Initiative ISCN ?

29 juin 2011

IDéNum, une mauvaise idée ?

— quel jeu de mots vaseux

— certes mais le terme coolo franchouille l’appelait aussi quelque peu non ? Mais on peut préférer « Orchidée fixe » (RroseSélavy) par exemple, c’est vrai ..

Enfin bref, donc :

Au sujet de la présentation et proposition ci dessous :

Lancement du label IDéNum (copie locale)

Disponible sur :

http://www.telecom.gouv.fr/actualites/1-fevrier-2010-label-idenum-identite-numerique-multi-services-2311.html

Pour résumer en quelques mots :

  • Les « internautes » ont aujourd’hui besoin de multiples login/passwords pour se connecter à de multiples services, privés ou administratifs
  • De multiples usurpations d’identités, piratages d’ordinateurs, 33% même mot de passe pour plusieurs services, 55% mots de passe écrits quelque part
  • 27% des internautes n’utilisent pas l’administration électronique de peur de piratage des données personnelles
  • 56 000 sites de phishing à l’international (faux sites permettant, si un utilisateur s’y connecte, de récupérer un de ses login/passwrd usuels)
  • Pour améliorer tout ça il faut utiliser des « certificats » (sorte de mots de passe choisis par une machine (du service) puis enregistrés sur une machine ou carte de l’ « internaute » en vue de future connections), très bien
  • Principe proposé : la liste des certificats de l’internaute stockée sur clé USB, carte à puce, ou téléphone mobile !!
  • Or tout cela se casse, se perd, se change, se vole, se transfère, se fusionne, se sépare, se backup, se débackup, se rebackup, un peu comme si la liste des actions achetées sur un compte titre était écrite sur votre carte bleue et uniquement là !! Quel délire .. Et en plus pour des « certificats », que l’on utilise genre une fois par an pour déclarer ses impôts, en essayant de retrouver le dit certificat sur le PC ou Mac de l’an dernier ..
  • Image :

  • Solution idéale et « dématérialisée » ! Pourquoi pas « virtuelle » ? Curieux …

— Il est clair que cela ne fonctionnera pas (7eme bullet avant l’image), sans compter que beaucoup de gens ne comprennent pas ces histoires de « certificats ». Quoi « certificats » ? Certificat d’études ?
— Par contre les constats et le besoin sont clairement là.

— Ça ne peut fonctionner qu’avec une notion de tiers de confiance pour ces informations (écritures), c’est à dire quelque chose comme les « m accounts » et organisations associées, qui ne font que ça, et ont une interdiction stricte d’y regarder ou bien sûr d’en vendre le contenu.

D’autre part :

  • Vu que ça ne fonctionnera pas les listes de login/passwords se retrouveront chez facebook, Google, OpenID ou autre (déjà plus ou moins le cas si on le souhaite), si ce n’est l’utilisation directe d’un compte de ces organisations.
  • Les certificats très bien, mais plutôt appeler ça « comptes », « login-infos » ou autre (enfin à voir)
  • Le but ne doit être — en aucune manière — d’utiliser un même ID pour chaque utilisateur sur tous les services (ça n’est pas forcément ce que suggère la proposition, mais le nom le laisse plus ou moins entendre, et est compris comme cela, pareil pour OpenID d’ailleurs (où pour le coup c’est plus ou moins vraiment le cas, aussi pour facebook)), et voir « position statement IEEE » mentionné dans la page à propos.
  • Le numéro d’un compte « m account » n’a besoin d’être utilisé dans aucune transaction (exemples), par contre les infos de comptes de services et login/passwrd ou certificats associés sont écrites sur le compte (le compte est la clé USB ou téléphone dans le cas de la proposition)

En d’autres termes sans doute des choses valides dans cette proposition (et concepts/normes/code(logiciel) existants autour des certificats et accès aux sites associés), ainsi que vrais besoins et nécessité de solution.

