Gravatar couramment utilisé Blog perso de Paul Da Silva

Identic par La Poste certification d’identité…

Posted on | mai 20, 2011 | 12 Comments

Ceci est le premier de deux billets sur le nouveau concept de la poste, lancé en partenariat avec la société myID.is et qui vise à certifier des identités sur le Net. Je commence donc logiquement par la fin et vous présente une trouvaille faite en écrivant un papier sur le principe du service…

L’ensemble des contrôles sur les champs de formulaires sont effectués côté client, en javascript. Par conséquent il suffit de désactiver le javascript ou d’intercepter les requêtes pour contourner les protections mises en place par le site. Ainsi vous pouvez tout à fait vous inscrire si vous n’êtes pas dans le 91 (zone d’expérimentation choisie pour le moment) ou utiliser un mot de passe vide, ou un nom comportant des signes interdits, … C’est formidable tout passe !

Petit exemple en image avec une inscription depuis le code postal 94500 refusé initialement, puis qui passe comme… une lettre à la poste ?

Je tente avec le CP 94500 - refusé

J'utilise donc un CP du 91, au hasard 91500

A l'étape suivante je cherche ce 91500 dans le code source

Pour le remplacer par 94500, donc hors 91

Etape validée, la page suivante affiche maintenant 94500...

J’ai pris l’exemple du code postal ici, mais il semble que tout se base sur le même principe… Mots de passe y compris !

Je vais donc commander une e-Carte Bleue pour effectuer des tests (hors de question que je mette mon vrai code là dedans).

Courant de la semaine prochaine je reviens sur le principe en lui-même d’Identic – en attendant je vous conseille la lecture des commentaires (ceux de Charles et de Fabrice sont particulièrement intéressants) du billet de l’ami @Korben sur le sujet : Identic – Vers une véritable certification de l’identité numérique ?

Commentaires

12 Responses to “Identic par La Poste certification d’identité…”

  1. blueice
    mai 20th, 2011 @ 13 h 36 min

    Comment peut-on être aussi incompétent, c’est un stagiaire qui a fait le travail ?
    C’est vraiment effrayant surtout le slogan « Une identité numérique de confiance avec La Poste »

  2. manudwarf
    mai 20th, 2011 @ 13 h 36 min

    Je ne comprends pas… C’est du .do, donc du struts, il ne s’occupe pas de ce genre de trucs en JS + côté serveur normalement ?

  3. identic, ça commence mal pour la certification numérique… / #NeoSting
    mai 20th, 2011 @ 13 h 41 min

    […] problèmes de sécurités, côté client notamment, montrent déjà de gros soucis. Voilà, déjà, sa première conclusion en un rapide tour d'horizon. Attendez de voir la suite, je suis sûr que vous ne serez pas déçu. […]

  4. Identité numérique: la proposition Identic.fr « JCFrogBlog II
    mai 20th, 2011 @ 13 h 52 min

    […] Paul Da Silva a des doutes, il n’est pas le seul, et je pense qu’ils ne vont pas le lâcher, mais je t’invite vivement à lire la réponse très complète de Charles sur le blog de Manu. […]

  5. Éric
    mai 20th, 2011 @ 15 h 30 min

    La technique ils pourront la corriger mais quelle valeur sera attribuée à cette certification ? Est-ce qu’un service « important » ne risque pas de l’utiliser ? ou pire : les services de l’État.

    Parce que je mets fortement en doute la capacité de nos facteur de détecter une fausse carte d’identité payée 50€. Bref, tout usage où le risque dépasse 50€ est illégitime.

  6. Johan
    mai 20th, 2011 @ 16 h 46 min

    Je ne veux pas défendre le service mais il ne vous est pas venu à l’esprit que la validation coté client qui ne valide que le 91 était peut être uniquement là pour la période de test ?
    C’est ce que j’ai pensé en lisant l’article…

    Malheureusement ce n’est pas le cas… En utilisant la même technique, on peut valider un code postal écrit en toute lettre, ce qui montre effectivement que la validation coté serveur est bancale…

    Et je suis d’accord pour dire que l’utilisation de champs hidden pour des informations de formulaires ne sont pas sures et devraient être proscrites mais tout le monde ne le fait pas…

    @manudwarf :
    La validation doit surtout se faire coté serveur, la validation coté client, c’est pour le coté ergo et facilité d’utilisation…
    Et vaut mieux ne pas se fier au extension pour deviner sur quelles technos utilisent un serveur… On peut faire du php avec des extensions .do 😉

  7. Charles Nouÿrit
    mai 20th, 2011 @ 20 h 09 min

    Bonjour,

    Je suis le fondateur de MyID.is Certified.

    Petite précision concernant cette faille, je l’ai moi même révélée à Paul durant une discussion avant le lancement d’Identic et il utilise pour mettre en garde contre les risques intrinsèques à la centralisation de données.
    Données qui ne sont d’ailleurs qu’un prénom, un nom et une adresse postale, rien de plus que dans un annuaire et qui ne permettent pas de détourner une identité à des fins illégales.

