/sites

@biggrizzly je suis contre, évidemment :-)

En creusant un peu plus le fonctionnement de France Connect, je suis tombé sur un rapport de la CNIL de mars 2023, justement sur le sujet de l’identité numérique - ou peut-être du symétrique, l’anonymat numérique : ►https://www.cnil.fr/sites/cnil/files/2023-03/CNIL_Dossier-thematique_Identite%20numerique.pdf , extraits ▻https://seenthis.net/messages/1016767#message1017512

Dans ce qu’ils décrivent du service France Connect pour certifier la majorité (seulement, pas l’identité complète), je comprends que le fournisseur d’identité réelle (la sécu, les impôts) ne connaît pas le site demandeur, donc lui au moins ne va pas tracer/associer individu-site_visité - mais le tiers FC, il peut, j’imagine. Je me disais qu’il faudrait p’tet voir direct avec FC ce qu’ils en disent.

Et pour info, France Connect a été écarté comme solution technique pour garantir l’age des utilisateurs de sites porno ; c’était Cedric O. le chef à l’époque, j’ai pas [encore] vu pourquoi ils ont viré FC des winneurs potentiels de ce marché juteux ; ça doit pas être leurs potes, la Macronie.

▻https://www.numerama.com/politique/630688-pornographie-le-gouvernement-ecarte-franceconnect-pour-verifier-lag

L’amendement est apparemment temporairement retiré.

LQDN va pouvoir crier victoire :-)

à l’instar de l’utilisation du fichier des immatriculations de voitures ou du fichier des empreintes

voilà qui est pleinement rassurant

#identité_numérique

@arno @fil @biggrizzly on peut les croire, aux PAN et à FranceConnect, qu’ils font ce qu’ils disent, question anonymat ?

Me semble que oui, au moins sur papier, mais vous aurez peut être un avis plus fondé ?

Il y a aussi la question du niveau de sécurité des serveurs du tiers de confiance FranceConnect ; vous savez qui opère le service, sur quelle infra et qui « garantit » raisonnablement qu’ils sont pas trop à risque de se faire hacker ?

Sincèrement, je n’en ai aucune idée et aucun moyen de vérifier. Aussi étonnant que celui puisse paraître, je n’utilise pas FranceConnect volontairement, et je ne vote pas sur la plateforme des PAN, justement parce qu’il faut un tel compte. Et parce que par défaut, je n’ai pas envie de croire que ces données de vote sont confidentielles. Enfin, les personnes au pouvoir me paraissent tellement retorses, menteuses et dangereuses que je limite ma coopération avec l’État et ses outils en ligne au strict nécessaire.

PAN, justement parce qu’il faut un tel compte.

@biggrizzly détour un peu hors sujet, mais j’ai l’impression que y a une confusion sur le « compte » et sans doute sur le « comment ça marche ».

Prenons mon exemple : je vote sur les PAN et je n’ai pas de « compte » FranceConnect. En revanche, j’ai un compte Améli (sécu) et un compte impots.gouv, comme 40 millions de Français (selon eux) ; comptes que j’utilise, quasi obligé, pour mes interactions avec la sécu ou les impôts.

En pratique, quand je vote, le site des PAN m’envoie me faire authentifier à la sécu (ou aux impôts), dans une fenêtre de login de la sécu (ou des impôts), et j’utilise alors mon compte sécu (ou impôts). Après, ça me dit que ça m’a reconnu - ça affiche mon nom prénom en gros - et ça précise que ça passe juste ma date de naissance au site des PAN, qui crée une « session » de vote - soit, un compte anonyme temporaire, chez eux, qui dure 30 minutes, cf leur FAQ.

A priori, FranceConnect repasse aux PAN les infos qu’ils demandent (j’ai >18 ans et je suis une personne physique λ) et puis voilà ; je vote, mais je n’ai pas de « compte » FranceConnect.

Un pote Allemand qui bosse en France a lui aussi voté, sans doute avec son compte des impôts.

