| Digiposte+, une très bonne idée très mal exploitée | ||
|
| 22/04/2017 22:18:26 - theb69 |
| En cherchant un peu, on trouve facilement les informations "sois disant" manquantes : - Cryptage, accès personnel sécurisé, données hébergées en France… la sécurité de votre coffre numérique est au cœur des priorités de La Poste. C’est pourquoi Digiposte répond aux mêmes normes que les sites bancaires. http://www.laposte.fr/particulier/produits/presentation/digiposte/vos-donnees-securisees-a-vie - Respect du Label FNTC-TA, des normes ISO 9001, NF Z 42-013, ISO 15489,AFNOR NF Z42-025 et ISO 27 001 https://secure.digiposte.fr/securite Digiposte est quand même certifié pour l'hébergement de bulletin de paie numérique (ou dématérialisé). On peut espérer une certaine qualité du service... Le clavier de saisie du mot de passe est sécurisé - comme pour une banque, avec impossibilité de sauvegarder le mot de passe dans le navigateur (ce qui n'est pas la cas de certains sites financiers). La poste représente quand même un certain gage de sécurité, par rapport à un acteur inconnu... Par ailleurs, sachez que DOCAPOST est une filiale de LaPoste spécialisée dans l'archivage de documents pour les administrations... Personnellement, j'utilise ce service depuis l'ouverture et je n'ai jamais eu de problème. |
| 22/04/2017 22:28:04 - Christophe - Le Webmaster ... |
| @theb69 : Merci pour ces précisions mais avant de faire cet article j'ai essayé d'avoir de vraies réponses pas de choses publiées il y a plusieurs années et qui ne sont plus vraies pour certaines (Informations de cette page : https://secure.digiposte.fr/securite) : - "À cet effet, Digiposte vous offre 3 Go d’espace de stockage pour l’archivage de vos documents personnels en toute sécurité, selon la norme NF Z 42-013" : Comment en être certain car depuis pas mal de temps déjà c'est 5Go qui sont proposés. - "La présence du https:// devant l'adresse Internet, dès la page de connexion, indique que vous êtes dans un espace sécurisé." : Argument commercial car il est aussi important que les données soient stockées de manière chiffrées et le https n'a aucun rapport ! - "Votre code secret ne transite jamais sur Internet. Le clavier numérique, à la présentation des chiffres aléatoire, permet de sécuriser votre identification. Seules les positions que vous tapez sur le clavier sont transmises au serveur." : Totalement faux car le mode de connexion est aujourd'hui sans clavier numérique dédié comme les banques le proposent (https://secure.digiposte.fr/identification-plus) ! - "Vos documents officiels représentent des données sensibles. Pour garantir leur confidentialité, Digiposte a mis en place des mesures de chiffrement à la pointe des protocoles de sécurité informatique." : Lesquelles ? - "Lorsque vous communiquez des données et documents personnels à Digiposte, Digiposte s'engage à en assurer la confidentialité." : Les hommes politiques aussi s'engagent sur pas mal de choses. En bref ce que je critique dans l'article, est qu'aucune garantie n'est fournie par la Poste pour qui l'informatique n'est pas le cœur de métier. DOCAPOST n'est qu'une filiale du Groupe La Poste comme elle se qualifie elle même comme Orange Bank sera une filiale du groupe Orange. Cette situation nous assure t-elle qu'Orange est une société réellement experte dans le monde de la banque ? Je ne remet pas en cause le sérieux de ce service mais je persiste et signe dans ma conclusion "Digiposte+ est sans aucun doute une excellente idée mais mise en œuvre par une entreprise dont ce n'est clairement pas le cœur de métier, elle n'offre aujourd'hui pas assez de garanties pour l'utiliser en toute confiance". Si quelqu'un de cette société ou plus précisément ce projet veut bien nous en dire un peu plus sur le sujet, je me ferais un plaisir de publier ces informations mais pour le moment la prudence reste de mise pour un service très cher dans sa version premium et dont la sécurité est totalement opaque pour l'utilisateur. Pour rappel de très grands noms de l'informatique se sont fait pirater et La Poste ne semble pas avoir pris toutes les mesures pour assurer la sécurité de ses utilisateurs sur ce service comme par exemple la mise en place d'une validation en 2 étapes (SMS, Application dédiée, Protocole TOP, ...). Ce type d'authentification est aujourd'hui la norme car adopté par tous les grands noms et le milieu bancaire. |
| 23/04/2017 09:11:53 - theb69 |
