RE: [gull] Migros a pensé àLinux

Laurent Franceschetti laurent at franceschetti.net
Sun Aug 31 15:27:10 CEST 2008


 

> Yves Martin a écrit:

> Il me semble que la solution de Migros ne fait que 
> "dépoussiérer" le concept avec un lecteur USB et du logiciel 
> spécifique.
> Comparer à la "calculette", la clef USB est plus pratique par 
> son format mais l'introduction d'un logiciel spécifique pose 
> d'autres problèmes.

 

> Au point à éclaircir: le contrôle de l'intégrité du logiciel 
> puisqu'il peut être "mise à jour" (modification par une 
> personne ou un code malveillant possibles donc)

Je suppose que le programme (ou la clé) contient la clé publique du système
central, ce qui permet de vérifier les signatures de ce que le serveur
envoie. Normalement c'est comme ça que ça marche.

 
> ?De plus, le vol de la clef est un problème car elle contient la puce.
> Avec une "calculette", la puce est celle de votre carte 
> bancaire - que l'on est plus habitué à "sécuriser" qu'une clef USB.

Oui; et elle peut aller avec les autres cartes, dans un portefeuille. Pour
cette "clé" USB, il faudrait la mettre sur le porte-clé. Mais une clé USB
qui traine dans votre poche, outre le fait qu'elle doit être solide, doit
être suffisemment plate. Bref, avoir les mêmes dimensions et la même
solidité qu'une clé en métal.



> D'un autre côté, une carte papier de style "liste à biffer" 
> (ou autres variantes plus complexes) est bien connue ainsi 
> que ses limites/risques.

Une chose pour elle, est qu'elle est incomplète. Si elle est volée, il n'est
possible d'accéder au système, parce qu'il manque le mot de passe.


> La variante récente qui consiste à envoyer un code à usage 
> unique par SMS est intéressante mais l'interception de la 
> communication est possible, certes avec du matériel spécifique.

A ce stade, autant envoyer un NIP par la poste , comme ça fait dans des
systèmes bancaires?



> L'idée d'une authentification standardisée se heurte toujours 
> aux mêmes problèmes, essentiellement liés à l'utilisateur:
> - mot de passe, NIP (ou passphrase pour protéger une clef 
> privée): trop simple, attaque par force brute, bêtement notée 
> sur un bout de papier
> - complexité du processus, formation

Par exemple, je trouve la calculette de la Poste peu commode à utiliser.
Peut-être une question d'habitude.

 
> En plus ce problème ne concerne pas que le bancaire mais 
> aussi le commerce et l'administration: services en ligne, impôts.

> Et pourquoi ne pas utiliser un lecteur de passeport biométrique ?
> 

Peut-être est-ce un peu encombrant d'avoir le passeport sur soi? Pourquoi
pas une "clé" qui ressembre comme format à une clé en métal (à mettre donc
sur le porte-clé) et qu'on puisse utiliser partout où c'est nécessaire?
Mais alors, il faudrait peut-être qu'elle utilise un des formats USB mineurs
(genre Mini-B), comme celui des appareils photos. Etant plus petit, il est
peut-être mécaniquement plus rigide et donc résistant que son grand frère?




More information about the gull mailing list