Mais le fait de croire que les listes d’infos de comptes peuvent être écrites uniquement sur un quelconque appareil, constitue de toute évidence un défaut rédhibitoire à sa mise en place (et nom à revoir).

D’autre part la proposition n’adresse en rien le véritable point critique de la problématique, c’est à dire  la mise en place des tiers de confiance et comptes associés. C’est à dire la définition d’un nouveau rôle/licence de rôle, et non d’un label.

De manière générale, l’urgence est dans une séparation claire entre entités maintenant les données personnelles des utilisateurs, et entités fournissant les services associés à ces données, et cela ne nécessite en aucune manière la normalisation de tous ces services (ni l’interdiction que les entités fournissant les services aient aussi des données personnelles).

Sans oublier que ne pas avoir d’ID unique n’empêche en rien des actions légales envers les personnes si nécessaire, bien au contraire, exemple :

http://iiscn.wordpress.com/2011/06/17/un-exemple-dutilisation-des-m-accounts-reparer-lemail/

About these ads

19 commentaires »

  1. […] jQuery("#errors*").hide(); window.location= data.themeInternalUrl; } }); } iiscn.wordpress.com – Today, 11:58 […]

    Ping par IDéNum, une mauvaise idée ? | Gestion de contenus, GED, workflows et ECM | Scoop.it — 1 janvier 2012 @ 5:58 | Répondre

  2. […] même que celui nécessaire pour la problématique « identité sur le net » :http://iiscn.wordpress.com/2011/06/29/idenum-une-mauvaise-idee/problématique où rappelons le, l’usage d’un identifiant unique par utilisateur entre […]

    Ping par MegaUpload fermé : les alternatives - Actu High Tech — 22 janvier 2012 @ 2:24 | Répondre

  3. Et aucune loi simplement « défensive » sur l’existant ne suffira, dans le contexte actuel de « bataille rangée autour de l’identité sur le net »(utilisation compte facebook, twitter, g+, etc pour se loguer sur quasi tous les sites/services), il est essentiel de définir nouveau rôle, organisations associées, cadre légal.

    Commentaire par yt75 — 29 janvier 2012 @ 6:06 | Répondre

  4. Message « censuré » aujourd’hui sur écrans.fr à ce sujet :

    http://www.ecrans.fr/forums/viewtopic.php?id=12163&p=2

    Enfin censure ici un bien grand mot, toute organisation de type media ayant bien évidemment tout à fait le droit de définir sa « ligne éditoriale » et règles de modération.

    Just for the record …

    Liens ci dessus, slate Titiou Lecoq :

    http://www.slate.fr/story/48099/facebook-tu-me-fais-peur

    Histoire Salman Rushdie :

    http://www.glazman.org/weblog/dotclear/index.php?post/2011/11/14/Facebook-Morons

    Commentaire par yt75 — 30 janvier 2012 @ 9:19 | Répondre

  5. Just for the record aussi, alors :

    Mail envoyé par Camille G., le 23 janvier 2012 : « Hello yt75,

    Comme on te l’a déjà signalé hier, les innombrables liens vers ton blog deviennent légèrement envahissants sur les forums d’Ecrans. Je crois que tout le monde a bien compris que tu as écrit un tas de billets sur le sujet, et si les autres internautes s’y intéressent, ils peuvent déjà cliquer sur le lien « site web » dans ton profil.

    A la limite, mets l’adresse de ton blog dans ta signature automatique une fois pour toutes, mais par pitié, arrête de poster trois liens par message. Ça devient du spam… »

    Réponse envoyée par yt75, le 23 janvier 2012 : « Hello Camille,

    Ok pas de problème, mais mon blog (…)

    Mais ok et bonne semaine à vous aussi ! »

    Tu as dit « ok », tu ne t’étonneras donc pas qu’on commence à s’énerver quand tu recommences 3 jours plus tard. Ce n’est pas une question de ligne éditoriale, c’est juste que t’es lourd et que tu te paies notre tête. Et désormais, règle tes comptes en privé – tu as mon mail – et pas sur ton blog.

