26/07/2013 @ 20:45:19: Sécurité - L'eID pas sûre? Ou quand le journaliste parle technique
Ce billet fait suite à un article publié par les confrères du soir, qui sur un titre provocateur sur une eID non sûre, explique de manière plutôt maladroite la manière dont fonctionne une authentification sur Internet.
Avant de revenir sur le fond, un petit disclaimer s'impose, à savoir que même si la réaction ici n'est que pure technique, l'eID est un de mes outils de travail de tous les jours. Ceci étant dit, revenons en aux faits.
Dans l'article du Soir, on indique donc que l'eID pose un problème de sécurité car, si on réouvre la page de TaxOnWeb quelques secondes après l'ouverture, la connexion sera toujours active, même si vous n'avez plus l'eID en place. Non, mais allô?
Pour bien comprendre comment cela fonctionne, il faut savoir comment fonctionne l'eID, et le web. D'un côté, on a une carte qui permet de faire 3 choses: s'identifier (dire qui on est), s'authentifier (dire qui on est, et qu'on en est le propriétaire) et signer une transaction. Typiquement, pour un système critique comme TaxOnWeb, ou un système bancaire, on a besoin de s'authentifier avec le code pin, puis pour certaines actions, typiquement un virement, on doit le signer et donc remettre la carte. Si tant est donc que le système était peu sécurisé sur une réouverture de page, toute action importante devrait demander signature et donc imposer la présence de la carte.
Mais cela n'empêchera pas un accès aux données me direz-vous? Que neni. La technique utilisée par le gouvernement est ce qu'on appelle le "reverse proxy". En gros, lorsque vous vous authentifiez, le certificat SSL est regénéré avec une signature de votre carte, et cette session indique que vous en êtes le "propriétaire". Mais pour que cela fonctionne, il faut également un cookie de session chez l'utilisateur, sinon, chaque personne sur la même IP pourrait se faire passer pour vous. Le cookie est donc indispensable, et c'est grâce à lui que l'on pourra rester connecté pendant un certain temps défini par le serveur. Et c'est ce cookie de session qui semble prendre la foudre des journalistes, essayant par la même, en criant au scandale, de décrédibiliser une autre technologie.
Mais savent-ils réellement de quoi ils parlent, dans le fond? Parce que chaque banque repose sur ce même système, dont certaines ne réclament même pas de signature pour des virements. Les banques seraient donc non sécurisées? ... Vaste débat, mais pour certaines, on peut mieux faire. Et pour la session donc? Généralement, les sites fournissent un cookie avec une durée de vie, courte pour les banques, et certains proposent même de prolonger ce cookie avant qu'il n'expire. Et pourtant, la norme propose tout simplement d'envoyer une durée de vie 0, qui demande explicitement au navigateur d'oublier le cookie une fois la fenêtre fermée, et de rendre ainsi la ré-authentification obligatoire.
Quoi? Mais donc on nous raconte n'importe quoi? ... Joker, mais il faut croire que de disposer d'une technologie en avance sur de nombreux autres pays semble déranger une partie des "bobos gauchistes", qui ne se priveront jamais de critiquer plutôt que d'essayer de valoriser ce que notre pays peut faire. Est-ce réellement ce dont nous avons besoin pour le moment?
Sur ces bonnes paroles, bon weekend à tous!
L'article sur le site du soir: http://www.lesoir.be/288909/article/actualite/fil-info/fil-info-belgique/2013-07-26/l-utilisation-carte-d-identite-electronique-pas-totalement-sure
De l'utilité de recouper les informations, ce qui semble pourtant être le B A BA de la profession et qui passe en second face au sensationnalisme et le chiffre de vente à court terme.
Mais cela n'empêchera pas un accès aux données me direz-vous? Que neni. La technique utilisée par le gouvernement est ce qu'on appelle le "reverse proxy". En gros, lorsque vous vous authentifiez, le certificat SSL est regénéré avec une signature de votre carte, et cette session indique que vous en êtes le "propriétaire".
