Shigaepouyen, le blog

Mono maniaque à temps partiel

Présentez Vos Papiers d’Identité (virtuelle) !

par · 21/04/2010

Etes-vous la personne que vous prétendez être sur Internet ?

(c) Steve Sack

L’identité dans le monde réel

Pour vous identifier en France, vous devez obtenir une carte d’identité (la plupart des pays n’en ont pas et utilisent simplement le permis de conduire ou le passeport). A cet effet, vous devez vous présenter à votre mairie, notamment avec votre livret de famille et l’officier d’etat civil prendra vos empreintes digitales.

Trois conditions sont donc necessaires :

  • Présence physique
  • Document officiel (le livret de famille)
  • Un élément d’identification pérenne (les empreintes digitales sont plus fiables que la photo)

Pas de carte d’identité virtuelle

Mais il n’y a pas de carte d’identité dans le monde virtuel : coté serveurs, les « organismes de confiance » peuvent délivrer des certificats pour les sites securisés ; mais les individus peuvent aujourd’hui surfer sans être identifiés.

C’est évidemment le cauchemar des agences de lutte anti-terrorisme, et on a vu plusieurs lois passer dans les 10 dernières années afin d’obliger les fournisseurs d’accès à conserver des traces des navigations de tous leurs clients.

Mais Internet est planétaire : les lois ne traversent pas les frontières, et concrètement n’importe qui peut aller dans un cyber-café et se connecter sur Internet en empruntant une autre identité.
Alors la question se pose : comment identifier les internautes ?

Identity Theft For Dummies

CC Chapman (c) Flickr


L’identité virtuelle se résume souvent à une adresse électronique

Pour la plupart des sites, l’identification des visiteurs n’est pas un problème, et les sites web se reposent sur l’adresse email pour identifier les visiteurs si une inscription est requise.

En effet, les adresses emails sont uniques : il n’est pas possible d’en avoir 2 identiques.

Les forums et autres sites envoient donc simplement un message à l’adresse indiquée pour vérifier qu’elle correspond bien à la personne qui s’est inscrite.

Plusieurs identités virtuelles pour une seule identité réelle

En tout état de cause, il est tout à fait possible d’avoir plusieurs pseudo sur plusieurs forums basés sur le même email ; et vos identités virtuelles peuvent se démultiplier si vous avez plusieurs adresses emails à votre disposition !

Mais la plupart des sites partent du principe (généralement correct) qu’un utilisateur n’utilise qu’une seule adresse email, et dans tous les cas ne s’inscrira qu’une seule fois.

Et vous pouvez donc créer plusieurs profils Facebook (un pour le boulot, un pour les copains), ou utiliser un pseudo pour dire des conneries et un pseudo pour contribuer sur les sujets sérieux !

Les dérives

Bien que l’adresse email soit stockée, et qu’elle permette normalement de remonter jusqu’à l’utilisateur, elle n’est cependant pas une preuve d’identité, et des dérives ont été observées.

C’est ainsi que des profils Facebook bidons ont été crées sans l’accord des personnes réelles, et les profils n’étaient pas forcément flatteurs.

De manière plus dramatique, les pédophiles peuvent se faire passer pour des ados sur les sites de chat en utilisant une adresse email qui ne révèlera pas leur identité réelle.

Les organismes officiels

Mais parfois, une adresse email n’est pas une preuve suffisante d’identité, et à ce moment-là l’astuce est toujours la même : la poste !

Le problème s’est posé pour le ministère des finances au moment de mettre en place la télédéclaration des revenus par Internet. L’administration délivre à tous les déclarants qui le souhaitent un certificat électronique : en important ce fichier dans votre navigateur (Internet Explorer ou Firefox), le site web vous reconnaîtra automatiquement.

Mais comment être sûr que le certificat est donné à la bonne personne ? Simplement en vérifiant des informations personnelles qui figurent sur l’exemplaire papier de la déclaration d’impôts et sur l’avis d’imposition qui vous avait été envoyé par la poste l’année précédente.

