Le gouvernement prévoit la fin des mots de passe sur Internet et lance son projet de certificat électronique

Katleen Erna · 03/02/2010, 02h33

Le gouvernement prévoit la fin des mots de passe sur Internet et lance son projet de certificat électronique : IdéNum

Nathalie Kosciusko-Morizet, La secrétaire d'Etat chargée de la prospective et du développement de l'économie numérique, a présenté lundi premier février un nouveau dispositif numérique souhaité par le gouvernement.

Sous le nom d'IdéNum, nos gouvernants voudraient créer un label garantissant à chaque citoyen français une «identité numérique multi-services».

Comment ce système fonctionnera-t-il ?

Chaque internaute devra placer sur un seul et unique support (clé USB, carte SIM, etc.) ses coordonnées personnelles. Ces données deviendraient alors un "certifict" unique qui serait reconnu par tous les sites publics et privés adhérant au label IdéNum. Ce dispositif rendrait alors obsolètes et inutiles les identifiants et les mots de passe. De plus, il permettra de remplir automatiquement certains formulaires en ligne. Ce système existe déjà depuis quelques années avec le site des impôts, qui permet de télédéclarer sans s'identifier, grâce au téléchargement d'un certificat permettant d'identifier son ordinateur.

Nathalie Kosciusko-Morizet prédit la fin du «cauchemar des 1.001 mots de passe». Son annonce s'est suivie d'une démonstration pendant laquelle il a été expliqué comment souscrire un prêt bancaire, faire des achats ou déclarer ses enfants à la CAF très simplement en surfant sur le net avec son certificat.

«Plus de simplicité, plus de sécurité, plus de services», tel est le credo d'IdéNum selon elle. Quelques vingts groupes différents (dont La Poste, la Fédération bancaire française et la Fédération française des sociétés d'assurance) se sont déjà portés partenaires du projet en s'engageant à y participer activement.

Une première version test d'IdéNum est attendue pour mi-2010. Sa mise en service définitive devrait s'opèrer en 2011.

Les certificats devraient avoir des durées de vie limitées à 3 ou 5 ans et nos élus réfléchisset déjà à des solutions pour éviter des problèmes de confusions d'homonymes, ou de piratage des codes PIN nécéssaires à leur activitation.

A votre avis, quel sera le tarif pour l'utilisation de ce "sésame" ?

IdéNum vous parait-il être une bonne idée ? Pourquoi ?

IdéNum serat-il fiable en matière de sécurité électronique ?

Folken Laëneck · 03/02/2010, 03h09

La même info, un autre point de vue

Khleo · 03/02/2010, 03h37

Citation:

cauchemar des 1.001 mots de passe

Moi personnellement je n'ai que 2 mots de passe.

Citation:

Chaque internaute devra placer sur un seul et unique support (clé USB, carte SIM, etc.) ses coordonnées personnelles.

Déjà là, ça risque de freiner l'utilisation de leur service.

Et puis, sur les sites utilisant Facebook connect, même plus besoin d'entrer un mot de passe...

Un peu inutile non ?

Viish · 03/02/2010, 03h39

Citation:

Envoyé par Folken Laëneck

La même info, un autre point de vue

Oui un autre point de vue tout à fait intéressant. Et outre l'aspect évoqué dans l'article du "fliquage automatisé", il y a aussi un nouvel aspect sécurité.
Combien de gens perdent, oublient, se font voler leur clé usb / téléphone portable.
Personnellement je préfère avoir un mot de passe, même si long et compliqué. Et puis ça permet l'utilisation par plusieurs personnes d'un même compte, qui dans certains cas s'avère utile et pratique.

duplo · 03/02/2010, 08h00

Citation:

Envoyé par Viish

"fliquage automatisé"

c'est clairement l'idée, grace a ce type de systeme on enleve une des idée clé d'internet ... la libertée !!