Fichtre ... cette phrase n'a rien à envier à l'article du soir ... Parce que c'est absolument incorrect.
Contrairement au soir, tu peux me corriger, j'ai écrit en one shot, et je suis toujours ouvert aux modifs
(d'ailleurs, y a un gros drapeau en dessous pour ça
)
Mais oublie pas de vulgariser un peu aussi
Dernière édition: 26/07/2013 @ 22:27:46
Et je rajouterais... plutôt que de dire "tu t'es planté" ou "c'est nul", merci de justifier. La critique constructive, c'est quand même vachement mieux.
Ou alors on est en Belgique, et on doit juste critiquer
il faut croire que de disposer d'une technologie en avance sur de nombreux autres pays semble déranger une partie des "bobos gauchistes", qui ne se priveront jamais de critiquer plutôt que d'essayer de valoriser ce que notre pays peut faire
Tu sais ce qu'ils te disent les bobos gauchistes?
Je comprends l'agacement, mais c'est quand même une drôle d'idée de politiser un débat technique, hein.
Non c'est pas une drôle d'idée, c'est la réalité
Ceux qui critiquent le plus cette technologie sont ceux qui y comprennent le moins, et l'associe à un outil du pouvoir pour les opprimer. Ils en font une guerre de principe. C'est minoritaire, mais agaçant, comme l'époque de ceux qui ne voulaient pas de gsm, et qui aujourd'hui ont tous un iPhone en poche
C'est une posture idéologique, là, on est d'accord
mais politique... en termes de clivage gauche-droite (d'autant que les bobos gauchiste sont eux-mêmes un peu au pouvoir, j'ai le pénible devoir de t'en informer), je ne crois vraiment pas
Sinon, c'est pas seulement Le Soir, c'est aussi
l'Avenir,
la rtbf,
rtl, bref c'est l'agence Belga, quoi
Oui, c'est Belga, autant pour moi.
Mais Le Soir l'a mis en première page en gros
Je n'ai rien contre les bobos gauchistes, juste les bobos gauchistes qui croient qu'ils savent, les bobos craignos sapiens
Les autres, je les aime bien moi.
C'est une critique récurrente du pouvoir qui est faite pour effrayer les masses avec des arguments biaisés. C'est tout sauf constructif
Ces derniers mois j'ai vu des dizaines de projets en wallonie, plein de petites boîtes qui font des supers trucs, et qui démontré à des boîtes leaders à l'étranger inspire le respect.
Dans la même délégation, un bus entier de journalistes.
Et on retient quoi dans les gros titres?
Que l'avion a fait demi tour, que mickey a de grandes oreilles, et quelques autres bêtises. S'intéresser à ce que font les belges? Ah mais faut pas trop demander monsieur, ça fait pas vendre de journaux ça...
C'est un petit coup de gueule, et ça fera juste "pschiiit", mais au moins je dormirai l'esprit plus tranquille ce soir
zion >
Le peuple ne veut pas de l'actu-vérité, il veut de l'actu-sensation qui lui fasse oublier la grisaille de tous les jours, fût-ce au prix d'une relative approximation. Et si c'est carrément portnawak, tant mieux si ça fait vendre !
je ne sais toujours pas, à vous lire, quelle est la vérité technique !!!
D'accord. Un "reverse proxy" n'a absolument rien à voir avec SSL. C'est juste un moyen architectural pour fournir des services comme le fail-over, le load-balancing, le caching et ... parfois SSL, sur des services qui ne le supportent pas (ou pas bien). Peut-être que Tax-on-web l'utilise (et je n'en doute pas), mais ça n'a rien avoir avec l'eID.