| @Christophe : désolé, je ne partage pas du tout votre analyse - vous émettez des doutes car vous ne savez pas => quite à faite un article, faites une enquête pour que l'article soit pertinent et utile aux lecteurs. je suis client d'une banque traditionnelle (pas LaPoste ;) ) et également d'une banque en ligne : sur aucune des 2, je n'ai pas de double authentification, sauf pour le paiement CB en ligne. Mais pour m'authentifier sur mon compte, c'est comme Digiposte. Le fait qu'on nous donne 5Go au lieu de 3Go... Tous les sites de webmail l'ont fait, et cela ne change rien quant à la sécurité des données. Par rapport aux mesures mises en place pour garantir la sécurité des données, elles sont garanties par les normes que j'ai indiquées. La norme n'aurait pas été attribuée si les mesures prises n'étaient pas suffisantes. Pour une banque, nous savons juste que la banque dispose de la norme bancaire, mais perso, il ne m'indique pas comment sont stockées mes données... donc pour moi l'argument ne tient pas... Le HTTPS... Ah, effectivement cela parait nul... Mais combien de site présentent encore aujourd'hui, une authentification en HTTP ce qui signifie que les identifiants Login/Password transitent en clair sur internet et peuvent facilement être piratés. D'ailleurs, pour un site qui se veut critique envers la sécurité de l'offre Digiposte, je vous fais remarquer que votre site ne respecte pas des règles de bases de sécurité : - Votre site permet une authentification en HTTP => mot de passe pas du tout sécurisé - Lors de l'inscription, votre site envoi un mai avec le login et le mot de passe affiché en clair dans le mail En principe, on utilise HTTPS sur les formulaire d'authentification. Et le site ne devrait pas envoyer le mot de passe dans le même mail que le login... Si le mail est piraté... le compte est compromis... Par ailleurs, un principe de base de sécurité est que le site ne devrait jamais connaitre le mot de passe de l'utilisateur ; en utilisant soit un annuaire LDAP, soit en mettant des solutions de chiffrements... mais communiquer un mot de passe par mail... Bof... sauf pour les mots de passe temporaires valable une seule fois... Bref, on ne tombera sans doute pas d'accord, mais pour moi le sujet est traité avec trop de légèreté ou sans connaissance du domaine... |
| 23/04/2017 10:45:53 - Christophe - Le Webmaster ... |
| @theb69 : Ca ne sert effectivement à rien de discuter car moi je vous parle d'éventuelles problèmes de sécurité de fond à cause d'un manque d'informations et vous de ce qui se passe en façade. Vous semblez proche du dossier "La Poste" et ça altère votre opinion en lisant mes explications à moitié. Par exemple où ai je dit que le fait d'avoir 5Go jouait sur la sécurité ? J'ai juste dit qu'on ne pouvait pas totalement croire un service qui ne mettait pas à jour ses explications après plusieurs mois. Autre exemple, où ai je dis que le HTTPS était nul ? J'ai juste dit qu'il ne présageait en rien de la manière dont les données sont stockées du côté des serveurs de La Poste. Vraiment dommage d'interpréter et modifier mes propos pour défendre votre opinion :( Après comment pouvez vous par exemple comparer Smartphone France et Digiposte au niveau sécurité ??? Au pire la seule chose que vous pouvez vous faire pirater sur ce site est votre email et son mot de passe (Un mot de passe qui doit être unique à chaque site). Aucune autre donnée n'est sauvegardée ! Par pitié réagissez de manière honnête en remettant les choses à leur place ! Pour votre information je n'ai accès à aucun mot de passe car ceux ci sont sauvegardés de manière chiffrées. Quand à remettre en cause mes compétences sur le sujet, je pense qu'on ne se connaît pas et en tant que professionnel de l'informatique comme ingénieur système et réseau et architecte système et accessoirement comme webmaster de Smartphone France depuis 15 ans me confère une certaine expérience et certainement des compétences. Et pour conclure Digiposte+ est sans aucun doute une excellente idée mais mise en œuvre par une entreprise dont ce n'est clairement pas le cœur de métier, elle n'offre aujourd'hui pas assez de garanties pour l'utiliser en toute confiance. A noter que si le service est gratuit dans une version de base, il est proposé à 4 Euros par mois dans sa version complète et ça c'est clairement trop cher vu la pauvreté des fonctionnalités proposées. |
| 23/04/2017 12:02:46 - theb69 |