Citation:

Envoyé par Viish

Combien de gens perdent, oublient, se font voler leur clé usb / téléphone portable.

voler un telephone portable c'est " accessible a tout le monde " alors que voler un mot de passe reste moin accessible ce qui n'est pas un mal ...

viking1404 · 03/02/2010, 08h57

Qu'est ce que viens faire la clé USB là dedans ?
C'est une sorte de carte d'identité qu'on utilise à chaque fois qu'on vas sur un ordi. ?

Si c'est ca, merci la sécurité !

Ca me fait penser à un autre principe qui existe déjà dans l'administration. Les employés recoivent une sorte de clé qui affiche des nombres "aléatoires". Pour s'identifier sur certains sites, il faut entrer le nombre affiché sur la clé...

selinav · 03/02/2010, 08h57

Il existe l'identifiant OpenID par encore assez diffusé mais plus pratique qu'un objet à emporter partout.

Vive le piratage !

sphynxounet · 03/02/2010, 09h01

Citation:

Envoyé par Katleen Erna

Les certificats devraient avoir des durées de vie limitées à 3 ou 5 ans et nos élus réfléchissent déjà à des solutions pour éviter des problèmes de confusions d'homonymes, ou de piratage des codes PIN nécéssaires à leur activitation.

Si c'est les élus qui réfléchissent à la mise en place de système de sécurité alors jamais je n'adhérerai à leur système. Déjà qu'aucun système n'est ni parfait ni sécurisé à 100% mais là ...

JoeChip · 03/02/2010, 09h01

Citation:

Envoyé par duplo

voler un telephone portable c'est " accessible a tout le monde " alors que voler un mot de passe reste moin accessible ce qui n'est pas un mal ...

Mais voler une clé USB... Déjà que ça peut être un gros problème, par les temps qui courent, de prouver son identité (par exemple si on est né à l'étranger). En cas de vol ou de perte, (ou de copie par l'intermédiaire d'un trojan) de cette clé USB, ce sera pire... Et aussi prouver que ce n'est pas l'utilisateur légitime qui a fait ceci ou cela...

Vu l'expertise ambiante dans les commissariats et chez les politiques, vous vous voyez expliquer "désolé yavait un backdoor installé par un trojan, sur la machine du client, qui avait à mon insu désactivé le firewall, du coup quand j'ai mis ma clé, l'autorun a envoyé une image de ma clé je ne sais où" ... Garde à vue de 48h garantie, ça...

En ce qui me concerne, j'en resterai à mes mots de passe le plus longtemps possible... Si vous voulez avoir une idée de l'avance technologique qu'ont les "méchants" sur les "bons", lisez ça : http://fr.readwriteweb.com/wp-conten...rnographie.pdf, c'est une analyse du fonctionnement (technique et commercial) des réseaux de distribution de contenus illégaux (pédopornographie)... A distinguer des réseaux illégaux de distribution de contenus (piratage banal)... Et imaginez les idées que ça leur donnerait, cette histoire ...

kapok · 03/02/2010, 09h37

complèment inadapté

le net ne se résume pas à la france... alors une identité numérique française...

encore une idée bien étudiée

Marco46 · 03/02/2010, 09h50

Dès que "nos élus" peuvent faire un truc débile franco-français c'est bon ils foncent tête baissé ... Incroyable.

Citation:

A votre avis, quel sera le tarif pour l'utilisation de ce "sésame" ?

Ah parce qu'en plus il va falloir payer ?!?

Citation:

IdéNum vous parait-il être une bonne idée ? Pourquoi ?

Si l'idée de départ est bonne (simplifier la vie des gens et leur fournir une meilleure sécurité informatique), sa mise en oeuvre montre à quel point nos hommes politiques les plus au fait du numérique sont complètement à côté de la plaque. J'attendais mieux de NKM, je la pensais plus au jus de ce qui se fait.

En matière de sécurité rien ne vaut les standards ouverts.
Leur protocole est-il librement implémentable ?
Ils utilisent quelle(s) norme(s)/standard(s) ?
Est-il interopérable ?

Quid des sites web internationaux ? Si chaque pays fait à sa sauce, un site web voulant être compatible avec tout le monde devra avoir 195 implémentations différentes ? C'est ça l'esprit d'Internet ?