En ce qui concerne l'eID, c'est relativement simple mais il n'y a pas de régénération de certificats. En fait, la sécurité de Tax-on-web est liée à l'établissement d'une connexion entre deux parties (via SSL) dans laquelle chacune des parties qui entrent en communication peut-être authentifiée. La plupart du temps, c'est juste le serveur qui est authentifié parce que son certificat à été signé par des autorités de certifications qui sont installées dans le browser (Firefox) ou le système (IE et Chrome) et parce qu'il détient la clé privée associée au certificat.
Dans le cas de l'eID, le serveur demande au client (le surfeur, le citoyen) de s'authentifier. Pour cela, le browser envoie le certificat d'authentification contenu dans l'eID au serveur qui commence par valider le fait que le certificat a été signé par une autorité de certification reconnue (ici, Belgium CA, donc la Belgique) et qu'il n'est pas révoqué. Une fois cette vérification faite, le serveur va demander au client de prouver que le certificat envoyé appartient bien à la personne qui se connecte. Pour cela, le serveur va demander au client de signer un message. C'est à ce moment que la sécurité intervient car c'est la puce de l'eID elle-même qui va signer ce message, une fois le code pin du citoyen introduit. Il est en effet "impossible" de lire cette clé privée sur l'eID. Une fois que le serveur aura fait cette ultime vérification, l'établissement d'une connexion SSL/TLS pourra se faire.
Une fois cette connexion établie, il n'y a effectivement plus besoin de l'eID. Après, c'est la mécanique des sessions HTTP classiques qui s'appliquent effectivement.
Mais pendant une connexion, il peut se produire une renégociation de la connexion. Et sans eID, ça pourrait ne pas fonctionner. Mais il faudrait tester.
C'est une matière difficile à vulgariser car sans expliquer les principes de la signature électronique, c'est impossible à comprendre, malheureusement.
Mais dire "le soir/belga", vous êtes trop con et raconter des choses incorrectes (et je n'y vois aucune "vulgarisation", juste des erreurs), c'est un peu se faire un auto-croche-pied.
Leur approche est peut-être naïve, mais d'un coté, je les comprends. Il est vrai que c'est un peu bizarre que quand on enlève une "clé" (ici l'eID), le système continue à fonctionner. Une voiture, si tu enlèves la clé, elle s'arrête. Même avec les système keyless. Si la carte est trop loin, la voiture s'arrête.
Leur erreur est de croire que c'est un problème d'eID alors que c'est liés aux protocoles cryptographiques utilisés. Et que ça ne pose aucun soucis, tant que l'utilisateur comprend bien que pour terminer la session, il doit se déconnecter manuellement via la fonctionnalité prévue et non en enlevant son eID du lecteur. Faire confiance au timeout d'un cookie serait d'ailleurs une erreur. C'est, au plus, un garde fou.
Et je pense d'ailleurs que l'article (que je viens de lire) parle d'un autre soucis qui est bien réel.
C'est à dire la possibilité de se reconnecter (même après avoir effecteur une déconnexion) sur tax-on-web alors que l'eID n'est plus présente. C'est théoriquement (et visiblement pratiquement) possible parce que le browser, si on ne ferme pas la fenêtre (et peut-être même si on la ferme) va garder la connexion SSL ouverte pendant un certain temps. Et donc une autre personne pourra se "reconnecter" avec l'identité de la personne précédente car la connexion est en réalité toujours établie (alors que l'utilisateur pense que tout est "fermé").
Et c'est vrai que c'est un soucis. Et même si ce n'est pas lié à l'eID, ça rend son utilisation dans des lieux comme les cybercafés peu sûre.
D'ailleurs, vu comment fonctionne l'eID, je ne recommanderais pas de l'utiliser dans des ordinateurs publics pour s'authentifier ou signer des données.
Bref, l'article de Belga est plutôt correcte ...
Dernière édition: 27/07/2013 @ 12:35:03
Sens être parano (j'espère) je dois dire qu'un cybercafé ne me semble de toute façon pas l'endroit idéal pour remplir une déclaration, effectuer une opération PCBanking ou commander sur le web en payant avec une carte de crédit...
