Ce billet fait suite à un article publié par les confrères du soir, qui sur un titre provocateur sur une eID non sûre, explique de manière plutôt maladroite la manière dont fonctionne une authentification sur Internet.
Avant de revenir sur le fond, un petit disclaimer s'impose, à savoir que même si la réaction ici n'est que pure technique, l'eID est un de mes outils de travail de tous les jours. Ceci étant dit, revenons en aux faits.
Dans l'article du Soir, on indique donc que l'eID pose un problème de sécurité car, si on réouvre la page de TaxOnWeb quelques secondes après l'ouverture, la connexion sera toujours active, même si vous n'avez plus l'eID en place. Non, mais allô?
Pour bien comprendre comment cela fonctionne, il faut savoir comment fonctionne l'eID, et le web. D'un côté, on a une carte qui permet de faire 3 choses: s'identifier (dire qui on est), s'authentifier (dire qui on est, et qu'on en est le propriétaire) et signer une transaction. Typiquement, pour un système critique comme TaxOnWeb, ou un système bancaire, on a besoin de s'authentifier avec le code pin, puis pour certaines actions, typiquement un virement, on doit le signer et donc remettre la carte. Si tant est donc que le système était peu sécurisé sur une réouverture de page, toute action importante devrait demander signature et donc imposer la présence de la carte.
Mais cela n'empêchera pas un accès aux données me direz-vous? Que neni. La technique utilisée par le gouvernement est ce qu'on appelle le "reverse proxy". En gros, lorsque vous vous authentifiez, le certificat SSL est regénéré avec une signature de votre carte, et cette session indique que vous en êtes le "propriétaire". Mais pour que cela fonctionne, il faut également un cookie de session chez l'utilisateur, sinon, chaque personne sur la même IP pourrait se faire passer pour vous. Le cookie est donc indispensable, et c'est grâce à lui que l'on pourra rester connecté pendant un certain temps défini par le serveur. Et c'est ce cookie de session qui semble prendre la foudre des journalistes, essayant par la même, en criant au scandale, de décrédibiliser une autre technologie.
Mais savent-ils réellement de quoi ils parlent, dans le fond? Parce que chaque banque repose sur ce même système, dont certaines ne réclament même pas de signature pour des virements. Les banques seraient donc non sécurisées? ... Vaste débat, mais pour certaines, on peut mieux faire. Et pour la session donc? Généralement, les sites fournissent un cookie avec une durée de vie, courte pour les banques, et certains proposent même de prolonger ce cookie avant qu'il n'expire. Et pourtant, la norme propose tout simplement d'envoyer une durée de vie 0, qui demande explicitement au navigateur d'oublier le cookie une fois la fenêtre fermée, et de rendre ainsi la ré-authentification obligatoire.
Quoi? Mais donc on nous raconte n'importe quoi? ... Joker, mais il faut croire que de disposer d'une technologie en avance sur de nombreux autres pays semble déranger une partie des "bobos gauchistes", qui ne se priveront jamais de critiquer plutôt que d'essayer de valoriser ce que notre pays peut faire. Est-ce réellement ce dont nous avons besoin pour le moment?
Sur ces bonnes paroles, bon weekend à tous!
Avant de revenir sur le fond, un petit disclaimer s'impose, à savoir que même si la réaction ici n'est que pure technique, l'eID est un de mes outils de travail de tous les jours. Ceci étant dit, revenons en aux faits.
Dans l'article du Soir, on indique donc que l'eID pose un problème de sécurité car, si on réouvre la page de TaxOnWeb quelques secondes après l'ouverture, la connexion sera toujours active, même si vous n'avez plus l'eID en place. Non, mais allô?
Pour bien comprendre comment cela fonctionne, il faut savoir comment fonctionne l'eID, et le web. D'un côté, on a une carte qui permet de faire 3 choses: s'identifier (dire qui on est), s'authentifier (dire qui on est, et qu'on en est le propriétaire) et signer une transaction. Typiquement, pour un système critique comme TaxOnWeb, ou un système bancaire, on a besoin de s'authentifier avec le code pin, puis pour certaines actions, typiquement un virement, on doit le signer et donc remettre la carte. Si tant est donc que le système était peu sécurisé sur une réouverture de page, toute action importante devrait demander signature et donc imposer la présence de la carte.