Et c’est la raison pour laquelle les primo-déclarants (ceux qui déclarent leurs revenus pour la première fois) ne peuvent pas adhérer à la télédéclaration. Néanmoins, nouveauté pour cette année : les jeunes de plus de 20 ans qui dépendaient jusque-la du foyer de leurs parents recevront leurs identifiants par courrier.

La direction générale des impôts s’appuient donc sur le bon fonctionnement de La Poste pour identifier les individus.

Les banques font de même et vous enverrons généralement vos identifiants par courrier, sans que votre conseiller financier ait jamais connaissance de votre mot de passe. Et si vous le perdez, ils vous enverront un nouveau mot de passe généré automatiquement, car il n’est pas possible de retrouver le mot de passe original qui est crypté dans le sytème.

Les « profiteurs »

Certains sites profitent de la sécurité mise en place par les banques et les organismes officiels pour identifier les utilisateurs.

Par exemple, le site Couch Surfing permet aux utilisateurs de valider leur identité en donnant leur numéro de carte bleue ; le site fait alors une transaction pour un montant faible (entre 0 et 2 euros) mais sans l’indiquer à l’utilisateur du site web. Celui-ci doit alors consulter son relevé de compte et prouvé ainsi son identite en indiquant le montant mystère.

Dans ce cas-ci, le site web s’appuie donc sur la sécurité mise en place par les banques pour identifier ses clients, et l’utiliser a son profit. C’est à dire que Couch Surfing sait qu’il n’est pas possible d’obtenir une carte de crédit sans fournir des preuves d’identités, et peut donc être relativement confiant que le nom figurant sur la carte de paiement est le nom réel de l’utilisateur (ce qui est beaucoup plus économique que de recréer un système sécurisé d’authentification !)

Donc aujourd’hui, les sites Internet peuvent vérifier votre identité de manière indirecte, mais sont INCAPABLES de vous identifier formellement à partir de votre simple présence en ligne : ils sont obligés de faire appel à la sécurité du monde réel.

Le danger du vol d’identité

Inversement, ça signifie aussi que votre identité numérique est précieuse, et qu’il faut faire attention à certains documents.

Sans aller jusqu’à la destruction de tous vos documents, il est certainement nécessaire de faire très attention à certains courriers officiels afin qu’ils ne soient pas utilisés à votre insu.

D’autant que très souvent, les relevés de compte ou autres documents (assurance maladie, mutuelle, etc.) indiquent vos identifiants, ou contiennent suffisamment d’information pour permettre à quelqu’un de se faire passer pour vous…

Mais surtout, le plus délicat, c’est de protéger vos identifiants !

Peu importe toute la sécurité mise dans les identifiants, si quelqu’un vous les vole alors cette personne pourra se connecter en votre nom. En la matière, ne sous-estimez pas l’ingéniosité des enfants…

(c) Mile Keefe

En conclusion, voici 3 conseils de base pour éviter le vol d’identité sur votre ordinateur :

  • Quittez votre navigateur en supprimant les cookies après chaque utilisation
  • Ne laissez pas trainer vos mots de passe et verrouillez votre ordinateur quand vous quittez la pièce
  • Importez votre certificat électronique à chaque fois que vous en avez besoin, et supprimez-le une fois que vous avez terminé

X

Billets liés :

Comment détruire votre identité virtuelle Donor Tools : suivez vos e-donateurs Instructables.com en maintenance : wait a minute Après le "speed recruting" : le "clic recruting" iPhone Your Life, et vos amis

Étiquettes :

Roland

Actuellement IT Services Manager (France) au sein de la société Wolseley. Diplômé du Master MIAGE en 2006 à Lyon. Année d'échange à l'Université de Toronto en 2004-2005. Organisateur des Journées Nationales MIAGE en 2004 à Lyon. Président de l'Association des Miagistes Lyonnais en 2003. Vice-Président Etudiant de l'Université Lyon 1 entre 2000 et 2002.

Vous aimerez aussi...

%d blogueurs aiment cette page :