    La sécurisation des serveurs est en cours de réalisation, et dans le débat que nous avons avec Paul chez Korben.info, cette faille de sécurité lui permet de démontrer son argumentation, c’est de bonne guerre.

    Nous somme dans une expérimentation qui va permettre de tester et d’observer les usages liés à une identité numérique vérifiée et d’identifier les avantages liés à son utilisation pour les particuliers et les sites accepteurs.

    Il s’agit ici d’une expérimentation, une Bêta dans notre langage de geek, donc forcément pas une release finalisée et sécurisée.

    Par contre, je souhaite continuer le débat là où il a commencé, à savoir chez Korben :
    http://www.korben.info/identic-vers-une-veritable-certification-de-lidentite-numerique.html

  8. Paul
    mai 21st, 2011 @ 0 h 31 min

    @Charles : Non, tu m’as dit que les serveurs n’étaient pas sécurisés… Tu ne m’as pas parlé d’une faille en particulier. Cette faille je l’ai trouvée en faisant un essai tout bête alors que je préparais un article sur le fond du problème : l’intérêt et les risques de la certification d’identité numérique comme tu la propose ou comme quiconque pourrait la proposer.

    En l’espèce je constate une faille de sécurité (minime il faut bien le dire) sur un site supposé servir de tiers de confiance à la garantie d’une identité d’une personne.

    Rien en l’état n’est compromis des données des clients mais comme tu apportes la précision toi-même, cette bêta, qui gère des utilisateurs réels, prend place sur un espace public (le web) et met potentiellement en danger la sécurité des informations que tes clients te confieront.

    Au delà de cela, et même si la sécurité intrinsèque de l’application n’est pas corrompue, les risques restent immenses et sur-dimensionnés rapport à l’intérêt qu’apporte la solution (minime là encore, il faut bien le reconnaitre).

    Encore une fois : je fais parti des good guys, ceux qui n’exploiteront pas les failles décelées même si elles sont fonctionnelles et pas informatiques, ce ne sera pas le cas de tous et le premier à vouloir hacker ce système sera l’état qui a tout intérêt à le rendre obligatoire pour tuer l’anonymat (fondement de la démocratie) sur le Net…

  9. Identic, un TEST pour sortir l’identité de son anonymat « InfraMarginal
    mai 24th, 2011 @ 18 h 19 min

    […] du test de ce service suscite un certain nombre de réactions, de controverses à la fois sur l’utilité d’un dispositif de ce type, les organisations impliquées et […]

  10. (Veille)> Actualité de la vie privée + les identités numériques
    mai 24th, 2011 @ 23 h 43 min

    […] qu’il est fortement chahuté par la communauté (de geeks et de nerds, il est vrai) : faille de sécurité (un comble !, mais dans le même c’est en beta), volonté de préserver des transactions […]

  11. seber
    mai 25th, 2011 @ 1 h 04 min

    bon alors Paul ta réaction sur le e-G8 ???

  12. Flattr-ages du mois de Mai 2011 | Le Codex Gnoufique
    juin 1st, 2011 @ 1 h 34 min

    […] Identic par La Poste certification d’identité… […]

Leave a Reply





Edito

Ancien journaliste, ancien entrepreneur, ancien (ir)responsable Pirate, actuel citoyen qui s'intéresse à la politique et à son évolution.

Read moar !.

Retrouvez moi sur :

Suivez moi sur twitter sur facebook sur wikipedia Ajouter ce blog a votre lecteur RSS

Bitcoin

bitcoin logo
1GZnMQ9wXyifxCnDEqg8CSGdngWcKWptHv

Piratons la démocratie

piratons la democratie

One more thing !

0100 0011 0110 1000 0110 0001 0110 1110 0110 0111 0110 0101 0111 0010 0010 0000 0110 1100 0110 0101 0010 0000 0110 1101 0110 1111 0110 1110 0110 0100 0110 0101 0010 0000 0110 0101 0110 1110 0010 0000 0111 0011 0010 0111 0110 0001 0110 1101 0111 0101 0111 0011 0110 0001 0110 1110 0111 0100 0010 0000 0010 1101 0010 0000 0110 1111 0110 1110 0010 0000 0111 0110 0110 0001 0010 0000 0110 0010 0110 1111 0110 1001 0111 0010 0110 0101 0010 0000 0111 0101 0110 1110 0010 0000 0110 0011 0110 1111 0111 0101 0111 0000 0010 0000 0011 1111

Tm9uIGNlbGVsIGzgIGVzdCBqdXN0ZSBwb3VyIHRlIGZhaXJlIHBlcmRyZSA1bW4gOyk=

Relationship Closeness Inventory

Promo code Genesis Mining

Sha 256 cloud mining

Best Bitcoin debit card

Zcash Mining