Et sinon : j’ai vu hier qu’il y avait possibilité de consulter un log de ses connexion FranceConnect, ▻https://tableaudebord.franceconnect.gouv.fr ; ça stocke les infos <date de connexion> / <site cible> / <provider d’identité> pour les 6 derniers mois. J’ai pas lu les CGU ni les garanties RGPD, mais clairement FranceConnect garde ces associations au frais au moins 6 mois.

Pour mon cas, je vois que des connexions au site des PAN, avec provider sécu ou impôts et les dates auxquelles j’ai voté. De fait, je n’utilise pas FranceConnect pour autre chose, mais une copine m’a dit que à Bordeaux, le système de paiement des parcmètres utilise FranceConnect (avec un smartphone), alors j’imagine que elle verrait passer ses tickets de parking dans le tas.

Il y a l’analyse technique, et il y a les lois antiterroristes, et les fiches blanches, et les boites noires dans les datacenters. Du fait des lois ayant transcrit dans le droit commun toutes les dispositions de l’état d’urgence, le pouvoir en place dispose des outils pour faire ce qu’il veut où il veut tout en s’assurant que personne ne dispose de moyen de résister, de faire appel, et même de faire de la publicité. Les gens qui se font fracasser leur porte sans possibilité d’en obtenir réparation par l’état, alors même que c’était le voisin qui était concerné peuvent en témoigner : c’est l’arbitraire le plus complet. Il y a encore un vague vernis de prudence de la part des exécutants, mais la réalité est là, l’antiterrorisme peut tout, partout, tout le temps. Le judiciaire peut rétablir un petit peu de mesure dans l’affaire, mais à quel prix, et quel délai, c’est effrayant. On en rigole, on euphémise, on te dit que t’es parano, mais les faits sont têtus, ils existent, et la seule façon de ne pas péter un plomb est de te dire que tu n’as rien à cacher, rien à te reprocher, etc. Bref, oui, tu as raison, FranceConnect, c’est aussi de l’authentification tierce via Ameli, La Poste ou les Impôts. Il n’empêche qu’il n’est objectivement pas possible d’avoir l’assurance qu’en votant sur PAN, ils ne récupèrent pas ton identité, pour être enregistrée à Levallois dans un ordinateur de l’antiterrorisme pour 50 ans.

il n’est objectivement pas possible d’avoir l’assurance qu’en votant sur PAN, ils ne récupèrent pas ton identité, pour être enregistrée à Levallois dans un ordinateur de l’antiterrorisme pour 50 ans.

Arf, beau programme :-)

Je pense plus ou moins comme toi que en pratique, oui, l’antiterrorisme fait très certainement ce qu’il veut - et ce qu’« on » lui demande ; en particulier avec les logs des FAI, des opérateurs mobiles, des banques et probablement aussi des firewall des services de l’État ; tous les services ; je n’ai aucun doute là dessus, tracking total possible, voire probable. Mais tracking largement avant la couche application (ici des PAN + FranceConnect). Ce qui me fait dire que, de base, quoi qu’on fasse "en ligne", on est niké ou nikable. Et de fait, on est de plus en plus obligés d’être « en ligne », juste pour vivre environ normalement ; et vouloir éviter ça, c’est certainement vivre comme un terroriste traqué ; pas super confort.

Pour revenir à mon sujet, la question que je me pose, c’est celle de l’assurance qu’on peut raisonnablement avoir pour les PAN spécifiquement. Et mon point c’est que si l’argument contre l’utilisation de ce service particulier est en réalité réduit à celui de l’espionnage massif pratiqué par un état [pré ?] fasciste, ça vaut pas, paske à ce compte là, faut aussi arrêter d’aller chez le médecin, à l’hôpital, à la pharmacie, d’acheter des choses avec sa cb, d’utiliser son téléphone ou les internet, touça ; et surtout, arrêter seenthis, paske là, pour le coup, c’est sûr que les grandes oreilles nous espionnent et que c’est juste un honey-pot gratos pour attraper les ultra-gauchistes :-)