Dernière édition: 27/07/2013 @ 12:46:19
rfr> Merci pour ta réponse.
Je ne nie pas qu'ils ont raison sur le fond, mais la forme me dérange. Si A implique B, et que B implique C, A n'implique pas forcément C.
Et oui, il y a un soucis sur TaxOnWeb, et oui on y utilise l'eID, mais l'eID n'est en rien en cause, c'est la manière dont on gère la session qui n'est pas complètement idéale, et je me répète, les systèmes de web banking sont quasi tous sur un modèle similaire.
(A propos, oui, il y a toujours renégociation, la clé SSL est toujours modifiée pour une connexion sur TaxOnWeb).
Tout d'abord, cette situation ne peut se produire que si un pirate est dans la même pièce que toi. Je ne laisse pas un russe ou un chinois que je ne connais pas rentrer et jouer sur mon PC. Et si je suis assez con que pour me connecter sur un browser qui n'est pas en mode incognito dans un cyber café, je ne peux pas en vouloir à la technologie.
Pour les solutions, ils peuvent limiter la session à la fenêtre, je ne sais pas comment réagissent les browsers à tab, mais si ils sont bien pensés ils doivent aussi fermer la session quand on ferme la tab. Et tout ce débat est clôturé. Sinon, le mec peut cliquer sur "logout", ça ne me semble pas être surhumain à lui demander...
Et finalement, sur la version applet (non reverse proxy), il y a une fonction qui permet de ne donner accès que si on a toujours l'eID présente à chaque fois (le mode "kiosque" si je me souviens bien). Donc, là encore, une solution technique, qui s'attaque au problème de sécurisation de la session, non pas de la carte qui elle n'est qu'une simple machine à signer.
L'amalgame de la sécurité, que je ne trouve quand même pas si mauvaise au final, des plateformes gouvernementales et de l'eID, ça ne me plaît pas
L'article de base est volontairement provocateur, et toute personne non habituée fera un amalgame évident entre l'eID et le problème sous-jacent.
Pour preuve, depuis cet article, j'ai 2 amis hier soir qui m'ont demandé si tout allait bien, si le Fedict n'allait pas devoir arrêter l'eID, et encore pareil ce midi. Cela crée un climat de méfiance qui est détestable, et ça, le journaliste il s'en cogne, il a fait son titre accrocheur, il a vendu, et les conséquences c'est que ce soir, il est dans sa piscine, et moi on m'emmerde.
il est vrai que les journalistes ont parfois tendance à semer le doute. Mais soyons constructifs ils sont aussi à la base d'alertes sérieuses. Bon W-E et désolé de vous avoir emm...
Si A implique B, et que B implique C, A n'implique pas forcément C.
Euh... si
Faut croire que tous les Sébastien sont énervés après les bobos cette semaine
Merci rfr et bouh à Zion. Pousser un coup de gueule sur un amalgame, OK. Mais la généralisation de "bobos de gauche", ça casse complètement la crédibilité du reste de l'article. Je suis d'accord que l'article du Soir fait du sensationnel pour rien. Parce que fondamentalement, même si on y a toujours accès après avoir retiré la carte, quel est le risque d'abus ? Minime.
En fait, je pense que le souci du fonctionnement de l'eID dans ce cadre-ci est que le certificat est importé dans le browser quand on s'authentifie et qu'il n'est pas possible pour le site de l'en faire sortir. Mais là, bien sûr, il faudrait que les mécanismes habituels de gestion de session forcent une nouvelle vérification sur l'eID.
Le principe du reverse proxy n'est pas mauvais en soi. Mais j'avais toujours vu ça comme un moyen "transitoire" de déployer de l'eID sur une plateforme pas conçue pour à la base. Le site derrière le RP ne connaît rien à l'eID en-dehors de ce que le RP lui en dit. Et c'est dommage pour tax on web puisque ça le prive de certains contrôles fins. Mais ce ne sont que suppositions de ma part.