Mais cela n'empêchera pas un accès aux données me direz-vous? Que neni. La technique utilisée par le gouvernement est ce qu'on appelle le "reverse proxy". En gros, lorsque vous vous authentifiez, le certificat SSL est regénéré avec une signature de votre carte, et cette session indique que vous en êtes le "propriétaire". Mais pour que cela fonctionne, il faut également un cookie de session chez l'utilisateur, sinon, chaque personne sur la même IP pourrait se faire passer pour vous. Le cookie est donc indispensable, et c'est grâce à lui que l'on pourra rester connecté pendant un certain temps défini par le serveur. Et c'est ce cookie de session qui semble prendre la foudre des journalistes, essayant par la même, en criant au scandale, de décrédibiliser une autre technologie.
Mais savent-ils réellement de quoi ils parlent, dans le fond? Parce que chaque banque repose sur ce même système, dont certaines ne réclament même pas de signature pour des virements. Les banques seraient donc non sécurisées? ... Vaste débat, mais pour certaines, on peut mieux faire. Et pour la session donc? Généralement, les sites fournissent un cookie avec une durée de vie, courte pour les banques, et certains proposent même de prolonger ce cookie avant qu'il n'expire. Et pourtant, la norme propose tout simplement d'envoyer une durée de vie 0, qui demande explicitement au navigateur d'oublier le cookie une fois la fenêtre fermée, et de rendre ainsi la ré-authentification obligatoire.
Quoi? Mais donc on nous raconte n'importe quoi? ... Joker, mais il faut croire que de disposer d'une technologie en avance sur de nombreux autres pays semble déranger une partie des "bobos gauchistes", qui ne se priveront jamais de critiquer plutôt que d'essayer de valoriser ce que notre pays peut faire. Est-ce réellement ce dont nous avons besoin pour le moment?
Sur ces bonnes paroles, bon weekend à tous!
Liens
L'article sur le site du soir (332 Clics)
Plus d'actualités dans cette catégorie
Commentaires
zion:
L'eID pas sûre? Ou quand le journaliste parle technique
Oh ouiii, plein de réponses
philfr> Ah oui, merde... j'ai écrit ça avec plein de gosses qui couraient partout, j'avais plus toute ma tête
Merlin> Le fait qu'il importe un certificat c'est le middleware, mais tu ne sais rien faire avec cela, il te faut toujours ta carte pour t'authentifier et signer. C'est juste pour la simplicité et franchement ça se désactive à l'installation du middleware directement.
Comme les autres, et comme la wallonie en général, tu dis donc que si on a innové un jour (on était juste dans les premiers, et beaucoup de pays nous envient toujours), on doit se la fermer quelques années après et ne pas profiter de l'écosystème que cela crée?
Ah mais quel écosystème? Il est tout petit, mais il y a de nombreuses entreprises qui ont peur de se lancer, parce que la presse a tellement critiqué que bouger le petit doigt et risquer sa maison et son confort pour se faire exploser publiquement parce qu'on ose utiliser de manière commerciale un outil administratif, c'est du suicide. Ah mais... wait ... on nous a promis un outil commercial en nous donnant la première eID ... ah benh oui, mais il y a 10 ans, et la mémoire ne remonte pas toujours si loin
Je ne dis pas ça que pour l'eID parce qu'on en mange tous les jours, et qu'il y a vraiment très peu de réticence à l'utilisation, j'ai vu des boîtes qui font des jeux pour disney, d'autres qui font une partie du soft pour la kinect de Microsoft, la troisième qui fait des trucs de malades en voip... et euh... qui sait que c'est du produit belge?
Ca m'a frappé comme un coup de poing dans la tronche en Californie. Partout où on allait on avait du belge autour de nous. De la bouffe, de la technologie, nos entreprises font un boulot dingue en export, tout le monde connaissait notre plat pays, ou du moins ce qu'on produisait, et notre fierté nationale? Notre quoi?
Si on veut que cela change, ça doit venir d'un peu tout le monde. Que ce soit du partage de la connaissance en passant par l'aide pour interconnecter les personnes qu'il faut ou simplement à la promotion des bonnes idées, nous, nos médias, nos politiciens, on doit arrêter de critiquer bêtement et essayer avec nos petites mains de construire
Alors oui, je maintains que je râle sur les bobos gauchistes qui s'offusque de la technologie alors que la Belgique développe un savoir faire monstrueux. Je m'offusque contre une presse qui détruit sans essayer de comprendre.
Et pour finir, je m'offusque du fait que l'on continue à penser qu'un article doit être "objectif". Un article n'est jamais objectif, un billet ici l'est encore moins, l'opinion est une valeur quand c'est expliqué comme tel. Je rêve d'un journal parlé qui me dise qu'il aime, ou n'aime pas, un produit, une idée, une nouvelle, plutôt que de nous faire une simple lecture de faits, ou de reportage biaisés en gardant une grande étiquette "non monsieur, c'est du journalisme, c'est objectif".