Bon, faut pas prendre tout ce que je dis au premier degré, je ne suis pas complètement parano. Mais n’empêche que pour PAN, je préfère l’absence de risque, je ne vote pas, parce que c’est un point central, pignon sur rue, facile à tracer. C’est en quelque sorte le fil de la pelote qu’on peut tirer pour aller voir plus loin. Le fil, c’est une identité vraie et riche, matérielle. Je ne veux pas lier de politique à mon identité vraie, étatique.
J’ai le même avis sur les autres plateformes de pétitions en ligne. Ponctuellement, je m’autorise à participer à une cagnotte en ligne parce que des gens en ont besoin. Mais non, pas pour des pétitions, dont les faits démontrent qu’elles sont classées verticalement.
Et SeenThis ? Pas certain qu’on nous suive régulièrement sincèrement. Et je ne crois pas que ce qu’on raconte mérite d’être archivé dans les sous-sols de Levallois. Nous sommes en fait tous plutôt assez prudents/peureux, me semble-t-il.

Ouais, et de toute manière, tant que tu vas pas manifester chez Lafarge à Bouc-Bel-Air, chez Cigéo à Bure ou chez FNSEA à Sainte-Soline, je pense que l’anti-terrorisme ne te regarde pas trop le fondement.

Perso, dans un élan chevaleresque, j’ai pris mon courage à deux mains et mon click de l’autre, et commis un acte politique irresponsable qui me vaudra certainement des ennuis avec Beauvau : j’ai voté pour la n°1590.

en vertu du principe de précaution, gardons nous tous aussi d’être en contact avec celleux qui manifestent.

Je reviens à ma question initiale : quelle confiance peut on raisonnablement avoir dans l’anonymat vendu par les PAN et la zélote @politipet

Pour préciser les points où l’anonymat des votes pourrait être compromis, comment et par qui, il faut sans doute poser calmement le fonctionnement du système. Sans ça, on reste dans un a priori semi-parano voire dans la superstition.

J’imagine qu’il faut évaluer le risque de fuite d’info personnelles, les points de faiblesse des composants du système, les moyens potentiels de reconstruction d’associations personne/vote. Et sans doute lister les points et articulations précis du système pour lesquels on est obligé de « faire confiance » et ceux qui sont « surs par construction ».

C’est un boulot pour experts en sécurité, ou bien ? Le système des PAN a p’tet été audité par des experts ? Par la CNIL ? Un rapport existe peut-être dans un coin ? Botzmeyer ?

j’ai poké @stephane Bortzmeyer sur Mastodon, et aussi des gens de Nothing2Hide

▻https://piaille.fr/@politipet/111075906948724088

Aucun n’a étudié la question FranceConnect + PAN

@biggrizzly je creuse :

pour PAN, je préfère l’absence de risque, je ne vote pas, parce que c’est un point central, pignon sur rue, facile à tracer. C’est en quelque sorte le fil de la pelote qu’on peut tirer pour aller voir plus loin. Le fil, c’est une identité vraie et riche, matérielle. Je ne veux pas lier de politique à mon identité vraie, étatique.

re : « le fil de la pelote » : pour moi et si je comprends bien comment fonctionne l’interface PAN/FranceConnect, justement il n’y a pas de « fil », FC le coupe : pas de lien avec ta vraie identité riche étatique matérielle sur les PAN, le vote est effectivement anonyme du point de vue technique, si on fait confiance à FC, les PAN n’ont tout simplement pas l’info de ton identité, FC leur donne seulement ta date de naissance et un hash/id unique [*].

J’essaye de voir comment on pourrait envisager quand même de créer ce fil.

Les PAN peuvent stocker ton adresse IP éventuellement (mais j’imagine qu’ils ne le font pas), ils stockent peut-être les heures des votes (mais ça c’est même pas sur) et clairement ils gardent ton id anonyme (fournie par FC) pour assurer l’unicité des votes. Donc en supposant que les PAN sont vérolées, « on » peut savoir que tel lambda (non identifié mais bien toujours le même) a voté pour ça et ça, et éventuellement le tracer s’il a toujours utilisé la même adresse IP.