Franchement ya des boulets qui sont payés plusieurs milliers d'euros par mois pour conseiller des trucs pareils ça me rend dingue.

J'ai lu la documentation présentée ici et il n'y a aucune réponse à ces questions pourtant élémentaires.

Il existe une plateforme standard et ouverte, OpenID, soutenue déjà par les principales entreprises du monde informatique (IBM, Microsoft, Google, Verisign, etc ...) Ca n'aurait pas été mieux de soutenir ce qui existe déjà et qui est ouvert à tous et gratuit ?

...

Citation:

IdéNum serat-il fiable en matière de sécurité électronique ?

Manquerait plus qu'il ne soit pas fiable ... S'ils utilisent les normes standards alors il sera fiable.

dams78 · 03/02/2010, 09h51

Je trouve que dans le fond c'est une bonne idée, moi aussi j'essaye d'avoir le peu de mot de passe possible, le truc c'est que beaucoup de site sont développés bizarrement je dirai et qu'il arrive que mon mot de passe "internet" ne soit pas accepté parce qu'il est trop long, qu'il contient un caractère spécial, etc. Alors oui cette personne à raison, on se retrouve assez facilement avec 1001 mots de passe (surtout quand on a pas accès à Firefox et/ou Weave).

Ensuite pour ce qui est de la clé usb qui peut être volée, c'est un peu comme la carte bleue, couplez ce système à un code pin facilement mémorisable mais en limitant le nombre d'essais à 3 et vous obtenez un système qui a fait ces preuves.

Donc pour moi l'idée est bonne, est à creuser et peut être qu'il serait bon de l'étendre au commerce électronique, etc.

LDDL · 03/02/2010, 10h06

Je pense plutôt que le gouvernement voudrait imposser un systeme ! J'imagine qu'il devra y avoir un retour sur investissement. Peut être même est ce une passerelle pour aller vers autre chose. Bref j'espère qu'on aura le choix...

ghoudmon · 03/02/2010, 10h07

Je pense que c'est une bonne initiative. Il sera plus difficile de pirater un compte utilisateur protégé par ce système.

Le certificat peut être protégé par un mot de passe (ou code PIN). Mais celui-ci ne véhicule pas sur internet.

En plus, si l'utilisateur se fait voler ou perd son certificat, il peut à tout moment demander un nouveau certificat qui invalide le précédent. Donc, le pirate aura en main un certificat qui lui servira à rien.

Par contre, si l'utilisateur accède à son certificat via un logiciel malveillant sur le PC, ce dernier pourrait envoyer à l'insu de l'utilisateur la clé privé. Mais n'y a-t-il pas le même problème avec les mots de passe?

Pour ce qui est de les libertés individuelles, je ne trouve pas choquant de proposer un moyen d'identification fort, tant qu'il est facultatif. Libre à chacun d'utiliser le certificat pour se faciliter la vie pour des sites officiels et un compte classique pour des sites qu'il juge plus sensibles.

Pour ce qui est des standards, j'ai l'impression qu'il compte utiliser une infrastructure de gestion de certificats X509 (comme pour les impôts). IdéNum serait une autorité de gestion. Les échanges entre une application et une autorité de certification font déjà l'objet de standard.
En plus, l'utilisation des certificats X509 peut être compatible avec OpenId. Le certificat est un moyen d'authentification (comme un login/mot de passe), tandis qu'OpenId est plus un moyen d'identification (authentification + échanges d'attributs d'identification).

kmaniche · 03/02/2010, 10h10

Si j'adhère à cette solution, lorsque je me connecte à un site comme "La Poste" il reçoit automatiquement mes infos d'identité. Mais, supposons que je me connecte à un autre site sans me rendre compte que ce dernier lit lui aussi mon identité, donc il y a un risque que certains peuvent faire une copie sur leurs clefs USB ou PC ...

Est-ce que c'est vraiment sûr ce machin ?