Sur l'eID en lui-même, j'ai vu une conférence au BruJUG sur le sujet. L'orateur ne m'a pas du tout convaincu sur les nouveautés de l'eID, a critiqué le fait que le hardware et le software de cette carte sont très séparés et que ceux qui gèrent le hardware sont obtus face à toute demande pour faciliter le software. Il a aussi rejeté toute suggestion d'utilisation sur smartphone "parce que ce sont juste des jouets". Il a craché pas mal de fois sur iOS "parce qu'Apple c'est fermé et c'est de la merde". Il a classé les utilisateurs de Mac comme des emmerdeurs qui demandent de leur part beaucoup de travail alors qu'ils sont minoritaires mais, je cite, "quand un mec a payé 5000€ un PC qui en vaut 2000, il ne veut rien savoir, il a payé cher, il veut que ça marche". Il ignorait aussi qu'il existait des lecteurs de cartes à puce pour iPhone/iPad et a rejeté l'idée "parce qu'Apple c'est fermé"...
Quant à l'innovation, il faut arrêter de se gausser et regarder la réalité: d'autres pays l'ont fait. Et franchement, qui utilise sa carte d'identité pour autre chose que tax-on-web ? J'ai eu un vidéo-club une fois, en contravention totale avec les règles. Ou la carte de fidélité qu'il est hors de question que j'utilise tellement c'est une confusion de genres dangereuse... En fait, j'utilise plus souvent ma carte LuxTrust que mon eID... Je pense que ça vient en grande partie du manque de limpidité des API et du fait que.... bordel de merde, ça ne marche jamais convenablement. Chaque année, je galère et finis par ressortir mon vieux laptop sous XP, 8 ans d'âge. Sur le Mac, ça n'a jamais marché (et mon java marche bien pourtant) et même sur mon PC sous Windows 7, je n'y arrive pas. Alors bon, le clampain moyen...
Merlin > qui utilise son eid ? Oh, juste 670.000 personnes au quotidien...
Oh ouiii, plein de réponses
philfr> Ah oui, merde... j'ai écrit ça avec plein de gosses qui couraient partout, j'avais plus toute ma tête
Merlin> Le fait qu'il importe un certificat c'est le middleware, mais tu ne sais rien faire avec cela, il te faut toujours ta carte pour t'authentifier et signer. C'est juste pour la simplicité et franchement ça se désactive à l'installation du middleware directement.
Comme les autres, et comme la wallonie en général, tu dis donc que si on a innové un jour (on était juste dans les premiers, et beaucoup de pays nous envient toujours), on doit se la fermer quelques années après et ne pas profiter de l'écosystème que cela crée?
Ah mais quel écosystème? Il est tout petit, mais il y a de nombreuses entreprises qui ont peur de se lancer, parce que la presse a tellement critiqué que bouger le petit doigt et risquer sa maison et son confort pour se faire exploser publiquement parce qu'on ose utiliser de manière commerciale un outil administratif, c'est du suicide. Ah mais... wait ... on nous a promis un outil commercial en nous donnant la première eID ... ah benh oui, mais il y a 10 ans, et la mémoire ne remonte pas toujours si loin
Je ne dis pas ça que pour l'eID parce qu'on en mange tous les jours, et qu'il y a vraiment très peu de réticence à l'utilisation, j'ai vu des boîtes qui font des jeux pour disney, d'autres qui font une partie du soft pour la kinect de Microsoft, la troisième qui fait des trucs de malades en voip... et euh... qui sait que c'est du produit belge?
Ca m'a frappé comme un coup de poing dans la tronche en Californie. Partout où on allait on avait du belge autour de nous. De la bouffe, de la technologie, nos entreprises font un boulot dingue en export, tout le monde connaissait notre plat pays, ou du moins ce qu'on produisait, et notre fierté nationale? Notre quoi?