Allez, envoyez le bois vert
philfr> Ah oui, merde... j'ai écrit ça avec plein de gosses qui couraient partout, j'avais plus toute ma tête
Merlin> Le fait qu'il importe un certificat c'est le middleware, mais tu ne sais rien faire avec cela, il te faut toujours ta carte pour t'authentifier et signer. C'est juste pour la simplicité et franchement ça se désactive à l'installation du middleware directement.
Comme les autres, et comme la wallonie en général, tu dis donc que si on a innové un jour (on était juste dans les premiers, et beaucoup de pays nous envient toujours), on doit se la fermer quelques années après et ne pas profiter de l'écosystème que cela crée?
Ah mais quel écosystème? Il est tout petit, mais il y a de nombreuses entreprises qui ont peur de se lancer, parce que la presse a tellement critiqué que bouger le petit doigt et risquer sa maison et son confort pour se faire exploser publiquement parce qu'on ose utiliser de manière commerciale un outil administratif, c'est du suicide. Ah mais... wait ... on nous a promis un outil commercial en nous donnant la première eID ... ah benh oui, mais il y a 10 ans, et la mémoire ne remonte pas toujours si loin
Je ne dis pas ça que pour l'eID parce qu'on en mange tous les jours, et qu'il y a vraiment très peu de réticence à l'utilisation, j'ai vu des boîtes qui font des jeux pour disney, d'autres qui font une partie du soft pour la kinect de Microsoft, la troisième qui fait des trucs de malades en voip... et euh... qui sait que c'est du produit belge?
Ca m'a frappé comme un coup de poing dans la tronche en Californie. Partout où on allait on avait du belge autour de nous. De la bouffe, de la technologie, nos entreprises font un boulot dingue en export, tout le monde connaissait notre plat pays, ou du moins ce qu'on produisait, et notre fierté nationale? Notre quoi?
Si on veut que cela change, ça doit venir d'un peu tout le monde. Que ce soit du partage de la connaissance en passant par l'aide pour interconnecter les personnes qu'il faut ou simplement à la promotion des bonnes idées, nous, nos médias, nos politiciens, on doit arrêter de critiquer bêtement et essayer avec nos petites mains de construire
Alors oui, je maintains que je râle sur les bobos gauchistes qui s'offusque de la technologie alors que la Belgique développe un savoir faire monstrueux. Je m'offusque contre une presse qui détruit sans essayer de comprendre.
Et pour finir, je m'offusque du fait que l'on continue à penser qu'un article doit être "objectif". Un article n'est jamais objectif, un billet ici l'est encore moins, l'opinion est une valeur quand c'est expliqué comme tel. Je rêve d'un journal parlé qui me dise qu'il aime, ou n'aime pas, un produit, une idée, une nouvelle, plutôt que de nous faire une simple lecture de faits, ou de reportage biaisés en gardant une grande étiquette "non monsieur, c'est du journalisme, c'est objectif".
Allez, envoyez le bois vert
Clandestino:
L'eID pas sûre? Ou quand le journaliste parle technique
On confond trop souvent journalisme et information. L'information doit être objective et neutre pour permettre à chacun de se l'approprier et l'interpréter comme il le veut, mais le journalisme ne doit pas être incolore et insipide. Par contre, il doit obéir à une certaine déontologie, dont la règle maîtresse est de vérifier l'information que l'on relaie avant de la diffuser. Et vérifier ne se limite pas à la simple distinction "c'est vrai / c'est faux" mais implique aussi d'avoir un minimum appréhendé le sujet que l'on traite...
zion:
L'eID pas sûre? Ou quand le journaliste parle technique
Neutre? Je suis pas convaincu que c'est ce dont on a besoin aujourd'hui
Elle doit être complète, et vérifiée, mais pourquoi neutre?
Elle doit être complète, et vérifiée, mais pourquoi neutre?
Clandestino:
L'eID pas sûre? Ou quand le journaliste parle technique
Neutre dans le sens d'impartiale. L'information doit se contenter de rapporter les faits, sans parti pris ni passion. Si un présentateur du 20h descend en flèche un projet dont il parle parce qu'il n'y a rien compris ou parce qu'il n'aime pas, tu imagines les répercussions auprès de l'immense majorité des auditeurs pour qui les médias sont les représentant de la vérité absolue ? Tu aurais apprécié que notre boîte soit morte-née parce qu'un scribouillard aurait décrété à une heure de grande écoute que faire de la fidélité avec l'eid, c'est le mal ?
