Grand merci pour cette initiative — Lex Community & Vous

#2 Administrateur

Bonjour,

En Belgique, l'état a fait le choix de fournir une carte à puce avec des certificats numériques qui permettent de signer des documents et de s'authentifier sur des sites Web.

Après des années d'utilisation et d'expérience, cette solution est décriée par de nombreux utilisateurs qui se plaignent de la nécessité d'avoir besoin d'un ordinateur PC ou Mac pour utiliser la carte, et qui nécessite souvent l'installation et la mises à jour de logiciels spécifiques.

Par ailleurs il est particulièrement complexe, couteux et risqué pour une organisation étatique de maintenir à jour une infrastructure de gestion de clés pour des millions de personnes.

Au final en Belgique, de nombreux utilisateurs ont recours à des systèmes d'authentification sur mobile qui s'appuient indirectement sur la carte à puce belge. Mais le niveau de sécurité est probablement plus faible, et la mise en place du règlement eIDAS version 2 pose question par rapport à de tels moyens d'authentification.

Bien cordialement,
L'équipe Lex Community.

Permalink

#3 dblas

Très bien, je comprends le retour d'expérience des belges et j'abonde dans ce sens. En effet, ça ne fonctionne bien que pour MS-Windows, le fournisseur du contrôleur sécurisé n'ayant produit des pilotes que pour cet environnement. Les autres, appleliens et linuxiens, peuvent rentrer chez eux. Mais c'est, encore une fois, un souci issus des fournisseurs de moyens crypto, une histoire de marché fermé qui remonte aux années 80. On sait faire mieux de nos jours avec de l'ISO 18000 (NFC) voire, même, du BT sécurisé ce qui fait rentrer dans le jeu les mobiles et casse un peu le monopole de ces fournisseurs antédiluviens. C'est donc un excellent choix ne serait-ce que pour l'expérience utilisateur. Je n'ai donc pas grand chose à dire sur le choix du NFC comme interface d'échange avec la carte à puce. Mais, la question demeure du pourquoi ne pas laisser la carte signer ? Après tout, une signature ce n'est que le chiffrement d'un résumé (hash) et, quel que soit le système (PC, mac, linux, mobile), une prise d'empreinte c'est facile à calculer lorsqu'on dispose du document à signer et facile à expédier via NFC. Est-ce vraiment la perspective, pour l'AC France, de gérer des millions de biclés qui conduit à un tel circuit tortueux ? Tortueux parce que d'un point de vue expérience ce n'est pas simple et, à moins qu'il existe une application mobile, utiliser le site lex sur un mobile c'est ... sportif. Merci, db db

Permalink

#4 Administrateur

Rebonjour,

Pour répondre à votre question "pourquoi ne pas laisser la carte signer ?", il faut comprendre que le chiffrement de l'empreinte doit être effectuée à l'aide d'une clé privée propre au signataire. Donc si cette clé privée est sur la puce, cela revient à délivrer un certificat de signature au porteur de la carte, et on est dans ce cas immédiatement revenu au cas de la CNI belge avec toutes les difficultés de production et de maintenance de cette solution, sur une population bien supérieure à celle de la Belgique.

Avec France Identité, vous bénéficiez d'une identité numérique de niveau élevé, qui vous permet de signer sur tous les devices, PC, Mac, iOS et Android, avec un parcours d'authentification rapide et fluide.

Un autre aspect important, qui n'est pas à sous estimer, c'est que le support d'une carte à puce nécessite de prendre en compte les spécificités logicielles et matérielles de la carte, alors que dans le cas d'une identité numérique telle que France Identité, qui s'appuie sur le protocole OpenID Connect, elle est automatiquement compatible avec toutes les applications qui prennent en charge ce protocole.

Bien cordialement,
L'équipe Lex Community.

Permalink