Si on veut que cela change, ça doit venir d'un peu tout le monde. Que ce soit du partage de la connaissance en passant par l'aide pour interconnecter les personnes qu'il faut ou simplement à la promotion des bonnes idées, nous, nos médias, nos politiciens, on doit arrêter de critiquer bêtement et essayer avec nos petites mains de construire
Alors oui, je maintains que je râle sur les bobos gauchistes qui s'offusque de la technologie alors que la Belgique développe un savoir faire monstrueux. Je m'offusque contre une presse qui détruit sans essayer de comprendre.
Et pour finir, je m'offusque du fait que l'on continue à penser qu'un article doit être "objectif". Un article n'est jamais objectif, un billet ici l'est encore moins, l'opinion est une valeur quand c'est expliqué comme tel. Je rêve d'un journal parlé qui me dise qu'il aime, ou n'aime pas, un produit, une idée, une nouvelle, plutôt que de nous faire une simple lecture de faits, ou de reportage biaisés en gardant une grande étiquette "non monsieur, c'est du journalisme, c'est objectif".
Allez, envoyez le bois vert
On confond trop souvent journalisme et information. L'information doit être objective et neutre pour permettre à chacun de se l'approprier et l'interpréter comme il le veut, mais le journalisme ne doit pas être incolore et insipide. Par contre, il doit obéir à une certaine déontologie, dont la règle maîtresse est de vérifier l'information que l'on relaie avant de la diffuser. Et vérifier ne se limite pas à la simple distinction "c'est vrai / c'est faux" mais implique aussi d'avoir un minimum appréhendé le sujet que l'on traite...
Dernière édition: 27/07/2013 @ 21:47:00
Neutre? Je suis pas convaincu que c'est ce dont on a besoin aujourd'hui
Elle doit être complète, et vérifiée, mais pourquoi neutre?
Neutre dans le sens d'impartiale. L'information doit se contenter de rapporter les faits, sans parti pris ni passion. Si un présentateur du 20h descend en flèche un projet dont il parle parce qu'il n'y a rien compris ou parce qu'il n'aime pas, tu imagines les répercussions auprès de l'immense majorité des auditeurs pour qui les médias sont les représentant de la vérité absolue ? Tu aurais apprécié que notre boîte soit morte-née parce qu'un scribouillard aurait décrété à une heure de grande écoute que faire de la fidélité avec l'eid, c'est le mal ?
Oh non... La presse aujourd'hui ne fait plus que du sensationnel et de la mauvaise nouvelle. Ce qui est positif et qui gagne ne vend plus depuis longtemps (hormis la météo). Faut du sang, de la catastrophe bien abominable, de la guerre avec des morts à montrer en couleur, de la misère et de l'injustice, des gens qui ratent leur vie... Ça, ça vend. Pas le respect de la déontologie ; ça, on s'assied dessus !
Euh, mais tu te souviens pas qu'à l'époque, ils l'ont fait? Dont certains qui pourtant sont devenus nos clients moins d'un an après nous avoir critiqué ouvertement?
Je ne peux pas en vouloir à un gars de ne pas aimer le principe, comme Merlin, mais de justifier cela par "c'est un mélange des genres" en se basant sur quelques témoignagnes orientés pour maintenir son "objectivité", ça, ça me dérange. J'aurais totalement accepté une opinion motivée, subjective, et affichée comme tel. Je ne comprends pas pourquoi on estime qu'un journaliste ne doit pas avoir d'opinions, c'est une hérésie.
En théorie toujours, un média peut être engagé à condition de respecter les faits, viser l’intérêt général et exposer clairement les termes de son parti pris. Le journalisme est parfois appelé « quatrième pouvoir » en raison du rôle crucial qu'il joue, au sein d'une démocratie, dans la mise en œuvre de différentes libertés publiques, dont la liberté d'expression.
