Marc SIRAMY a écrit : >Le jeudi 01 décembre 2005 à 12:54 +0100, JPB a écrit : > > >>Le Jeudi 1 Décembre 2005 11:45, Marc SIRAMY a écrit : >> >> >>>Le mercredi 30 novembre 2005 à 21:19 +0100, JPB a écrit : >>> >>> >>>>Le Mercredi 30 Novembre 2005 20:53, Jérôme Martin a écrit : >>>> >>>> >>>>>Pas la peine de remonter le pb, il y a eu une enquête de la part de la >>>>>commission européenne qui à montrer que 70% des sites d'administration >>>>>des 25 n'étaient pas dans la norme. La France s'était d'ailleurs engagé >>>>>pour qu'ils le soient d'ici à 3 ans. J'ai cru lire également que la >>>>>présidence anglaise voulait imposer quelques choses pour 2010. Je crois >>>>>que ma source est zdnet.fr (mais pas sur) >>>>> >>>>> >>>>Je pense que cela ne coûte rien d' identifier le/les problèmes et de >>>>donner l' info en retour; surtout si le site est pratiquement >>>>inutilisable hors windaube internet exploder. >>>> >>>>Il faut aussi reconnaître que les services public ont fait des progrès >>>>sur leurs sites; je pense notamment à la déclaration d' impôts; bien sur >>>>ils sont intéressés mais le résultat est là. >>>> >>>> >>>Comment ça pour les impôts le résultat est là ? Ca doit être parce que >>>je n'ai pas encore bien compris qu'il est nécessaire de lancer son >>>navigateur en root ou bien de donner à l'utilisateur standard les droits >>>de root pour déclarer ses impôts en ligne en toute sécurité sous Linux. >>> >>>Mais tu veux dire que ce site serait aux normes HTML du W3C ? >>> >>>-- >>>Marc >>> >>> >>Je n' ai jamais cherché à savoir si le site des impôts est conforme au W3C >>mais je l' utilise depuis le début sans problèmes (sauf la première année) et >>il faut reconnaître que ce n' est pas un site simple. >>C' est vrai aussi qu' il faut (fallait ?) avoir des droits root pour obtenir >>le certificat mais bon je me met à la place d' un utilisateur qui stocke son >>certificat sur une machine ne lui appartenant pas (par exemple au boulot); >>celui ci est exposé à celui qui à des droits en lecture chez lui, hum pas >>cool non plus; je ne sais pas quel serait mon choix entre la peste et le >>choléra ?. >> >>Mais c' est vrai que un peut d' explication serait utile. >> >>JPB >> >> > >En fait je n'ai jamais cherché non plus à savoir si le site des impôts, >que j'utilise au mieux une fois par an, était conforme aux normes du >W3C. >Pour ma part, je refuse de me logguer sur ce site en root, par principe >de sécurité et de part la volonté d'utiliser de manière correcte mon >système Unix ou Linux. > >Je me connecte régulièrement sur le site de ma banque. Il est sécurisé >via Https et une clé de cryptage. Et comme pour les sites de vente en >ligne, l'authenfication est réalisé via le login et le mot de passe. >Une fois le mot de passe bien choisi, je pense pouvoir me connecter sur >ce genre de site avec une relative sécurité (sous réserve d'avoir >contrôlé la validité de la clé de cryptage). > > Et qui valide cette clef justement? Pour information, une administration francaise ne peut pas confier cette validation à une société privée. Par ailleurs, les status interne de l'administration specifie que l'utilisateur doit etre identifié de facon unique sans que cette identification ne puisse être réutilisable par quelqu'un d'autre y compris quelqu'un au sein de l'administration. Donc je crois que le choix a été fait de faire en sorte que la clef soit à la fois independante du serveur mais aussi de l'utilisteur lui meme, c'est à dire qu'en dehors de son identifiant etd e son mot de passe, il n'a pas accès à la clef proprement dite, afin que celle ci ne puisse etre deplacée copiée, etc...
le probleme, c'est que ce principe a été mis en place par rapport à un parc d'utilisateur sous windows, à l'epoque du projet, les postes sous linux n'ont pas ete considérés car ils etaient bien trop marginaux. Ce qui etait vrai à l'epoque, et l'est encore pas mal aujourd'hui. >Pour ce qui est des certificats, beaucoup de navigageurs proposent de >stocker des certificats, enregistrés pour la durée de la session au >minimum. Ces certificats pourraient sans doute être utilisés. > > Non car ces certificats ne sont pas uine garantie de securité. C'est le probleme de la notion du tiers de confiance. >Vu comme fonctionne actuellement le site des impôts, je crois que le >minimum syndical pour éviter de trop revoir la conception du site serait >que ce site propose le téléchargement d'un installateur de certficat, à >installer en root. > > et comment valides tu alors cette installation? Le système considère qu'il ne doit faire confiance à personne, y compris l'utilisateur. Surtout si l'on considère que la mentalité des utilisateurs. Par definition, il est considéré que si les utilisateur avait la possibilité de fraudert comme de ne pas le faire à chance egale, la majorité choisirait de frauder. >Après tout, pour utiliser des logiciels au boulot, tu demandes bien à >ton administrateur de les installer en root ? Pour moi là c'est la même >chose. > > Ben non, là ce n'est pas la meme chose justement. >Mais il me semble que la question est : à quoi sert ce certificat ? >A authentifier de manière unique l'utilisateur ? >Dans ce cas, pourquoi cela ne serait pas fait côté serveur ? > > Ca augmenterait de beaucoup la charge en ressources du serveur je crois. Mais aussi il y a une raison aussi quand à l'integrité d ela chaine par rapport à des reglement liés aux impots et à l'administration, mais aussi par rapport à la CNIL et des lois informatiques. Par exemple, l'administration fiscale n'a pas le droit de stocker des informations liées à la CNI du fait de ces reglements et lois. En fait, le problème a été d'alier la securité technique avec la securité legislative. laurent
____________________________________________________ Want to buy your Pack or Services from Mandriva? Go to http://store.mandriva.com Join the Club : http://www.mandrivaclub.com ____________________________________________________
