RE: [gull] Migros a pensé à Linux

[Laurent Franceschetti]

Je reste un peu sceptique sur deux points:

A) Pour la sécurité, la "Paper Technology" (les cartes avec des codes
supplémentaires) est peut-être moins sûre, mais tellement plus commode parce
que la personne peut se balader avec. Avec ces systèmes, on doit avoir un
appareil avec soi et donc si c'est resté dans le tiroir quand on part en
vacances (ou cassé, etc.), c'est fini! 

Au fond, je trouverais bien plus commode une bon vieux système logiciel clé
publique/clé privée comme pour ssh, où on peut placer la clé sur plusieurs
ordinateurs ou sur un support USB quelconque acheté au supermarché, avec un
backup dans un coin etc. Mais je reconnais que l'avantage peut être
l'inconvénient. La raison pour laquelle on nous fournit une clé matérielle,
est justement que la clé secrète se trouve dans l'appareil et qu'elle est
(théoriquement) induplicable. Alors que notre clé secrète protégée par mot
de passe peut tomber entre les mains d'un individu malveillant et être
copiée puis attaquée par force brute; mais là c'est à la responsabilité de
l'utilisateur de se doter d'une clé difficile à casser.  Mais quand même, la
clé logicielle est infiniment plus sûre que la petite carte.

En fait l'avantage de ces clés matérielles en termes de sécurité me semble
diminuer beaucoup face aux risques opérationnels (dysfonctionnements,
pannes, pertes) qu'elles introduisent lorsqu'on les utilise à grande
échelle.

Alors, une banque peut-elle techniquement laisser le choix à ses
utilisateurs, entre une clé logicielle et une clé matérielle? (l'utilisateur
lambda préférant la seconde).

B) Second argument, c'est que chaque système d'e-banking a son propre
système propriétaire. Comme il n'est pas rare d'avoir plusieurs
fournisseurs, va-t-on se retrouver avec une masse de clés et autres
"machins" tous incompatibles entre eux et dont on ne connaît pas le
fonctionnement interne? Le risque à ce stade est qu'on se trouve capturés
par nos fournisseurs, à cause des choix de sécurité incompatibles qu'ils
nous imposent. Par exemple, selon le mode d'emploi, on doit fermer Firefox
quand on utilise le système cité.

Ne serait-ce pas plus simple si on se mettait d'accord sur un standard
ouvert d'authentification, en tout cas au niveau suisse, qui pourrait
s'appliquer à des banques mais aussi à des magasins en ligne, etc? 

Bonne journée,
L.







> -----Message d'origine-----
> De : gull-bounces at forum.linux-gull.ch 
> [mailto:gull-bounces at forum.linux-gull.ch] De la part de magnus
> Envoyé : samedi, 30. août 2008 09:44
> À : GULL (Liste technique)
> Objet : Re: [gull] Migros a pensé à Linux
> 
> Laurent Franceschetti wrote:
> > Le nouveau système de sécurité d'accès au home banking de Migros a 
> > aussi été conçu pour Ubuntu et Suse.
> > 
> http://www.migrosbank.ch/fr/MBancNet/MIDentity/Systemanforderungen.htm
> >  
> > Je n'ai pas encore testé le système (je suis un peu 
> sceptique), mais 
> > en tout cas bravo pour avoir pensé aux utilisateurs de Linux.
> 
> sceptique pour quelle raison?
> 
>