Forum du Parti Pirate

http://www.logiciel.net/une-carte-a-puc ... -12222.htm

Le sénat veut combattre le vol d'identité en intégrant des puces sur la carte d'identité française.

En effet, mercredi, les membres du sénat ont voté à l'unanimité une loi visant à protéger les citoyens français en incorporant progressivement des puces à leur carte d'identité.

C'est une démarche extrêmement dangereuse, pour les raisons que le PP a abordées dans sa réponse de vendredi dernier à la consultation européenne sur l'identification, l'authentification et les signatures électroniques, dont le PDF (en anglais) est accessible ici : https://cap.partipirate.org/pubarch/2011-04-15-euro_cons_idnum/

Je me sens partagé..

D'un côté, si ça peut, à terme, simplifier les procédures d'authentification et garantir contre l'usurpation d'identité je suis pour à 100%.
De l'autre, il est nécessaire que tout système de contrôle des populations garde un certaine souplesse: la possibilité de faire des faux papiers a sauvé des vies et peut en sauver encore.

Je partage les réserves au sujet de ce topic :p

Dans le cadre de ce projet-là, ce serait intéressant si il était possible d'avoir 2 cartes séparées : la carte à puce intégrée à la carte d'identité d'un côté, et la carte à puce fournie par l'état et qui ferait office de "carte de signature" de l'autre : ça permettrait d'étendre l'utilisation du chiffrement asymétrique et d'y raccrocher nos propres signatures - le gouvernement faisant office de trusted third party.

Enfin, si on peut encore lui faire confiance, évidemment

Gordontesos a écrit :Je dois t'avouer que j'ai failli m'étrangler en lisant que tu considérais le gouvernement comme « trusted ». Pour moi, c'est absolument impensable.

C'était un peu fait pour

Ceci dit, il faut prendre le mot gouvernement dans ma contribution au sens "intemporel" de structure élue par les citoyens pour représenter ses intérêts (pas l'actuel, qui est probablement la cause de ton étranglement). Si on part du principe qu'on ne peut accorder sa confiance à aucun gouvernement, alors même un gouvernement composé en accord avec les idéaux du PP tomberait dans cette catégorie, pas vrai ?

Encore une fois, je comprends les réserves exprimées ici et là par rapport au fonctionnement d'un gouvernement et d'un état, mais il faut aussi parfois imaginer qu'une telle structure puisse bien faire son travail, et imaginer les systèmes qui pourraient le faire tourner. D'où cette discussion.

Quant à l'imposition d'un TTP je suis d'accord avec toi, mais le gouvernement n'est pas imposé aux citoyens, il est élu par les citoyens (enfin, dans l'idéal). Et de toutes façons c'est déjà le cas même avec les cartes d'identité actuelles : quand quelqu'un présente sa carte d'identité délivrée par l'Etat (je note au passage que personne ne m'a demandé si je voulais la faire réaliser par une autre entité ?), on part du principe qu'on a bien en face la personne dont la photo se trouve sur la carte.

Pas d'autres commentaire sur le chiffrement asymétrique généralisé au service des citoyens ? Une telle mesure de sécurité pourrait aussi permettre à tout un chacun de voter plus facilement, par exemple directement depuis son PC ou son bureau en signant ses messages au moyen de sa clef personnelle : ça porterait un gros coup au taux d'abstention.

Deslivres a écrit :
Gordontesos a écrit :Je dois t'avouer que j'ai failli m'étrangler en lisant que tu considérais le gouvernement comme « trusted ». Pour moi, c'est absolument impensable.

C'était un peu fait pour Ceci dit, il faut prendre le mot gouvernement dans ma contribution au sens "intemporel" de structure élue par les citoyens pour représenter ses intérêts (pas l'actuel, qui est probablement la cause de ton étranglement). Si on part du principe qu'on ne peut accorder sa confiance à aucun gouvernement, alors même un gouvernement composé en accord avec les idéaux du PP tomberait dans cette catégorie, pas vrai ?

Oui et il n'est pas question qu'on impose aux citoyens ce genre de mesure si on arrive au pouvoir, même si on sait qu'on peut se faire confiance, parce qu'on ne sait jamais qui pourrait prendre le pouvoir ensuite. Il ne faut pas se dire que par principe les gouvernements seront toujours un minimum respectueux et leur accorder du coup des pouvoirs disproportionnés.