03/02/2010, 02h33	#1 (permalink)
Katleen Erna Chroniqueuse Actualités Date d'inscription: juillet 2009 Localisation: Paris Messages: 585	Le gouvernement prévoit la fin des mots de passe sur Internet et lance son projet de certificat électronique Le gouvernement prévoit la fin des mots de passe sur Internet et lance son projet de certificat électronique : IdéNum Nathalie Kosciusko-Morizet, La secrétaire d'Etat chargée de la prospective et du développement de l'économie numérique, a présenté lundi premier février un nouveau dispositif numérique souhaité par le gouvernement. Sous le nom d'IdéNum, nos gouvernants voudraient créer un label garantissant à chaque citoyen français une «identité numérique multi-services». Comment ce système fonctionnera-t-il ? Chaque internaute devra placer sur un seul et unique support (clé USB, carte SIM, etc.) ses coordonnées personnelles. Ces données deviendraient alors un "certifict" unique qui serait reconnu par tous les sites publics et privés adhérant au label IdéNum. Ce dispositif rendrait alors obsolètes et inutiles les identifiants et les mots de passe. De plus, il permettra de remplir automatiquement certains formulaires en ligne. Ce système existe déjà depuis quelques années avec le site des impôts, qui permet de télédéclarer sans s'identifier, grâce au téléchargement d'un certificat permettant d'identifier son ordinateur. Nathalie Kosciusko-Morizet prédit la fin du «cauchemar des 1.001 mots de passe». Son annonce s'est suivie d'une démonstration pendant laquelle il a été expliqué comment souscrire un prêt bancaire, faire des achats ou déclarer ses enfants à la CAF très simplement en surfant sur le net avec son certificat. «Plus de simplicité, plus de sécurité, plus de services», tel est le credo d'IdéNum selon elle. Quelques vingts groupes différents (dont La Poste, la Fédération bancaire française et la Fédération française des sociétés d'assurance) se sont déjà portés partenaires du projet en s'engageant à y participer activement. Une première version test d'IdéNum est attendue pour mi-2010. Sa mise en service définitive devrait s'opèrer en 2011. Les certificats devraient avoir des durées de vie limitées à 3 ou 5 ans et nos élus réfléchisset déjà à des solutions pour éviter des problèmes de confusions d'homonymes, ou de piratage des codes PIN nécéssaires à leur activitation. A votre avis, quel sera le tarif pour l'utilisation de ce "sésame" ? IdéNum vous parait-il être une bonne idée ? Pourquoi ? IdéNum serat-il fiable en matière de sécurité électronique ?

03/02/2010, 08h57	#6 (permalink)
viking1404 Membre du Club Date d'inscription: janvier 2009 Localisation: France Messages: 91	Je suis débile ou bien ? Qu'est ce que viens faire la clé USB là dedans ? C'est une sorte de carte d'identité qu'on utilise à chaque fois qu'on vas sur un ordi. ? Si c'est ca, merci la sécurité ! Ca me fait penser à un autre principe qui existe déjà dans l'administration. Les employés recoivent une sorte de clé qui affiche des nombres "aléatoires". Pour s'identifier sur certains sites, il faut entrer le nombre affiché sur la clé...

03/02/2010, 08h57	#7 (permalink)
selinav Membre du Club Date d'inscription: novembre 2004 Messages: 86	Open ID Il existe l'identifiant OpenID par encore assez diffusé mais plus pratique qu'un objet à emporter partout. Vive le piratage !

03/02/2010, 09h51	#12 (permalink)
dams78 Membre émérite Nom : damien Date d'inscription: mars 2005 Localisation: Poissy (Yvelines) Âge: 25 Messages: 801	Je trouve que dans le fond c'est une bonne idée, moi aussi j'essaye d'avoir le peu de mot de passe possible, le truc c'est que beaucoup de site sont développés bizarrement je dirai et qu'il arrive que mon mot de passe "internet" ne soit pas accepté parce qu'il est trop long, qu'il contient un caractère spécial, etc. Alors oui cette personne à raison, on se retrouve assez facilement avec 1001 mots de passe (surtout quand on a pas accès à Firefox et/ou Weave). Ensuite pour ce qui est de la clé usb qui peut être volée, c'est un peu comme la carte bleue, couplez ce système à un code pin facilement mémorisable mais en limitant le nombre d'essais à 3 et vous obtenez un système qui a fait ces preuves. Donc pour moi l'idée est bonne, est à creuser et peut être qu'il serait bon de l'étendre au commerce électronique, etc. __________________ dam's

