légèrement l'Applet pour pouvoir me simplifier le boulot de ce côté, et supprimer la notification.

Je vais pas répéter tout le blabla que j'ai déjà fait, mais je ne peux me satisfaire du certificat pour te connecter. TaxOnWeb et les autres possèdent toutes tes données persos, ils n'ont en rien besoin de les extraire, pour ce que je veux en faire, c'est à dire l'intégrer dans la partie e-Commerce (d'autres fitioures suivront), j'ai besoin de ces infos.

En fait, j'utilise la carte car je veux les infos, le fait de l'utiliser pour le login est vraiment accessoire, mais je l'ai déjà dit plus haut et tu sembles pas vouloir comprendre. Je t'assure, dans quelques mois tu comprendras très bien pourquoi je suis parti dans cette direction, mais je me garde le droit de ne pas dévoiler toute ma roadmap d'avance :wink:

Et je m'insurge que tu me traites de criminel, faut pas pousser bobonne non plus.

Je suis toujours un incompris ... :kiki:

Ce que je dis c'est: "C'est criminel d'utiliser un effet de bord pour l'authentification".

Et tu peux très bien te satisfaire du certificat pour te connecter ...

Il y a AU moins un champ que tu peux utiliser pour associer un compte LORS DE L'AUTHENTIFICATION: La clé publique ... Elle est unique et donc, identifiante.

S'il s'agit de faciliter la création d'un compte, la tu as EFFECTIVEMENT besoin de l'applet pour récupérer les infos.

Donc ce que je critique c'est l'utilisation d'un pur effet de bord pour l'authentification.

Je n'ai émis aucun commentaire sur le reste de la fonctionnalité :wink:

Et je continue à penser que tu dois continuer dans la voie de l'eID.

Mais si l'authentification c'est réellement secondaire que tu t'en fous que c'est un effet de bort toussa ... alors supprime simplement cette fonctionnalité.

Parce qu'en l'état, tu remplaces l'utilisations d'un mot de passe (privé) par des informations "publiques" ... Un peu comme si on me demandait de m'authentifier avec le nom de ma rue et mon code postal (j'exagère à peine).

14/07/2009 @ 13:51:18: rfr: 2009/03/14 Informaticien adopte l'EID

Citation de: SMaton

Bon, en meme temps il faut dire qu'on est obligé (nous les indépendants) de deposer nos declarations TVA en signant avec notre carte d'identité electronique. Si, je dit bien si, quelqu'un s'amusait a y aller avec mon n° de TVA et en utilisant un faux eID (voir l'exemple de rfr), il déclare n'importe quoi comme frais, chiffre d'affaire du trimestre etc. Et aprés j'ai des dettes jusqu'au coups.

Pas sur, pas fonctionnel, pas utilisable sans risque...

Et voilà pourquoi je m'insurge ... on voit bien que l'utilisation de l'eID est TERRIBLEMENT mal comprise!!!

14/07/2009 @ 13:52:18: rfr: 2009/03/14 Informaticien adopte l'EID

Citation de: zion

Ici pour commencer la fritoure, même si c'est pas signé on risque pas grand chose non plus, ah si on peut aller lire vos privés :ddr555:

Je ne vois pas ce qui a de drôle :ohwell:

14/07/2009 @ 13:53:56: gizmo: 2009/03/14 Informaticien adopte l'EID

@SMaton > ca n'a rien a voir avec le probleme actuel. Sur ToW, ils ne lisent pas les infos de ta carte, juste son certificat. Ici, le certificat n'est pas vraiment utilise (juste pour l'initialisation de l'applet). Zion ne se base pas dessus pour savoir si les infos que l'applet lui renvoit sont corrects.

Sinon, le code de l'applet est vraiment minimaliste (et assez degeux). En gros, c'est juste un wrapper sur les appels en JNI. Du coups, pour le probleme de la date de naissance, c'est le module natif qui est a blamer, pas l'applet qui ne fait que renvoyer un string non formatte.

14/07/2009 @ 13:54:47: zion: 2009/03/14 Informaticien adopte l'EID

Il n'y a pas que le certificat qui est unique et qu'on ne sait pas te piquer, t'inquiètes, même si c'est pas sécurisé à 100% on va pas se connecter sur ton compte.

Je persiste sur l'identification via cette méthode, et la création de compte se fait automatiquement si elle est pas pré associée à un pseudo, donc la de toute façon il me faut ton nom au minimum pour générer un login autre que 12345678 :smile:

Je te donne juste vraiment raison sur le certificat, je dois rajouter une clé pour certifier les données envoyées.