Du côté de FC, ils stockent le fait que les PAN ont demandé une auth à telle heure, et fournissent une id anonyme (toujours la meme) aux PAN et ta date de naissance. Je sais pas comment ils font côté FC avec cette id anonyme [*], pas sûr qu’ils gardent la table de correspondance "reverse" ; à vue de nez il font un hash stable, à la volée, et ne stockent pas l’association - mais je peux me tromper. Peut-être même que c’est directement le provider d’identité (sécu ou impôts) qui génère cet id unique, en utilisant une fonction de hash "standard" commune aux providers.

En supposant que FC ne stocke pas cet id anonyme unique [*], voire ne le voit tout simplement pas passer, dans le cas ou c’est en réalité le site des PAN qui s’interface directement sur l’API FC du provider (sécu ou impôts), ça semble a priori pas simple de faire le chemin inverse et de remonter à ton vrai toi en utilisant l’id trouvée sur les PAN. C’est sans doute ça qu’il faudrait vérifier - auprès de FC j’imagine.

Et sinon, oui, de base, si on a la fonction de hash utilisée pour générer l’id anonyme unique (et s’ils font comme ça), alors une méthode simple pour construire la table de correspondance inverse id => vrai toi, c’est de prendre le RNPP (ou le fichier de la sécu ou celui des impôts) et tu calcules les id uniques pour tous les citoyens déjà fichés dans ces bases :-)

[*] il faut donc creuser un peu plus le détail de comment est géré / généré cet id anonyme unique stable ; comment, et par qui. Pour le stockage, il est clairement stocké au moins dans la base de donnée des PAN, qui s’en sert pour garantir l’unicité des signatures.

Après, re-créer le fil en utilisant directement les log de connexion sur la plateforme des PAN et tenter de des-anonymiser les votes en utilisant les adresses IP, peut-être croiser les dates de connexion ; ça serait jouable pour des espions. Et symétriquement, s’ils ont les moyens, tracer l’activité de connexion de tous les clients aux PAN en surveillant le traffic réseau, et croiser avec l’observation externe des changements des compteurs des PAN ; a priori, politipet.fr fait un scan externe systématique de toutes les petitions en cours, toutes les heures, et stocke les variations des compteurs, donc des espions peuvent parfaitement faire ça eux aussi et constituer une base de surveillance pour éventuellement croiser les dates de vote avec les connexions des clients.

Ceci-dit, ces scenarios sont un peu genre "lourd" cf mes premières remarques ; si on a affaire à un état policier qui trace effectivement les citoyens avec ce genre de moyens, que ton vote sur les pauv’ petites PAN ou ta signature sur les plateformes de petitions classiques soit anonyme ou pas, c’est finalement pas le plus grave, paske potentiellement tout ce que tu dis ou fait est espionné aussi, et même fermer sa gueule est louche.

D’autres scenarios qui permettraient d’évaluer le « risque » de traçage ?

EDIT : ajout dans le commentaire précédent

[*] il faut donc creuser un peu plus le détail de comment est géré / généré cet id anonyme unique stable ; comment, et par qui. Pour le stockage, il est clairement stocké au moins dans la base de donnée des PAN, qui s’en sert pour garantir l’unicité des signatures.

Et j’imagine une base de données centrale (ou via services) qui stocke mon hash/id via mon login/password que ce soit pour la sécu ou les impôts c’est celle là qui doit être protégée
Ça veut dire que les différents services on le même hash/id donc les mêmes données pour le faire ou invoke un service avec des données suffisamment pour recevoir ce fameux hash/id

ah tiens, un dossier de la CNIL de mars 2023 sur l’identité numérique (vaste programme) ; ils donnent quelques détails techniques sur FranceConnect :

Dans le cadre du téléservice FranceConnect, les données d’état civil sont conservées par le fournisseur d’identité sans qu’il ne sache à quels services l’utilisateur se connecte. FranceConnect conserve les jetons d’accès aux services et les traces mais sous forme pseudonymisée, ce qui est davantage protecteur de la vie privée.

