mercredi 6 mars 2013

Ville de Soignies demande des informations sensibles et sécurité branlante

Je viens de passer sur le portail de la ville de Soignies. 
Partout il existe des personnes ayant de bonnes idées et désirant offrir des services utiles.
L'histoire du portail Administratif de Soignies est certainement dans cette lignée... sauf qu'il y a un sérieux manque de bon sens/sécurité d'informations sensibles pour l'un des services proposés. Cela me fait franchement froid dans le dos.

Je me suis donc rendu sur la page suivante "Vie Administrative > Commande de Document"
Et n'étant pas inscrit, carte d'identité en main je m'apprête à encoder l'information demandée... quand je me rends compte qu'il y a un problème fondamental de sécurité informatique et sécurité de l'information (envoyée au portail et probablement stockée dans une DB).




La page incriminée se trouve ici
http://www.soignies.be/fr/vie-administrative/documents-en-ligne.html

Voici ce que j'ai vu:


Et voici le courrier "contact" envoyé dans les 5 minutes à l'administration communale de Soignies (en espérant qu'ils réagissent vite).

<<
concerne: Sécurité des comptes ouvert sur votre site/saisie d'information sensible.

Je comptais ouvrir un compte pour demander une copie des actes xxxxxxxxxx. Vous y demandez des informations sensibles (y compris No carte ID, No National, Date Naissance,etc).
Le site n'est pas en https donc espionnable et l'information est certainement stockée sur un système moyennement sécurisé (autant que l'https requis pour ces infos). En cas de piratage, toute l'information nécessaire a une usurpation d'identité est accessible.
Projet dangereux! A revoir!
>>


Message envoyé à Soignies.be ce 6/03/2013
Réponse: en attente

Soignies à beau être une commune, il me semble que la collecte de NNS + No Carte ID et autre information est soumis a une réglementation sévère (et demande d'autorisation spéciale du SPF protection vie privée).
J'imagine mal ce portail connecté directement sur la DB de l'administration... il dispose donc de sa propre DB... peut-être même en ligne chez un fournisseur de service.
Si ce formulaire déclenche l'envoi d'un message/mail, je me demande s'il est encrypté? ou passe par un réseau sécurisé?
Quand on vois que la saisie de l'information ultra-sensible d'identification du cytoyen est faite sur un simple http (non encrypté)... je crains le pire pour le traitement de la chaine d'information.

dimanche 3 mars 2013

exit Windows

Une phrase qui a tout son sens en anglais:

"In a world without walls and fences, who needs windows and gates ?"

vendredi 1 mars 2013

Choisir un "Messaging Protocol" pour ses applications

L'une des tâches les plus importantes de l'architecte logiciel est de sélectionner les fondations de son application.
Les applications orientées Cloud et distribuées étant de plus en plus courantes, car elles permettent de répartir les charges, le choix d'un "protocole de messagerie applicatif" est un point critique/sensible de  l'architecture.

Qui peut dire qu'il en connais les subtilité?
Parmi les solutions propriétaires, il existe aussi quelques solutions open-source utilisées dans des projets de très grande envergure.

L'article suivant présente:
  • AMQP - Advanced Message Queuing Protocol
  • MQTT - Message Queue Telemetry Transport
  • STOMP - Simple/Streaming Text Oriented Messaging Protocol ... l'un des seula être "text based"
  • RabbitMQ - Un message broker multi-protocol
L'article source vous présente une introduction a toutes ces technologies.
Une source intéressante pour démystifier ces plateformes