14/07/2009 @ 13:57:50: zion: 2009/03/14 Informaticien adopte l'EID

Citation de: rfr

Je ne vois pas ce qui a de drôle :ohwell:

T'as rien à craindre, t'as même pas associé de carte :oh:

Et de toute façon t'as pas démontré qu'on savait se connecter pour le moment, tu ne sais en rien sur quel champ je me base pour identifier si c'est bien la même carte ou pas, tu peux juste tout remplir au hasard et te créer un compte bidon, ce que tu pouvais déjà faire à loisir sans cette fonction si cela t'amuse.

La signature sera ajoutée, mais pour une bêta tu me permettras de ne pas avoir tout terminé :kiki:

14/07/2009 @ 13:59:33: lefvl: 2009/03/14 Informaticien adopte l'EID

Citation de: SMaton

Et aprés j'ai des dettes jusqu'au coups.

Si tu crains d'avoir des dettes jusqu'au coups, sois prêt à taper fort et à encaisser. Avec un peu de chance tu limiteras les dettes jusqu'au cou...

14/07/2009 @ 14:01:10: rfr: 2009/03/14 Informaticien adopte l'EID

Tu fais effectivement ce que tu veux ... mais quand on commence à utiliser des outils qui ont pour but de rendre les choses sécurisées, je deviens difficile quant à l'utilisation.

14/07/2009 @ 14:03:23: zion: 2009/03/14 Informaticien adopte l'EID

C'est l'utilisation que toi tu vois de la carte, j'y vois plus qu'un simple certificat.
Laissons la vivre sa vie par autre chose que juste du TaxOnWeb, je l'aime bien ma carte moi! :wink:

14/07/2009 @ 14:04:56: rfr: 2009/03/14 Informaticien adopte l'EID

Citation de: zion

T'as rien à craindre, t'as même pas associé de carte :oh:

Et de toute façon t'as pas démontré qu'on savait se connecter pour le moment, tu ne sais en rien sur quel champ je me base pour identifier si c'est bien la même carte ou pas, tu peux juste tout remplir au hasard et te créer un compte bidon, ce que tu pouvais déjà faire à loisir sans cette fonction si cela t'amuse.

La signature sera ajoutée, mais pour une bêta tu me permettras de ne pas avoir tout terminé :kiki:

Euh ... si quand même un peu (même si je ne sais pas ce que tu sauvegardes dans ta db ... mais ça n'a vraiment aucune importance).

/**
* Kelare
* ---------------------------------------------------------------------------
* Copyright, Akretio SPRL. All Rights Reserved.
*
* This file is part of the Kelare project and can not be distributed or
* used in any application without prior consent of Akretio SPRL.
* Contact us for any information or authorisation.
* ----------------------------------------------------------------------------
* Created: June 22, 2009
* ----------------------------------------------------------------------------
*/

function doLoadData()
{
var newDiv = document.createElement("div");
newDiv.innerHTML =
" <input type='hidden' name='url' value='" + eidPostLogin + "' /> "+
" <input type='hidden' name='eid_name' value=\"" + document.BEIDApplet.getName() + "\" /> "+
" <input type='hidden' name='eid_firstname1' value=\"" + document.BEIDApplet.getFirstName1() + "\" /> "+
" <input type='hidden' name='eid_firstname2' value=\"" + document.BEIDApplet.getFirstName2() + "\" /> "+
" <input type='hidden' name='eid_firstname3' value=\"" + document.BEIDApplet.getFirstName3() + "\" /> "+
" <input type='hidden' name='eid_cardnumber' value=\"" + document.BEIDApplet.getCardNumber() + "\" /> "+
" <input type='hidden' name='eid_chipnumber' value=\"" + document.BEIDApplet.getChipNumber() + "\" /> "+
" <input type='hidden' name='eid_validitybegin' value=\"" + document.BEIDApplet.getValidityDateBegin() + "\" /> "+
" <input type='hidden' name='eid_validityend' value=\"" + document.BEIDApplet.getValidityDateEnd() + "\" /> "+
" <input type='hidden' name='eid_issmunicipality' value=\"" + document.BEIDApplet.getIssMunicipality() + "\" /> "+
" <input type='hidden' name='eid_nationalnumber' value=\"" + document.BEIDApplet.getNationalNumber() + "\" /> "+
" <input type='hidden' name='eid_nationality' value=\"" + document.BEIDApplet.getNationality() + "\" /> "+
" <input type='hidden' name='eid_birthlocation' value=\"" + document.BEIDApplet.getBirthLocation() + "\" /> "+
" <input type='hidden' name='eid_birthdate' value=\"" + document.BEIDApplet.getBirthDate() + "\" /> "+
" <input type='hidden' name='eid_sex' value=\"" + document.BEIDApplet.getSex() + "\" /> "+
" <input type='hidden' name='eid_noble' value=\"" + document.BEIDApplet.getNobleCondition() + "\" /> "+
" <input type='hidden' name='eid_whitecane' value=\"" + document.BEIDApplet.getWhiteCane() + "\" /> "+
" <input type='hidden' name='eid_yellowcane' value=\"" + document.BEIDApplet.getYellowCane() + "\" /> "+
" <input type='hidden' name='eid_extendedminority' value=\"" + document.BEIDApplet.getExtendedMinority() + "\" /> "+
" <input type='hidden' name='eid_street' value=\"" + document.BEIDApplet.getStreet() + "\" /> "+
" <input type='hidden' name='eid_number' value=\"" + document.BEIDApplet.getStreetNumber() + "\" /> "+
" <input type='hidden' name='eid_box' value=\"" + document.BEIDApplet.getBoxNumber() + "\" /> "+
" <input type='hidden' name='eid_zip' value=\"" + document.BEIDApplet.getZip() + "\" /> "+
" <input type='hidden' name='eid_municipality' value=\"" + document.BEIDApplet.getMunicipality() + "\" /> "+
" <input type='hidden' name='eid_country' value=\"" + document.BEIDApplet.getCountry() + "\" /> ";