    Commentaire par Camille G. — 30 janvier 2012 @ 9:45 | Répondre

  6. Déjà expliqué que mon blog n’était pas un blog, mais je comprends que pour les journalistes cela ne soit pas forcément très compréhensible.
    Mais pas bien grave tout cela.

    Commentaire par yt75 — 30 janvier 2012 @ 9:57 | Répondre

  7. Ah et je viens de lire que ton style incompréhensible serai volontaire ? http://www.developpez.net/forums/d1097305/general-developpement/langages-general/besoins-linformatique-identifiants-donnees-personnelles/

    « Sinon sur les phrases, je ne pense pas qu’elles ne veuillent rien dire, même si je conçois qu’elles puissent être énervantes, ce qui est par ailleurs en partie voulu (et fait partie du propos, ou ne pouvant faire autrement).  »

    Je vais essayer d’être clair. Le fond (le contenu) n’est pas énervant, c’est la forme qui l’est. Tes articles c’est comme si pour rentrer dans un magasin il fallait trouver la combinaison à 6 chiffres d’un cadenas sans aucun indice.

    Bonne chance hein. Et si ton machin atterri chez moi, je t’avertis tout de suite, si je l’efface ce ne sera pas pour censurer mais pour nettoyer.

    Commentaire par Enuf — 30 septembre 2012 @ 1:58 | Répondre

  8. Je suis désolé, mais qui a t-il de rassurant à stocker son certificat dans une entreprise (comme si j’allais mettre toutes mes clés à un endroit parce que je n’ai pas confiance de les laisser, il suffit que chacun gère son coffre fort à clés !), je préfère conservé mes identifiants. On nage en plein délire là ! c’est pour mieux nous espionner plutôt !

    Commentaire par Internaute93 — 13 mai 2013 @ 12:53 | Répondre

    • Différence entre un état de droit et le fait que ça finisse chez fb ou gg.
      (article sur société d’assurance US obligeant à avoir un compte fb à retrouver)
      Et puis votre argent il n’est pas sur votre carte bleu non plus, par exemple

      Commentaire par yt75 — 13 mai 2013 @ 1:35 | Répondre

  9. Le dossier est repris actuellement par Fleur Pellerin et toujours semble-t-il, avec le principe idiot d’identifiant unique :

    « Identifiant numérique unique Idenum : NKM en a rêvé, Fleur Pellerin l’a fait

    Par Aurélie Barbaux – Publié le mercredi 10 avril 2013

    La société Idenum vient d’être créée par les groupes La Poste, SFR, Solocal Group et la Caisse des Dépôts. Elle dispose de 2 millions d’euros pour développer un label pour les identifiants numériques. »

    http://www.usine-digitale.fr/article/identifiant-numerique-unique-idenum-nkm-en-a-reve-fleur-pellerin-l-a-fait.N194954

    http://veoflux.fr/index.php/blog/item/110-identifiant-numerique-unique-idenum/110-identifiant-numerique-unique-idenum

    Commentaire par yt75 — 11 juin 2013 @ 7:01 | Répondre

  10. « La France est également tenaillée entre deux exigences : favoriser la formidable croissance promise par l’exploitation des données personnelles par les entreprises, tout en garantissant leur protection. « Il ne faut pas entraver l’économie, mais protéger les droits personnels » résume le député des Charles-Ange Ginesy (UMP).

    Fleur Pellerin, pour sa part, ne semble pas savoir comment résoudre le dilemme : « les entreprises européennes ne doivent pas être désavantagées par rapport aux autres sous prétexte qu’elles respectent la loi, mais les données des citoyens ne doivent pas être transférées n’importe où », explique-t-elle. »

    http://abonnes.lemonde.fr/technologies/article/2013/06/11/les-deputes-esquissent-difficilement-des-pistes-pour-proteger-les-donnees-personnelles_3428355_651865.html

    Croissance du fait de l’exploitation des données personnelles ? Quels sont les arguments de cette idée reçue ? Le contraire plutôt très probablement.

    Commentaire par yt75 — 12 juin 2013 @ 6:57 | Répondre

  11. bonjour, j’ai une question personnelle, j’espère que je peux la poser ici sans perturber le blog : you tube m’annonce un nouvel abonné… qui n’a pas de chaine :
    Un nouvel utilisateur s’est abonné à votre chaîne YouTube !
    Il ne dispose pas encore de chaîne YouTube, mais il recevra tout de même des notifications lorsque vous mettez en ligne de nouvelles vidéos, lorsque vous créez des playlists, lorsque vous cliquez sur « J’aime », etc.

    Commentaire par nini — 16 juin 2013 @ 8:54 | Répondre

    • Oui quelle est la question exactement ? ;)
      On peut effectivement avoir un compte youtube et donc s’abonner à une chaîne sans avoir une chaîne soi-même.

      Sinon une chose est sure, il est de plus en plus difficile d’avoir un compte youtube avec un pseudo différent de g+, arrivant vite sur des choses comme :

      (où l’on apprend aussi que s’envoyer des mails ou regarder des videos ne ferait pas partie de la « vie réelle », donc … Et aussi que dans la vie réelle, toute interaction nécessite de décliner son identité, sans doute, le viol de ce pauvre adjectif virtuel depuis les nineties a vraiment fait des ravages ..)

      Commentaire par yt75 — 17 juin 2013 @ 7:13 | Répondre

      • Bonjour,

        si on crée un compte Utube, une chaine se crée automatiquement d’après les tutoriels. si on a un compte Google mais rien sur Utube, comment peut-on s’abonner à une chaine ?

        merci beaucoup d’avoir pris le temps de me répondre, j’apprécie vos commentaires sur lemonde.fr. cordialement, nini

        Commentaire par nidiff@free.fr — 18 juin 2013 @ 6:52

      • Bonjour, merci à vous. A propos des comptes youtube, il me semble que pour les anciens une chaîne n’était pas créée par défaut, et peut-être si elle est vide le message dit « il n’y en a pas ». crdlmt, yves

        Commentaire par yt75 — 19 juin 2013 @ 7:25

  12. Bonjour,
    Il me semble qu’on n’a guère parlé d’un aspect essentiel. Si les identifiants et les clés ne doivent pas tomber dans les mains de personnes malhonnêtes, elles ne doivent pas non plus tomber dans les mains de ceux qui nous espionnent, nous écoutent, lisent nos mails et nous fichent : NSA, GCHQ, et autres services français qui siphonnent internet sans mandat judiciaire au mépris du respect de la vie privée. Ils seraient trop contents qu’on leur donne les clés et c’est la raison pour laquelle mettres ses identifiants dans un « coffre fort » du gouvernement est une inepsie. De même que prendre une clé SSL dans cette société israëlienne – amis des US s’il en est – qui offre des clés SSL gratuites. Ca fait carrément penser à un honeypot. Ils peuvent se les garder. D’ailleurs, il me semble que plus d’une société de certification est américaine, donc encore une fois tout aterrit à la NSA. Si on veut retrouver de la vie privée après l’affaire Snowden, avoir des clés qui ne soient pas que du bluff, on a du travail devant nous.

    Commentaire par DontSpyOnMe — 21 avril 2014 @ 9:57 | Répondre

  13. thank you

    Commentaire par خرید vpn — 17 décembre 2014 @ 10:50 | Répondre


Flux RSS des commentaires de cet article. TrackBack URI

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s

Thème Rubric. Propulsé par WordPress.com.

Suivre

Recevez les nouvelles publications par mail.

Rejoignez 166 autres abonnés

%d blogueurs aiment cette page :