[gull] Migros a pensé à Linux

Yves Martin ymartin59 at free.fr
Sun Aug 31 12:16:14 CEST 2008 

On Sat, 2008-08-30 at 10:32 +0200, Laurent Franceschetti wrote:

> Ne serait-ce pas plus simple si on se mettait d'accord sur un standard
> ouvert d'authentification, en tout cas au niveau suisse, qui pourrait
> s'appliquer à des banques mais aussi à des magasins en ligne, etc? 

 Bonjour,

Je discutais justement du sujet avec un collègue qui me faisait
remarquer que d'après lui, la "calculette" qui exécute le protocole
d'authentification défi/réponse présent sur la puce d'une carte bancaire
après saisie du code PIN est assez standard et peu coûteuse (pas très
écologique cependant)

Il me semble que la solution de Migros ne fait que "dépoussiérer" le
concept avec un lecteur USB et du logiciel spécifique.
Comparer à la "calculette", la clef USB est plus pratique par son format
mais l'introduction d'un logiciel spécifique pose d'autres problèmes.

Imaginer un virus capable d'intercepter sur l'OS une authentification
valable mais faisant croire au programme et à l'utilisateur qu'elle a
échoue ? Ce token d'authentification peut alors être détourné pour un
attaquant. Et l'utilisateur n'y voit que du feu et recommence de son
côté...

Au point à éclaircir: le contrôle de l'intégrité du logiciel puisqu'il
peut être "mise à jour" (modification par une personne ou un code
malveillant possibles donc)

De plus, le vol de la clef est un problème car elle contient la puce.
Avec une "calculette", la puce est celle de votre carte bancaire - que
l'on est plus habitué à "sécuriser" qu'une clef USB.

D'un autre côté, une carte papier de style "liste à biffer" (ou autres
variantes plus complexes) est bien connue ainsi que ses limites/risques.
La variante récente qui consiste à envoyer un code à usage unique par
SMS est intéressante mais l'interception de la communication est
possible, certes avec du matériel spécifique.

L'idée d'une authentification standardisée se heurte toujours aux mêmes
problèmes, essentiellement liés à l'utilisateur:
- mot de passe, NIP (ou passphrase pour protéger une clef privée): trop
simple, attaque par force brute, bêtement notée sur un bout de papier
- complexité du processus, formation

En plus ce problème ne concerne pas que le bancaire mais aussi le
commerce et l'administration: services en ligne, impôts.

Et pourquoi ne pas utiliser un lecteur de passeport biométrique ?

--
Yves Martin

More information about the gull mailing list