| Concernant le tarif, je suis d'accord que c'est cher... Maintenant, 15 ans d'expertise réseau et votre site qui est sans HTTPS et envoi les mdp par mail... Hum... No comment ! Je ne compare pas l'exigence en termes de sécurité d'un site web et d'une solution d'archivage, mais là on est sur des "bases" de la sécurité web ; y compris pour un site comme le votre. D'ailleurs, si les données sont chiffrées dans votre base de données, alors en tant que webmaster, vous pouvez facilement les déchiffrer ! Sinon, c'est que vous n'utilisez pas une solution de chiffrement mais une solution de Hash... Je ne travaille ni à LaPoste, ni dans une fililale... Juste qu'en tant qu'ingénieur avec 15 ans d'expérience comme vous, et de part mon travail, je suis assez proche des questions de sécurité des données. Vous passez trop rapidement sur les normes auquel répond le site Digiposte... Notamment la norme de stockage des bulletin de paie dématérialisés... Vous croyez qu'ils auraient obtenus la norme sans vérification par un organisme tiers de leur qualité de stockage des données ? Par ailleurs, est-ce que vous pensez que pour l'utilisateur 'lamba' la solution de chiffrement et de stockage des données utilisée est utile et compréhensible ? Je pense qu'afficher les normes respecter est beaucoup plus parlant... Vous insistez sur la façon de stocker les données : mais votre banque vous l'indique-t-elle ? Ou savez-vous juste qu'elle respecte les normes bancaires ? L'article aurait d'ailleurs pu analyser le fait que l'offre était initialement gratuite avec Digiposte et l'application Digispote Pass et que maintenant l'application Digiposte+ est liée à un service payant ou limité... Le bulletin de paie numérique est par exemple certifié par LaPoste, et n'est pas décompté de l'espace de stockage. Je conviens que maintenir un blog n'est pas simple ; mais reconnaissez au moins que le sujet aurait mériter un peu plus de profondeur d'analyse... On peut effectivement s'interroger de ne pas connaitre les solutions techniques mises en oeuvres (pb de transparence), mais de là à dire comme vous que la société n'offre pas suffisamment de garanties... c'est là que nos avis divergent... Mais les commentaires sont là pour permettre d'échanger (pas nécessairement de tomber d'accord) |
| 23/04/2017 12:15:48 - Christophe - Le Webmaster ... |
| @theb69 : Vous pouvez écrire un article de fond sur le sujet mais ce n'est clairement pas la ligne éditoriale du site ! Que ça vous plaise ou non, La Poste ne fournit aujourd'hui aucune garantie sur la sécurité tout comme Google, Apple, Microsoft, Yahoo qui sont régulièrement victimes de piratages à plus ou moins grande échelle. Pour le reste comparer un petit blog perso avec un service se stockage en ligne de données personnelles semble me parait d'une stupidité sans égal, surtout de la part d'une personne qui se revendique comme professionnel de la sécurité. Concernant Smartphone France, ce petit blog perso, sa sécurité ne doit pas être si mauvaise que ça après plus de 15 ans de présence en ligne sans le moindre incident majeur, et ce malgré pas mal de tentatives de piratages. Au cas où le concept de blog vous aurait échappé, le but de Smartphone France n'est pas de faire des analyses de fond mais de fournir des informations de base, avec un petit retour d'expérience, afin que chacun puisse par la suite poursuivre le sujet s'il l'intéresse en visitant par exemple les liens qui sont donnés dans chaque article. Accessoirement si La Poste avait bien voulu répondre à mes demandes, je n'aurais peut être pas écrit un tel article mais toutes mes requêtes sur les moyens mis en œuvres pour assurer la sécurité des données confiées sont restées lettres closes. Devant une telle opacité qu'écrire ? On ne sait rien mais ça doit être génial ? Ou on ne sait rien et on pense que toutes les garanties ne sont pas fournies ? J'ai fait le second choix. |
| 23/04/2017 12:57:31 - theb69 |
| 1/ Les garanties sont fournies via les normes que la société respecte => mais là, je parle à un mur puisque vous n'avez jamais repris ou répondu à cet argumentaire 2/ Vous êtes insultant puisque vous me traiter de "stupidité sans égal" => sauf erreur de ma part, je ne vous ai pas insulté. Je préfère en rester là, et ne plus suivre votre site vu votre attitude envers vos lecteurs... Il est quand même fort dommage que les commentaires soient limités à l'avis du webmaster sans quoi vous êtes "stupide" et brimés. Bref, continuez ainsi... Belle preuve de liberté d'expression et d'ouverture d'esprit !! |
| 23/04/2017 13:22:41 - Christophe - Le Webmaster ... |