FranceConnect propose à des « fournisseurs de données » de mettre à disposition d’autres administrations, via son service, des attributs (par exemple : le statut étudiant ou le revenu fiscal de référence). Ce projet, dénommé « API FranceConnectées », permet de garantir l’exactitude des données car elles sont fournies par l’administration d’origine mais également le respect du principe de minimisation en permettant de garantir qu’un demandeur n’accède qu’aux seules données dont il a besoin et en évitant des copies de bases de données complètes.
[...]

En France, la Direction interministérielle du numérique (DINUM) a également proposé un service expérimental dénommé « Mon FranceConnect » permettant de générer, de manière décentralisée, des informations attachées à une identité FranceConnect. Ces développements, qui maintiennent une approche décentralisée sous le contrôle de l’utilisateur, semblent contribuer à la fourniture de services plus développés, tout en protégeant les données des individus des risques liés à la centralisation.

Il serait souhaitable que ce type d’initiatives se développe au niveau européen dans le cadre du portefeuille européen d’identité numérique (PEIN) (voir page 18).

►https://www.cnil.fr/sites/cnil/files/2023-03/CNIL_Dossier-thematique_Identite%20numerique.pdf

du coup, autre angle de question : kouid d’un scénario de re-identification depuis le site des PAN ?

1./ si le méchant a accès aux bases des fournisseurs d’identité (sécu, impôts) et qu’il a l’algo de génération du hash/token, et si ce hash/token est stable (unique, toujours le même a travers les différentes sessions) alors facile : suffit de calculer les hash de tous les individus réels qui sont dans les bases et matcher les hash stockés par le site des PAN

1.bis/ facile, sauf si les PAN ne stockent pas des hash/token stables - faudrait alors savoir comment ils font pour déterminer que tel individu anonyme a voté pour telle pétition

2./ si le méchant n’a pas accès aux bases des fournisseurs d’identité, mais seulement à la bd des PAN, peut-il re-identifier les votants ? p.ex. en croisant des logs de connexion, on en utilisant des méthodes heuristiques ou statistiques sur les associations hash/token - pétition - profil internaute ?

3./ autres methodes de re-identification ?

réponse (humoristique) à Roturier du mammouth qui posait la question de la confiance raisonnable dans le tiers des PAN :

▻https://piaille.fr/@politipet/111221560811367973

Pack de conformité – Véhicules connectés et données personnelles
CNIL – octobre 2017

https://www.cnil.fr/sites/default/files/thumbnails/file/file-18081.png

▻https://www.cnil.fr/sites/default/files/atoms/files/pack_de_conformite_vehicule_connecte.pdf

►https://www.cnil.fr/sites/default/files/atoms/files/deliberation_de_la_formation_restreinte_ndeg2016-053_du_1er_mars_2016_prononcan

Comment rendre responsable les opérateurs …

Les faits sont assez graves pour que la CNIL décide de les rendre publics. Le gendarme de la vie privée a révélé mardi que l’opérateur Numericable était directement responsable du harcèlement administratif et judiciaire subi par un abonné, qui a été « identifié 1 531 fois pour délit de contrefaçon, inculpé 7 fois », et qui a « fait l’objet de nombreuses perquisitions à son domicile et de plusieurs saisies de ses équipements informatiques ».

#surveillance #cnil #bug_dangereux #robot_de_dénonciation #persécution #police #hadopi_le_nez_dans_sa_m #mdr

1531 dénonciations en 4 mois …

C’est lorsque l’Hadopi a transmis le dossier de l’abonné ultra-multi-récidiviste à la justice que le parquet a constaté qu’il y avait visiblement un petit problème.