Oh non... La presse aujourd'hui ne fait plus que du sensationnel et de la mauvaise nouvelle. Ce qui est positif et qui gagne ne vend plus depuis longtemps (hormis la météo). Faut du sang, de la catastrophe bien abominable, de la guerre avec des morts à montrer en couleur, de la misère et de l'injustice, des gens qui ratent leur vie... Ça, ça vend. Pas le respect de la déontologie ; ça, on s'assied dessus !
Oh non... La presse aujourd'hui ne fait plus que du sensationnel et de la mauvaise nouvelle. Ce qui est positif et qui gagne ne vend plus depuis longtemps (hormis la météo). Faut du sang, de la catastrophe bien abominable, de la guerre avec des morts à montrer en couleur, de la misère et de l'injustice, des gens qui ratent leur vie... Ça, ça vend. Pas le respect de la déontologie ; ça, on s'assied dessus !
zion:
L'eID pas sûre? Ou quand le journaliste parle technique
Euh, mais tu te souviens pas qu'à l'époque, ils l'ont fait? Dont certains qui pourtant sont devenus nos clients moins d'un an après nous avoir critiqué ouvertement?
Je ne peux pas en vouloir à un gars de ne pas aimer le principe, comme Merlin, mais de justifier cela par "c'est un mélange des genres" en se basant sur quelques témoignagnes orientés pour maintenir son "objectivité", ça, ça me dérange. J'aurais totalement accepté une opinion motivée, subjective, et affichée comme tel. Je ne comprends pas pourquoi on estime qu'un journaliste ne doit pas avoir d'opinions, c'est une hérésie.
...
CQFD. Déontologie n'est pas incompatible avec subjectivité
Je ne peux pas en vouloir à un gars de ne pas aimer le principe, comme Merlin, mais de justifier cela par "c'est un mélange des genres" en se basant sur quelques témoignagnes orientés pour maintenir son "objectivité", ça, ça me dérange. J'aurais totalement accepté une opinion motivée, subjective, et affichée comme tel. Je ne comprends pas pourquoi on estime qu'un journaliste ne doit pas avoir d'opinions, c'est une hérésie.
En théorie toujours, un média peut être engagé à condition de respecter les faits, viser l’intérêt général et exposer clairement les termes de son parti pris. Le journalisme est parfois appelé « quatrième pouvoir » en raison du rôle crucial qu'il joue, au sein d'une démocratie, dans la mise en œuvre de différentes libertés publiques, dont la liberté d'expression.
...
Le principe d'objectivité consiste à imposer une distance critique entre les faits et sa propre interprétation des faits. Mais le journalisme engagé invoque souvent l'impossibilité d'aboutir à une objectivité totale. Il met plutôt en avant la dimension éthique d'une prise de position subjective, assumée, réfléchie et divulguée.
La problématique spécifique de l'objectivité en journalisme est dominée par l'urgence de la publication, le caractère immédiat des faits relatés par le journaliste. Cette urgence, combinée à la complexité des faits traités, et à une économie des médias souvent fragile, privant le journaliste des moyens suffisants, lui rend la tâche difficile. Plus le travail est précipité, moins le journaliste a le temps d'identifier sa propre subjectivité pour la neutraliser.
La problématique spécifique de l'objectivité en journalisme est dominée par l'urgence de la publication, le caractère immédiat des faits relatés par le journaliste. Cette urgence, combinée à la complexité des faits traités, et à une économie des médias souvent fragile, privant le journaliste des moyens suffisants, lui rend la tâche difficile. Plus le travail est précipité, moins le journaliste a le temps d'identifier sa propre subjectivité pour la neutraliser.
CQFD. Déontologie n'est pas incompatible avec subjectivité
Clandestino:
L'eID pas sûre? Ou quand le journaliste parle technique
Justement, si, dans la mesure où la déontologie est souvent mise de côté, voire sacrifiée sur l'autel de l'urgence et du sensationnel. Or ces deux dernières notions ne souffrent ni ne s'embarrassent d'un facteur essentiel dans la démarche du journalisme de qualité - fût-il objectif ou subjectif : le temps nécessaire à connaître et comprendre le sujet que l'on traite.