//eidFormular
if (eidFormular == "")
{
newDiv.innerHTML = "<form action='util.ks' method='post' name='eidformular' id='eidformular'> " +
" <input type='hidden' name='page' value='users_eidlogin' /> "+
newDiv.innerHTML + "</form>";
document.body.appendChild(newDiv);
document.getElementById('eidformular').submit();
}
else
{
document.getElementById(eidFormular).appendChild(newDiv);
document.getElementById(eidFormular).submit();
}
}

function doReadCard()
{
var retval;

retval = document.BEIDApplet.InitLib(null);
if (retval == 0)
{
doLoadData();
document.BEIDApplet.ExitLib();
}
else
setTimeout("doReadCard()", 200);
}

function doStartReadCard()
{
var newDiv = document.createElement("div");
newDiv.innerHTML = "<div style='visibility: hidden'><applet codebase='.' archive='index.ks?kelscript=USEREIDLIB' code='be.belgium.eid.BEID_Applet.class' name='BEIDApplet' "+
"width='0' height='0' hspace='0' vspace='0' align='middle'><param name='Reader' value=''><param name='OCSP value='-1'> "+
"<param name='CRL' value='-1><param name='DisableWarning' value='true'></applet></div>";
document.body.appendChild(newDiv);
doReadCard();
}

if (window.addEventListener)
window.addEventListener("load", doStartReadCard, false);
else if (window.attachEvent)
window.attachEvent("onload", doStartReadCard);

14/07/2009 @ 14:08:20: zion: 2009/03/14 Informaticien adopte l'EID

Citation de: rfr

Euh ... si quand même un peu (même si je ne sais pas ce que tu sauvegardes dans ta db ... mais ça n'a vraiment aucune importance).

Benh si ça a de l'importance, si t'envoies les champs avec n'importe nawak, tu seras jamais reconnu comme rfr :heink:

Tu sais aussi que pour te connecter il faut envoyer "login" et "password", pourtant t'en fais pas un foin :oh:

14/07/2009 @ 14:18:14: rfr: 2009/03/14 Informaticien adopte l'EID

Citation de: zion

Benh si ça a de l'importance, si t'envoies les champs avec n'importe nawak, tu seras jamais reconnu comme rfr :heink:

Tu sais aussi que pour te connecter il faut envoyer "login" et "password", pourtant t'en fais pas un foin :oh:

Peut-on quitter le coté purement "pratique" du concept et être plus théorique?

Quel est le status des informations que tu collectes sur l'eID? Privée ou publique?

Même si ce ne sont pas des informations que l'on trouve à tous les coins de rues, ce sont des informations qui sont publiques et que TOUT LE MONDE pourrait théoriquement obtenir (en ce qui me concerne par exemple, la société Locamat sur la N4 à Naninnes dispose déjà dans ses dossiers de toutes ces information).

Par contre, mon mot de passe, il est dans ma tête ... Je ne le donne pas quand je vais louer une tronçonneuse.

Ce que je trouve malsain, ce n'est pas tellement qu'on puisse pirater le compte de celui qui va utiliser son eID ici, après tout, on envoie bien en clair son password sur le réseau, mais plutôt qu'on crée des amalgames:

eID -> Sécurité Electronique -> Suffit de mettre sa carte -> Croyance -> Kaboum

14/07/2009 @ 14:19:51: gizmo: 2009/03/14 Informaticien adopte l'EID

La difference, c'est que le password est normalement qqch que seul l'utilisateur connait, tandis que les infos sur la carte sont censees etre toutes publiques (a part le numero de chip).

Therese: :benou_grilled: