StarNack

Je me documente sur la votation en Suisse à propos de l'e-ID. A la base je suis plutôt favorable à une identité numérique pour agir dans le monde numérique. → Mais là... plus je creuse plus je vois l'ampleur du désastre qui nous est promis avec l'app de wallet swiyu. → Donc comme en 2021 ce sera NON à ce projet d'e-ID ! C'est vraiment si compliqué à faire ? non.. pas du tout... Je m'explique... Pour faire une métaphore, ce projet c'est le syndrome du "je réinvente la roue", une roue qui tourne pas rond, qui doit être changée tous les 50km, qui ne va pas sur toutes les routes et qui expose au vol du véhicule ! Mais c'est pas grave, vous serez pas obligé d'utiliser nos roues.. mais on aimerait bien quand même vu que pour la période 2023-2028 on a déjà un budget (en partie dépensé) de CHF 180 millions... Alors que depuis 1988 !!! oui oui.. le millénaire dernier ! Avant même l'invention du web !!! Il existe le certificat X.509 qui justement a été créé pour enregistrer des identités numériques et des signatures électroniques. Ce format a évolué avec son temps et il est toujours la base de la signature électronique. C'est ce format qui est utilisé pour assurer la sécurité des connexions web avec HTTPS et le petit cadenas de ton navigateur web ! → Mais le projet actuel préfère tout réinventer.. Si on généralisait la signature électronique, on pourrait certainement éradiquer le spam et le fishing dans les e-mails ! → Mais le projet actuel d'e-id ne permet pas de signer ses e-mails et des pdf.. Une signature électronique de type S/MIME demande juste d'ajouter une signature électronique dans son logiciel de mail. On le fait via un certificat X.509 qui est signé par une autorité en qui on a confiance ! Actuellement c'est un business des gens qui sont arrivés en premier sur le marché et qui s'autoproclament autorité de confiance. Je pense notamment à verisign. (et tous les navigateur web utilise les certificats racine de ces entreprises..) Pour la carte d'identité physique. C'est la confédération qui se place comme autorité de confiance. On pourrait faire pareil dans le monde numérique. Chaque certificat serait signé par la confédération. C'est la seule chose qu'elle aurait à faire. (certainement moins cher que les 180 millions prévu pour 2023-2028) On peut même imaginer un système décentralisé avec délégation comme on le fait avec des certificats qui ont toute une hiérarchie de certification. Seule le certificat racine est auto-signé. Donc chaque commune pourrait être responsable des données, signées par le canton, lui même signé par la confédération. Avec une décentralisation des données on évite les attaques sur des serveurs centralisés comme la solution de e-id actuelle le prévoit. Les attaques sont une réalité. Voir les attaques des sous traitants de la confédération Concevis et Xplain.. en 2023. A chaque fois des données ont fuité sur le darkWeb. En décentralisant, c'est comme pour le vote électronique, on dilue les risques d'attaque et de corruption. → Mais le projet actuel d'e-id ne permet rien de tout ça. L'idée c'est certainement de recycler le projet de 2021. C'est de créer un système qui ne peut s'utiliser que sur un smartphone moderne ! Là suis déjà foutu, mon iPhone 7 ne peut déjà plus installer l'app swiyu. On m'a rétorqué qu'il faut que j'évolue avec mon temps.. que c'est nécessaire pour un niveau de sécurité moderne. Mais non c'est totalement faux ! Un certificat x.509 ça date de 1988 !!! En théorie LA sécurité informatique repose uniquement sur la publication du code source du système pour pouvoir déceler les failles (et backdoor malveillante !) et sur le secret des clés privées. Le matériel n'est pas vraiment un critère. Alors évidemment via l'API WebCrypto on fait de nos jours du chiffrage AES256 dans un navigateur web sur mobile... .. et y a 20 ans.. pas de mobile.. et pas capable de ceci en javascript. Donc le progrès matériel nous offre de nouvelle possibilités. Ici c'est le contraire, le projet de e-id me refuse le droit d'utiliser un ordinateur de bureau plus rapide qu'un smartphone et me force à utiliser un smartphone récent sur android ou iOS. Alors même que la sécurité sur iOS n'est pas garantie. En effet le document technique de swiyu nous indique que les clés sont