L’utilisation de la carte d’identité électronique pas totalement sûre
Dans la minute qui suit la déconnexion de certaines applications ouvertes par le titulaire d’une carte d’identité électronique, un quidam peut usurper son identité.
Belga
La possibilité existe de voir un quidam manipuler, au départ d’un lieu public (bibliothèque, cybercafé, point d’information) certaines applications ouvertes par le titulaire d’une carte d’identité électronique (eID) après que celui-ci a pourtant retiré la carte de l’appareil ad hoc, ressort-il d’une récente réponse du secrétaire d’état à la Fonction Publique Hendrik Bogaert à une question parlementaire.
La carte eID permet d’accéder à certaines applications telles que Tax on web ou permettant le calcul de la pension, de demander des attestations ou des formulaires électroniques.
Fedict, qui gère les technologies de l’information et de la communication fédérales, examine actuellement la possibilité d’intégrer la technologie eID au sein du « Federal Authentification Service (FAS) » de manière à ce que la session web soit gérée par l’application même et pas par le protocole « SSL » à la source du problème, selon le secrétaire d’État à la Fonction publique Hendrik Bogaert interrogé par le député Vincent Van Quickenborne (Open Vld).
Dans une question écrite, ce dernier fait état de « sérieux problèmes de sécurité » rapportés par des développeurs. Dans la minute qui suit la déconnexion d’un compte eID, il est possible de retourner sur le site, sans carte ni code PIN, souligne le député Open Vld, une problématique « connue depuis 2003-2004, depuis l’utilisation de https/SSL comme base pour une connexion avec l’eID », selon Hendrik Bogaert.
D’après lui, cette situation existe avec des versions antérieures de navigateurs alors qu’« une mesure complémentaire consiste en la limitation « automatique » de la durée de validité d’une session web construite via SSL ».
Dans le cadre de l’examen de la possibilité permettant de remédier à cette situation (intégrer la technologie eID au sein du « Federal Authentification Service (FAS) »), Fedict devra notamment tenir compte des « moyens budgétaires disponibles », toujours selon le secrétaire d’État.
Reconnaissant un problème au niveau des applications fonctionnant sur la base de l’eID, ce dernier a mis en évidence « la sécurité intrinsèque de la carte eID ».
Le député Vincent Van Quickenborne (Open Vld) connaît bien le sujet puisqu’il a été ministre en charge de l’eID.
Vos réactions
Voir toutes les réactions Soyons sérieux ! Une puce est toujours Krakable! Il y a même des logiciels qui le font (cfr le magazine HACKER en France avec DVD, s'il vous plaît! Aucune puce ne lui résiste ni identitaire, ni passeport, ni et surtout bancaire! et il suffit de bricoler un peu et voilà vous êtes une autre personne ! avec un nom différent, des cartes de banques différentes... Allons messieurs de la sécurité faites entendre votre voix dans le tout dans la puce !
Jamais je n'utiliserai cette puce sur ma carte d'ID, aussi longtemps que je peux l'éviter. L'idée qu'on va aussi y intégrer notre carte SIS (et puis quoi, encore?) m'horripile. A quand une puce sous notre peau?
eSécurité JAMAIS un système informatique, à fortiori fonctionnant sur internet, ne sera inviolable. Cette loi a été énoncée dans les années '70 par un génie américain qui avait bien prédit à cette époque tout ce que nous connaissons comme problèmes de sécurité des données depuis l'invention des interconnections entre ordinateurs. Il avait également prédit que tous les 18 mois le matériel et les softwares deviendraient 2x plus performants à prix égal, ou coûteraient 2x moins cher à qualité égale... il en est de même pour les hackers!...
Cela ne m'étonne pas. Safari et Chrome dernières versions bloquent les procédures par souci de sécurité. Y a encore du boulot pour universaliser l'EID.
C'est beaucoup plus simple que ca... Vous utilisez votre carte avec un logiciel inconnu. Vous tapez votre code. Le programme dispose maintenant de votre carte et de votre code... Qu'est-ce qui vous prouve que vous n'êtes pas en train de signer un tas de trucs dont vous n'avez même pas idée. Ce truc-là est complètement foireux depuis le début. Ça a coûté des dizaines (centaines?) de millions et c'est d'une naïveté consternante.