C'est quoi ce truc: identification du vote électonique à Lyon 2:
pour s'identifier et récupérer son mot de passe (personnel): 5 derniers caractères de l'IBAN sur lequel la rémunération est versée pour le personnel et les chercheurs
C'est bizarre non ?
=> More informations about this toot | More toots from michaelzemmour@mas.to
@michaelzemmour C’est très très bizarre et c’est le genre de cas où on vérifie très fort l’adresse d’expédition et les domaines des liens du message.
=> More informations about this toot | More toots from charles@akk.de-lacom.be
@michaelzemmour
@patpro ?
=> More informations about this toot | More toots from bmarne@fediscience.org
@michaelzemmour
Bof, pourquoi pas : à mon boulot, un vote électronique a été organisé, et le code de confirmation était constitué des centaines, dizaines et unités du salaire net à payer d'un mois donné dans l'année.
=> More informations about this toot | More toots from abies77@piaille.fr
@michaelzemmour
Pas bizarre, c'est pareil dans bcp de fonctions publiques pour les élections du personnel. C'est un moyen d'identification assez largement utilisé.
=> More informations about this toot | More toots from Framatophe@framapiaf.org
@michaelzemmour
C'est pas un "détournement de finalité" ça ?
Poke @aeris
=> More informations about this toot | More toots from Olivier7222@mastodon.top
@michaelzemmour c'est un processus classique : le prestataire de vote étant extérieur à l'établissement, l'authentification du votant ne se fait pas sur le système d'information de l'établissement. Pour assurer la validité du vote en ligne il faut être sûr que le compte du votant sur la plate-forme externe correspond bien à la personne physique connue de l'établissement.
Un secret est donc partagé entre l'établissement et le prestataire, ici la fin de l'iban.
=> More informations about this toot | More toots from patpro@mastodon.green
@michaelzemmour le votant prouve alors son identité en montrant qu'il a bien l'accès à la boîte email ET qu'il connaît le secret partagé.
C'est plus fiable que le département ou la date de naissance que certains établissements utilisent.
Ce n'est pas une dcp car l'iban n'est transmis au complet, seuls les derniers chiffres le sont.
=> More informations about this toot | More toots from patpro@mastodon.green
@patpro merci
=> More informations about this toot | More toots from michaelzemmour@mas.to
@patpro oui, mais c'est pas très secret un Iban ( enfin assez si on considère que le risque de fraude est faible )
=> More informations about this toot | More toots from michaelzemmour@mas.to
@michaelzemmour je suis d'accord, tout le jeu étant de choisir une donnée suffisamment secrète mais qui ne risque pas d'empêcher des gens de voter parce qu'elle est trop complexe à mobiliser.
Je vois 2 évolutions possibles pour simplifier le futur vote en ligne :
=> More informations about this toot | More toots from patpro@mastodon.green
@patpro @michaelzemmour
Chez nous pour l'instant à l'échelle de l'U c'est Legavote le prestataire, et il demande le département de naissance. Franchement pas bien secret.
En plus petits cercles on utilise Belenios en interne avec nos mails pro.
=> More informations about this toot | More toots from flomaraninchi@pouet.chapril.org
@flomaraninchi @michaelzemmour Le choix du secret partagé est celui de l'établissement, et en général c'est arbitré entre le service juridique (porteur du risque) et un auditeur.
Les solutions libres utilisables en interne existent (comme Belenios en effet), certaines sont bien foutues, mais la problématique n'est pas technique, elle est purement juridique (qui porte le risque, qui donne les garanties, etc.).
=> More informations about this toot | More toots from patpro@mastodon.green
@flomaraninchi @michaelzemmour (ie. c'est pour ça qu'en général on se retrouve sur une plateforme externe pour les votes à enjeu, alors que la sécu n'y est pas meilleure et que ça ouvre la porte à des gros couacs en termes de communication)
=> More informations about this toot | More toots from patpro@mastodon.green
@patpro @michaelzemmour
Quelques problèmes de comm, c'est le moins qu'on puisse dire, effectivement ! Le nombre de fois où les mails du prestataire externe filent en spam 🙂
(Cela dit, même dans un contexte d'informaticiens, utiliser belenios n'est pas complètement trivial. On a quelques cafouillis pas mal aussi...)
=> More informations about this toot | More toots from flomaraninchi@pouet.chapril.org
@patpro @flomaraninchi @michaelzemmour
... ou de garantie de la confidentialité et de la sincérité (les programmes utilisés par les prestataires n'étant souvent pas ouvert et le support d'exécution pas contrôlable par les votants ou les organisateurs du vote).
=> More informations about this toot | More toots from beaufils@mastodon.social
@michaelzemmour phishing ? Le service qui gère la paie gère peut être aussi les élections, mais j’ai un doute sur le fait que vous ayez donné un consentement libre et éclairé au fait qu’une partie de l’IBAN puisse être utilisé à des fins d’identification.
Il n’y a que ça pour identifier ? Ou c’est pour authentifier ?
=> More informations about this toot | More toots from lfourrier@tooter.social This content has been proxied by September (3851b).Proxy Information
text/gemini