Donc, il est tout à fait légitime pour un journaliste de prendre et d'assumer une position, pour autant que cette position soit étayée et argumentée de manière solide et circonstanciée. C'est à cette unique condition que l'on réalise un vrai travail d'information. Seulement, aujourd'hui, le journalisme se limite bien trop souvent à repiquer un tweet par-ci, un post facebook par-là, à l'enrober d'un peu de blabla, et à le servir tout chaud à un auditoire qui l'aura oublié dans 30 secondes. Et hélas, les meilleurs jouralistes (ou du moins, réputés tels) ne sont pas à l'abri de telles dérives. J'en veux pour preuves les critiques cinéma de Hughues Daillez, qui trop souvent descend en flamme un film qu'il n'a pas vu, au simple prétexte que le nom du réalisateur ou de l'acteur principal ne lui revient pas...
Donc, il est tout à fait légitime pour un journaliste de prendre et d'assumer une position, pour autant que cette position soit étayée et argumentée de manière solide et circonstanciée. C'est à cette unique condition que l'on réalise un vrai travail d'information. Seulement, aujourd'hui, le journalisme se limite bien trop souvent à repiquer un tweet par-ci, un post facebook par-là, à l'enrober d'un peu de blabla, et à le servir tout chaud à un auditoire qui l'aura oublié dans 30 secondes. Et hélas, les meilleurs jouralistes (ou du moins, réputés tels) ne sont pas à l'abri de telles dérives. J'en veux pour preuves les critiques cinéma de Hughues Daillez, qui trop souvent descend en flamme un film qu'il n'a pas vu, au simple prétexte que le nom du réalisateur ou de l'acteur principal ne lui revient pas...
users_user-179.html:
L'eID pas sûre? Ou quand le journaliste parle technique
Zion> Je n'ai aucun problème avec la partialité d'un article. En particulier, celui-ci est un gros coup de gueule et c'est très bien, j'en suis très heureux. Ce que je trouve dommage, c'est d'en casser la crédibilité avec des jugements à l'emporte-pièce genre qualifier de "bobos gauchistes" tous ceux qui critiquent ce qui te tient à coeur. Tu aurais simplement retiré cette mention, on aurait été nettement plus d'accord.
670.000 personnes utilisent l'eID au quotidien ? Je me demande bien où. Parce que je n'en vois pas autour de moi. Je ne dis pas qu'elles n'existent pas. Mais que je n'en vois pas. Au début de l'eID, je trouvais ça une formidable opportunité et j'attendais de voir les applications concrètes créatives de cet outil... Je n'ai rien vu. Enfin, si la fameuse carte de fidélité qui est à mon sens tout le contraire de ce que je veux voir.
Je ne dis pas non plus qu'on doit la fermer parce qu'on a innové il y a 10 ans. Je dis qu'il faut arrêter de dire qu'on est les seuls à avoir l'eID. Ce n'est plus vrai et d'autres pays l'ont bien intégré. Pour n'en citer qu'un, j'ai beaucoup entendu parler de l'Estonie.
Je suis le premier à louer la créativité et le savoir-faire wallon. J'approuve les initiatives telles que Nest'up, j'ai moi-même fait un passage à la RueDuWeb et nos initiatives locales méritent qu'on en parle. Je suis aussi parfaitement d'accord que l'article est du bashing idiot et destructeur mais ça ne m'oblige pas à encenser l'eID. Je trouve que c'était une excellente idée mais dont je ne vois aujourd'hui rien d'intéressant sortir.
670.000 personnes utilisent l'eID au quotidien ? Je me demande bien où. Parce que je n'en vois pas autour de moi. Je ne dis pas qu'elles n'existent pas. Mais que je n'en vois pas. Au début de l'eID, je trouvais ça une formidable opportunité et j'attendais de voir les applications concrètes créatives de cet outil... Je n'ai rien vu. Enfin, si la fameuse carte de fidélité qui est à mon sens tout le contraire de ce que je veux voir.
Je ne dis pas non plus qu'on doit la fermer parce qu'on a innové il y a 10 ans. Je dis qu'il faut arrêter de dire qu'on est les seuls à avoir l'eID. Ce n'est plus vrai et d'autres pays l'ont bien intégré. Pour n'en citer qu'un, j'ai beaucoup entendu parler de l'Estonie.
Je suis le premier à louer la créativité et le savoir-faire wallon. J'approuve les initiatives telles que Nest'up, j'ai moi-même fait un passage à la RueDuWeb et nos initiatives locales méritent qu'on en parle. Je suis aussi parfaitement d'accord que l'article est du bashing idiot et destructeur mais ça ne m'oblige pas à encenser l'eID. Je trouve que c'était une excellente idée mais dont je ne vois aujourd'hui rien d'intéressant sortir.