Deslivres a écrit :Pas d'autres commentaire sur le chiffrement asymétrique généralisé au service des citoyens ? Une telle mesure de sécurité pourrait aussi permettre à tout un chacun de voter plus facilement, par exemple directement depuis son PC ou son bureau en signant ses messages au moyen de sa clef personnelle : ça porterait un gros coup au taux d'abstention.

Je ne pense pas que ça soit un bon argument de vouloir faire voter électroniquement les flemmards...

Et cela poserait de nombreux problèmes : lorsque tu votes dans l'isoloir, tu votes ce que tu veux, et n'importe quel citoyen peut contrôler les fraudes en restant dans le bureau de vote devant les urnes toute la journée : le vote est secret et tout le monde peut le vérifier.

Dans le cas du vote électronique, certains systèmes ne sont pas fiables, et pour d'autres ils reposent sur la confiance des citoyens envers un système qu'ils ne comprennent probablement pas. On ne peut pas dire à quelqu'un qu'il n'y a pas de fraude parce que "faites confiance à nos ingénieurs qui ont mis en place le système" ou parce que "faites confiance à nos informaticiens qui ont créé l'algorithme de gestion des votes".

Et plus grave, les systèmes fiables sont ceux où tu peux contrôler ton vote : avec les bulletins papier on ne peut pas savoir ce que tu votes, donc personne ne fait pression sur des citoyens parce que ça ne sert à rien. Avec le vote électronique, tu peux imaginer des cas où on viendrait menacer des citoyens, ou plus fourbe, leur promettre une récompense en échange de leur vote. Il n'y aura qu'à demander (ou forcer) à vérifier le vote des citoyens concernés pour savoir ce qu'ils auront voté.

Pour tout un tas de raisons, le vote électronique est une très mauvaise idée.

Gordontesos a écrit :Je dois t'avouer que j'ai failli m'étrangler en lisant que tu considérais le gouvernement comme « trusted ». Pour moi, c'est absolument impensable.

Et par ailleurs, c'est à l'utilisateur seul de choisir à qui il donne sa confiance. Imposer le gouvernement comme tiers de confiance, c'est tout sauf acceptable.

Oui, exact.

Mais on pourrait imaginer un projet d'identité numérique totalement ouvert et intéropérable, dont les spécifications seraient, en gros:
- Chaque citoyen peut se créer autant d'identités numériques qu'il le souhaite, donc cloisonner sa vie.
- L'état peut certifier les identités, mais il n'est qu'une autorité de confiance parmi d'autres. Autrement dit, on pourrait faire signer son identité civile (nom-prénom-numéro de sécu) par l'état afin de s'authentifier vis à vis de l'état pour, par exemple, payer ses impôts ou obtenir une allocation sociale, tout en faisant signer cette même identité, ou bien une autre, par ses amis pour s'authentifier vis à vis d'eux.

En fait, l'idée serait d'intégrer PGP (qui remplit déjà ces critères) à un système:
- agréé par l'état (ma clef PGP "officielle", une fois signée au commissariat avec preuves formelles de mon identité civile, est acceptée par l'état pour tout ce qui le concerne),
- noob-friendly, c'est à dire avec un support physique protégé par un code, révocable, pour madame Michu, sans empêcher les geeks de dématérialiser ça (donc d'assumer le risque de vol d'identité s'ils se font voler la clef USB où leur clef est stockée sans passphrase).

RBouhl a écrit :En fait, l'idée serait d'intégrer PGP (qui remplit déjà ces critères) à un système:
- agréé par l'état (ma clef PGP "officielle", une fois signée au commissariat avec preuves formelles de mon identité civile, est acceptée par l'état pour tout ce qui le concerne),
- noob-friendly, c'est à dire avec un support physique protégé par un code, révocable, pour madame Michu, sans empêcher les geeks de dématérialiser ça (donc d'assumer le risque de vol d'identité s'ils se font voler la clef USB où leur clef est stockée sans passphrase).

Le concept de PGP va encore plus loin : ceux qui ont ta clé publique certifiée par une autorité ne peuvent pas usurper ton identité, seul toi avec ta clé privée peut le faire. Donc c'est une très bonne idée.

On a développé ça au point 1 de notre réponse à la consultation envoyée à l'Europe d'ailleurs

.

Forum du Parti Pirate

Une carte à puce pour identifier les Français

Une carte à puce pour identifier les Français

Re: Une carte à puce pour identifier les Français

Re: Une carte à puce pour identifier les Français

Re: Une carte à puce pour identifier les Français

Re: Une carte à puce pour identifier les Français

Re: Une carte à puce pour identifier les Français

Re: Une carte à puce pour identifier les Français

Re: Une carte à puce pour identifier les Français