03/02/2010, 10h06	#13 (permalink)
LDDL Membre actif Date d'inscription: juillet 2003 Messages: 178	Obligation volontaire Je pense plutôt que le gouvernement voudrait imposser un systeme ! J'imagine qu'il devra y avoir un retour sur investissement. Peut être même est ce une passerelle pour aller vers autre chose. Bref j'espère qu'on aura le choix...

03/02/2010, 03h09	#2 (permalink)
Folken Laëneck Nouveau membre du Club Date d'inscription: juillet 2005 Messages: 58	La même info, un autre point de vue

03/02/2010, 09h37	#10 (permalink)
kapok Invité de passage Date d'inscription: février 2010 Messages: 2	complèment inadapté le net ne se résume pas à la france... alors une identité numérique française... encore une idée bien étudiée

03/02/2010, 10h07	#14 (permalink)
ghoudmon Invité régulier Date d'inscription: mai 2005 Localisation: Lille Âge: 30 Messages: 15	Je pense que c'est une bonne initiative. Il sera plus difficile de pirater un compte utilisateur protégé par ce système. Le certificat peut être protégé par un mot de passe (ou code PIN). Mais celui-ci ne véhicule pas sur internet. En plus, si l'utilisateur se fait voler ou perd son certificat, il peut à tout moment demander un nouveau certificat qui invalide le précédent. Donc, le pirate aura en main un certificat qui lui servira à rien. Par contre, si l'utilisateur accède à son certificat via un logiciel malveillant sur le PC, ce dernier pourrait envoyer à l'insu de l'utilisateur la clé privé. Mais n'y a-t-il pas le même problème avec les mots de passe? Pour ce qui est de les libertés individuelles, je ne trouve pas choquant de proposer un moyen d'identification fort, tant qu'il est facultatif. Libre à chacun d'utiliser le certificat pour se faciliter la vie pour des sites officiels et un compte classique pour des sites qu'il juge plus sensibles. Pour ce qui est des standards, j'ai l'impression qu'il compte utiliser une infrastructure de gestion de certificats X509 (comme pour les impôts). IdéNum serait une autorité de gestion. Les échanges entre une application et une autorité de certification font déjà l'objet de standard. En plus, l'utilisation des certificats X509 peut être compatible avec OpenId. Le certificat est un moyen d'authentification (comme un login/mot de passe), tandis qu'OpenId est plus un moyen d'identification (authentification + échanges d'attributs d'identification).

03/02/2010, 10h10	#15 (permalink)
kmaniche Membre Expert Date d'inscription: janvier 2006 Localisation: sur terre. Messages: 1 282	Si j'adhère à cette solution, lorsque je me connecte à un site comme "La Poste" il reçoit automatiquement mes infos d'identité. Mais, supposons que je me connecte à un autre site sans me rendre compte que ce dernier lit lui aussi mon identité, donc il y a un risque que certains peuvent faire une copie sur leurs clefs USB ou PC ... Est-ce que c'est vraiment sûr ce machin ? __________________ C++Builder 6&2009, Delphi, Matlab 2K9b, Visual Studio 2K8 for C# & ASP.net. Windows 7 EI Le savez-vous : Albert Einstein - La recherche, c'est 5% de talent et 95% de transpiration. - Pour que A soit un succès dans la vie, il faut vérifier que A = x + y + z, avec : x = travailler, y = s'amuser, z = se taire.

		Forum des professionnels en informatique > Le club des professionnels en informatique > Actualités
Le gouvernement prévoit la fin des mots de passe sur Internet et lance son projet de certificat électronique

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email