...
Le principe d'objectivité consiste à imposer une distance critique entre les faits et sa propre interprétation des faits. Mais le journalisme engagé invoque souvent l'impossibilité d'aboutir à une objectivité totale. Il met plutôt en avant la dimension éthique d'une prise de position subjective, assumée, réfléchie et divulguée.
La problématique spécifique de l'objectivité en journalisme est dominée par l'urgence de la publication, le caractère immédiat des faits relatés par le journaliste. Cette urgence, combinée à la complexité des faits traités, et à une économie des médias souvent fragile, privant le journaliste des moyens suffisants, lui rend la tâche difficile. Plus le travail est précipité, moins le journaliste a le temps d'identifier sa propre subjectivité pour la neutraliser.
CQFD. Déontologie n'est pas incompatible avec subjectivité
Justement, si, dans la mesure où la déontologie est souvent mise de côté, voire sacrifiée sur l'autel de l'urgence et du sensationnel. Or ces deux dernières notions ne souffrent ni ne s'embarrassent d'un facteur essentiel dans la démarche du journalisme de qualité - fût-il objectif ou subjectif : le temps nécessaire à connaître et comprendre le sujet que l'on traite.
Donc, il est tout à fait légitime pour un journaliste de prendre et d'assumer une position, pour autant que cette position soit étayée et argumentée de manière solide et circonstanciée. C'est à cette unique condition que l'on réalise un vrai travail d'information. Seulement, aujourd'hui, le journalisme se limite bien trop souvent à repiquer un tweet par-ci, un post facebook par-là, à l'enrober d'un peu de blabla, et à le servir tout chaud à un auditoire qui l'aura oublié dans 30 secondes. Et hélas, les meilleurs jouralistes (ou du moins, réputés tels) ne sont pas à l'abri de telles dérives. J'en veux pour preuves les critiques cinéma de Hughues Daillez, qui trop souvent descend en flamme un film qu'il n'a pas vu, au simple prétexte que le nom du réalisateur ou de l'acteur principal ne lui revient pas...
Zion> Je n'ai aucun problème avec la partialité d'un article. En particulier, celui-ci est un gros coup de gueule et c'est très bien, j'en suis très heureux. Ce que je trouve dommage, c'est d'en casser la crédibilité avec des jugements à l'emporte-pièce genre qualifier de "bobos gauchistes" tous ceux qui critiquent ce qui te tient à coeur. Tu aurais simplement retiré cette mention, on aurait été nettement plus d'accord.
670.000 personnes utilisent l'eID au quotidien ? Je me demande bien où. Parce que je n'en vois pas autour de moi. Je ne dis pas qu'elles n'existent pas. Mais que je n'en vois pas. Au début de l'eID, je trouvais ça une formidable opportunité et j'attendais de voir les applications concrètes créatives de cet outil... Je n'ai rien vu. Enfin, si la fameuse carte de fidélité qui est à mon sens tout le contraire de ce que je veux voir.
Je ne dis pas non plus qu'on doit la fermer parce qu'on a innové il y a 10 ans. Je dis qu'il faut arrêter de dire qu'on est les seuls à avoir l'eID. Ce n'est plus vrai et d'autres pays l'ont bien intégré. Pour n'en citer qu'un, j'ai beaucoup entendu parler de l'Estonie.
Je suis le premier à louer la créativité et le savoir-faire wallon. J'approuve les initiatives telles que Nest'up, j'ai moi-même fait un passage à la RueDuWeb et nos initiatives locales méritent qu'on en parle. Je suis aussi parfaitement d'accord que l'article est du bashing idiot et destructeur mais ça ne m'oblige pas à encenser l'eID. Je trouve que c'était une excellente idée mais dont je ne vois aujourd'hui rien d'intéressant sortir.