Identic par La Poste certification d’identité…

Ceci est le premier de deux billets sur le nouveau concept de la poste, lancé en partenariat avec la société myID.is et qui vise à certifier des identités sur le Net. Je commence donc logiquement par la fin et vous présente une trouvaille faite en écrivant un papier sur le principe du service…

L’ensemble des contrôles sur les champs de formulaires sont effectués côté client, en javascript. Par conséquent il suffit de désactiver le javascript ou d’intercepter les requêtes pour contourner les protections mises en place par le site. Ainsi vous pouvez tout à fait vous inscrire si vous n’êtes pas dans le 91 (zone d’expérimentation choisie pour le moment) ou utiliser un mot de passe vide, ou un nom comportant des signes interdits, … C’est formidable tout passe !

Petit exemple en image avec une inscription depuis le code postal 94500 refusé initialement, puis qui passe comme… une lettre à la poste ?

Je tente avec le CP 94500 - refusé

J'utilise donc un CP du 91, au hasard 91500

A l'étape suivante je cherche ce 91500 dans le code source

Pour le remplacer par 94500, donc hors 91

Etape validée, la page suivante affiche maintenant 94500...

J’ai pris l’exemple du code postal ici, mais il semble que tout se base sur le même principe… Mots de passe y compris !

Je vais donc commander une e-Carte Bleue pour effectuer des tests (hors de question que je mette mon vrai code là dedans).

Courant de la semaine prochaine je reviens sur le principe en lui-même d’Identic – en attendant je vous conseille la lecture des commentaires (ceux de Charles et de Fabrice sont particulièrement intéressants) du billet de l’ami @Korben sur le sujet : Identic – Vers une véritable certification de l’identité numérique ?

12 réflexions sur « Identic par La Poste certification d’identité… »

  1. blueice

    Comment peut-on être aussi incompétent, c’est un stagiaire qui a fait le travail ?
    C’est vraiment effrayant surtout le slogan « Une identité numérique de confiance avec La Poste »

  2. manudwarf

    Je ne comprends pas… C’est du .do, donc du struts, il ne s’occupe pas de ce genre de trucs en JS + côté serveur normalement ?

  3. Ping : identic, ça commence mal pour la certification numérique… / #NeoSting

  4. Ping : Identité numérique: la proposition Identic.fr « JCFrogBlog II

  5. Éric

    La technique ils pourront la corriger mais quelle valeur sera attribuée à cette certification ? Est-ce qu’un service « important » ne risque pas de l’utiliser ? ou pire : les services de l’État.

    Parce que je mets fortement en doute la capacité de nos facteur de détecter une fausse carte d’identité payée 50€. Bref, tout usage où le risque dépasse 50€ est illégitime.

  6. Johan

    Je ne veux pas défendre le service mais il ne vous est pas venu à l’esprit que la validation coté client qui ne valide que le 91 était peut être uniquement là pour la période de test ?
    C’est ce que j’ai pensé en lisant l’article…

    Malheureusement ce n’est pas le cas… En utilisant la même technique, on peut valider un code postal écrit en toute lettre, ce qui montre effectivement que la validation coté serveur est bancale…

    Et je suis d’accord pour dire que l’utilisation de champs hidden pour des informations de formulaires ne sont pas sures et devraient être proscrites mais tout le monde ne le fait pas…

    @manudwarf :
    La validation doit surtout se faire coté serveur, la validation coté client, c’est pour le coté ergo et facilité d’utilisation…
    Et vaut mieux ne pas se fier au extension pour deviner sur quelles technos utilisent un serveur… On peut faire du php avec des extensions .do 😉

  7. Charles Nouÿrit

    Bonjour,

    Je suis le fondateur de MyID.is Certified.

    Petite précision concernant cette faille, je l’ai moi même révélée à Paul durant une discussion avant le lancement d’Identic et il utilise pour mettre en garde contre les risques intrinsèques à la centralisation de données.
    Données qui ne sont d’ailleurs qu’un prénom, un nom et une adresse postale, rien de plus que dans un annuaire et qui ne permettent pas de détourner une identité à des fins illégales.

    La sécurisation des serveurs est en cours de réalisation, et dans le débat que nous avons avec Paul chez Korben.info, cette faille de sécurité lui permet de démontrer son argumentation, c’est de bonne guerre.

    Nous somme dans une expérimentation qui va permettre de tester et d’observer les usages liés à une identité numérique vérifiée et d’identifier les avantages liés à son utilisation pour les particuliers et les sites accepteurs.

    Il s’agit ici d’une expérimentation, une Bêta dans notre langage de geek, donc forcément pas une release finalisée et sécurisée.

    Par contre, je souhaite continuer le débat là où il a commencé, à savoir chez Korben :
    http://www.korben.info/identic-vers-une-veritable-certification-de-lidentite-numerique.html

  8. Paul Auteur de l’article

    @Charles : Non, tu m’as dit que les serveurs n’étaient pas sécurisés… Tu ne m’as pas parlé d’une faille en particulier. Cette faille je l’ai trouvée en faisant un essai tout bête alors que je préparais un article sur le fond du problème : l’intérêt et les risques de la certification d’identité numérique comme tu la propose ou comme quiconque pourrait la proposer.

    En l’espèce je constate une faille de sécurité (minime il faut bien le dire) sur un site supposé servir de tiers de confiance à la garantie d’une identité d’une personne.

    Rien en l’état n’est compromis des données des clients mais comme tu apportes la précision toi-même, cette bêta, qui gère des utilisateurs réels, prend place sur un espace public (le web) et met potentiellement en danger la sécurité des informations que tes clients te confieront.

    Au delà de cela, et même si la sécurité intrinsèque de l’application n’est pas corrompue, les risques restent immenses et sur-dimensionnés rapport à l’intérêt qu’apporte la solution (minime là encore, il faut bien le reconnaitre).

    Encore une fois : je fais parti des good guys, ceux qui n’exploiteront pas les failles décelées même si elles sont fonctionnelles et pas informatiques, ce ne sera pas le cas de tous et le premier à vouloir hacker ce système sera l’état qui a tout intérêt à le rendre obligatoire pour tuer l’anonymat (fondement de la démocratie) sur le Net…

  9. Ping : Identic, un TEST pour sortir l’identité de son anonymat « InfraMarginal

  10. Ping : (Veille)> Actualité de la vie privée + les identités numériques

  11. Ping : Flattr-ages du mois de Mai 2011 | Le Codex Gnoufique

Les commentaires sont fermés.