générées par les serveurs de chez Apple !!! J'ai justement mentionné ci-dessus que LA base de la sécurité informatique c'est le secret de la clé !! et la publication du code source ! On a aucun des deux sur iOS !!!!! Donc pas d'e-ID valable sur iPhone ! A propos du code source justement, il existe un 2 endroits dans la loi sur laquelle on vote qui mentionnent que le code doit être publié... bien !! ... mais ne doit pas l'être si il existe des "motifs importants de sécurité" →C'est quoi l'entourloupe là !!!! Qui décide de ce qui est important ? Le conseil fédéral ? Celui qui a choisi que nos datacenter doivent être sur au moins 3 continents dans le cahier des charges qui a discrédité toutes les entreprises suisse pour créer le "cloud suisse". Pour ensuite choisir des entreprises américains et chinoises pour héberger nos données suisses. Tout ça par ce que c'est moins cher !!! .. ça rappelle l'affaire cryptoAG.. et l'affaire de la backdoor dans Sun solaris vendu "gratuitement" aux banques et université suisse .. histoire que les USA espionnent le monde !! Bref, ce genre de propos et la perspective historique sur le sujet ne me donne aucune confiance dans ce projet d'e-id. On dirait juste que c'est une app de certificat covid re-packagé en app pour la protection des mineurs: pas de p*rno, pas de jeu en ligne... faut vérifier votre âge.. faut vous identifier pour aller sur Internet... Comme ça quand on en aura besoin on aura une base pour restreindre l'accès à Internet... (la technique du saucissonnage.. non on fera jamais ça... et quand la possibilité existe.. on le fait !) Car pour le moment la vérification de l'âge c'est l'usage principal annoncé ! Tout ça pour ça ? Les autres fonctions annoncées sont : (selon la p24 de la brochure) - commander un extrait de casier judiciaire - fonder un entreprise - m'inscrire dans le registre de don d'organe (donc le refuser vu que c'est par défaut je donne..) - ouvrir un compte bancaire - conclure un contrat de téléphonie mobile - utiliser un identifiant pour les services publics suisse (lesquels ?) →Bref que des trucs que tu fais tous les jours hein ?? Donc ça justifie que ça fonctionne exclusivement sur un smartphone, que tu puisses le faire depuis la rue ! En gros selon la liste ci-dessus ça m'aurait été utile 5 fois ces 25 dernières années !!!!!! De ce que j'attends d'une vraie identité numérique, c'est juste un certificat x.509 qui est signé par l'état.... et je peux moi même générer mes clés tout seul sans que personne ne le sache. Ainsi je peux utiliser ce certificat pour signer des pdf de l'administration, des banques, de toute personne qui voudrait. Je peux signer mes e-mails et refuser tout mail non signé.. ainsi j'éradique le spam et le fishing ! C'est simple, efficace. ça n'empêche pas de créer un wallet pour smartphone. (on le fait pour les cryptomonnaies) Ça permet de développer d'innombrable services fiables, sûr, basé sur des techniques éprouvées dans le monde depuis des décennies. Peut être de développer des startup suisses actives dans des services qu'on a pas encore imaginés, comme lors de l'invention du web qui par son ouverture a révolutionné le monde... Encore un point important, on connait la procédure pour révoquer un certificat x.509. Mais dans ce projet d'e-ID, c'est flou.. on ne sait pas encore. Et cette e-ID est forcément liée à un téléphone, donc si on se le fait voler.. c'est la m**** L'identité perdue/volée est encore valable ? Bref, tout ça c'est encore une fois, flou, pas efficace, usine à gaz... et tellement inutile en proportion des risques que ça fait courir à nos données et à une orientation policière de la société ! Refuser cette version n'implique pas qu'on perd du temps dans la mise en place d'une vraie identité numérique, bien au contraire. Là on perd du temps à réinventer la roue, une roue en pierre lourde qui tourne pas rond et pas sur toutes les routes... Alors qu'on a déjà de superbes roues "tubless" increvables légères qui roulent sur tout types de chemin et de façon écologique à la force des mollets nourris au chocolat suisse ! 🍫🇨🇭 Bref.. En l'état.. je vote NON, et je t'invite à partager cet article pour en débattre avec d'autres personnes.... https://t.co/tStE7ecDFt https://t.co/CpslM7zqVR https://t.co/Eox3AA4lV3