Home > Divers > Impots

Impots

April 16th, 2009 Leave a comment Go to comments

Ceux qui ont déjà payé leurs impôts en ligne le savent, le processus d’obtention du certificat qui sert à s’authentifier est un peu laborieux. Il faut un navigateur compatible, une machine virtuelle Java, …
Je n’ai jamais compris l’utilité de ce certificat. Il en effet produit à partir de données disponibles sur la feuille d’imposition. Dès lors pourquoi ne pas utiliser ces informations pour s’authentifier à chaque visite sur le site ?
Une question à laquelle je n’ai pas de réponse, même si une je me laisse à penser que le certificat sert également à signer les informations de la déclaration qui sont transmises. Mais je ne vois pas, là aussi, l’intérêt puisque l’on soumet les informations par le site, dans une session qui permet déjà d’authentifier le télédéclarant.
J’en vois déjà certain se dire que ça permet d’être sur que les données transmises n’ont pas été modifiés en chemin de route par une personne malveillante. Dans ce cas le certificat telechargé quelques temps avant a aussi pu etre compromis (ainsi que les informations permettant de le générer).
Et même s’il a été généré il y a plusieurs années, il y a un bon risque qu’il ait pu être récupéré par n’importe qui sur le PC (sous Windows plus ou moins patché) de Mme Michu qui a mis le nom de son chien comme passphrase du certificat.
Bref je ne comprends pas l’intérêt, cela dit je ne suis pas expert en sécurité et j’ai peut être raté quelque chose..

Le fait est qu’à partir de cette année, il n’y a plus besoin de certificat pour télédéclarer !

Categories: Divers Tags:
  1. April 16th, 2009 at 21:45 | #1

    Je pense la même chose. C’est plus du FUD qu’autre chose et ça fait juste complexifier la tâche pour les gens “normaux”. Comme tu l’as dit, de laisser à un end user la gestion de la sécurisation d’une clé privé c’est pas terrible… Le MIT faisait la même chose avec ses étudiants depuis plusieurs années. Chaque étudiant doit créer son certificat personnel lors de son admission et s’authentifie alors avec des identifiants fournis par la poste… On devait aussi passer Kerberos pour obtenir des tickets pour utiliser des services comme FTP etc… C’est plutôt lourd comme gestion et honnêtement ça plait aux geeks au MIT, mais sinon c’est chiant. Pour accéder à certains services public au Canada aussi on a un truc similaire, mais je crois qu’ils ont également arrêté de forcer l’utilisation…. useless.

  2. April 20th, 2009 at 11:54 | #2

    Comme tu dis, le certificat ne sert pas à t’authentifier toi, il ne garantit rien de ce point de vue.
    Le certificat sert à 2 choses :
    – prouver la bonne foi des impots lorsqu’ils enregistrement un paiement, il est signé des 2 cotés et timestampé
    – donner des indices(mais pas des preuves) en cas de contestation : le certificat se trouve sur ta machine, il a été utilisé à telle date …

  3. Jeb
    April 20th, 2009 at 20:56 | #3

    @peck
    Pour “prouver la bonne foi des impots”, il suffit qu’il signe avec leur certificat non ?

  4. April 21st, 2009 at 11:36 | #4

    Non car rien ne prouve la provenance (voire la modification lors de la transmission) dun login/mot de passe.
    Ici on prouve que cela vient bien dune clé privée donnée.

  5. Jeb
    April 21st, 2009 at 20:11 | #5

    Bah c’est ce que je disais non ? 🙂

  6. April 22nd, 2009 at 09:36 | #6

    Non, la signature avec le certificat des impots ne peut se faire que su le serveur des impôts. Ici on prouve que la signature a bien été faite sur la machine client avec la clé cliente. On fait avancer la confiance d’un cran.

  1. No trackbacks yet.