| @theb69 : Oui vive le monde d'aujourd'hui ! Etre stupide n'est pas une insulte ! J'aurais pu penser la même chose quand vous m'avez qualifié d'incompétent ! Au revoir alors ... Pour les normes je vous ai répondu indirectement dès mon premier message en vous disant que je ne faisais pas confiance à cette page car non mise à jour depuis plusieurs années. En outre elles sont de quand ces certifications ? Ce type de certification n'a de la valeur que si elles sont renouvelées tous les ans. Avoir été "aux normes" il y a 5 ans ne signifie pas qu'on l'est encore, d'autant plus que ces normes évoluent. Des informations que pour rappel j'ai demandé à La Poste sans aucune réponse de leur part depuis plusieurs semaines. Je m'interroge par contre par rapport à votre emportement et votre réaction que je trouve très excessive car la conclusion ne me semble pas être trop virulente "En conclusion Digiposte+ est sans aucun doute une excellente idée mais mise en œuvre par une entreprise dont ce n'est clairement pas le cœur de métier, elle n'offre aujourd'hui pas assez de garanties pour l'utiliser en toute confiance". En quoi penser ne pas avoir toutes les garanties de confiance est grave et preuve d'incompétence de ma part ? |
| 23/04/2017 16:38:14 - GrosLap |
| Tout ça pour dire qu'il faut avoir une confiance très limitée dans tous ces services qui nous sont proposés. Il ne faut toutefois pas être paranoïaque, mais utiliser des identifiants et mots de passe différents pour chaque service. Il faut aussi activer la double authentification quand elle est disponible et changer de mot de passe dès qu'il y a le moindre doute de piratage. Publié via l'application Smartphone France pour Android ou Windows/Windows Phone ... |
| 23/04/2017 16:40:08 - Christophe - Le Webmaster ... |
| @GrosLap : C'est exactement ça :) |
| 23/04/2017 20:24:33 - YmerOilla |
| @theb69 : Par pitié pour les simples en informatique comme moi. J'ai ressenti beaucoup de pédance dans vos propos. Je suis avec attention les articles de Christophe et je les prends comme je les ai acceptés dès le début; de l'info, des retours d'expériences, des alertes, et surtout des mises en garde judicieuses sur notre utilisation d'internet et des services de stockage en ligne... L'avantage de cet article est qu'il me permet de voir l'évolution de Digipost et de rester attentif à ces propositions. Publié via l'application Smartphone France pour Android ou Windows/Windows Phone ... |
| 23/04/2017 22:13:27 - Christophe - Le Webmaster ... |
| Je pense que "ce litige" est clos avec une personne malhonnête qui me demande de supprimer son compte, qui par la suite me critique parce que j'ai bloqué à sa demande le compte, puis place mes réponses personnelles comme "SPAM" en espérant que Microsoft bloque mes messages, ... en bref une personne peu recommandable ! Je laisse ses messages car je ne suis pas un dictateur mais honnêtement je suis heureux que cette personne ne soit plus intéressée par le site, ça m'évitera de perdre mon temps. |
| 23/04/2017 23:22:58 - Estyaah |
| Smartphone France, c'est un peu le repère des vieux cons... ("vieux cons" n'est évidemment pas à prendre comme une insulte, mais comme une marque d'affection !) Publié via l'application Smartphone France pour Android ou Windows/Windows Phone ... |
| 23/04/2017 23:26:35 - Christophe - Le Webmaster ... |
| @Estyaah : Pour "le con" j'accepte mais pour "le vieux" j'émet des réserves ... même si ça semble inéluctable. |
| 24/04/2017 13:20:57 - GrosLap |
| @Estyaah : C'est quoi l'âge à partir duquel tu nous considères comme vieux ? Publié via l'application Smartphone France pour Android ou Windows/Windows Phone ... |
| 24/04/2017 13:48:05 - Christophe - Le Webmaster ... |
| @GrosLap : Le tien ;) |
| 24/04/2017 14:23:49 - Ledolley |
| Mince, c'était la tempête ici hier... Je dois être dans la catégorie des super vieilles alors si Christophe est un vieux :( Publié via l'application Smartphone France pour Android ou Windows/Windows Phone ... |
| 24/04/2017 19:08:03 - GrosLap |
| @Christophe - Le Webmaster ... : Je te rappelle qu'il n'y a que quelques années qui nous séparent... Publié via l'application Smartphone France pour Android ou Windows/Windows Phone ... |
| 24/04/2017 21:05:02 - Christophe - Le Webmaster ... |
| @GrosLap : Je te rappelles que j'essaye de te rattraper mais que malgré tous mes efforts je n'y arrive pas ;) |
| 24/04/2017 22:39:48 - GrosLap |
| @Christophe - Le Webmaster ... : Normal, tu es moins rapide que moi ! Publié via l'application Smartphone France pour Android ou Windows/Windows Phone ... |
| 24/04/2017 22:48:43 - Christophe - Le Webmaster ... |
| @GrosLap : Ce que je répond souvent "aux jeunes cons" : J'ai au moins l'avantage sur toi d'avoir un âge que tu n'es pas certain d'avoir ;) |
Dorénavant pour publier des commentaires il faut posséder un compte sur le Forum du site et s'authentifier
Créer un compte sur le forum du site
S'authentifier sur le site avec son compte personnel
Fermer ce formulaire