La Belgique assigne à chacun de ses citoyens une carte d’identité avec puce électronique. Cette carte lui permet de signer électroniquement des documents. La signature électronique a une valeur juridique et donc de plus en plus d’entreprises et de particuliers y ont recours (ex: déclaration de revenus annuelles).
Pour l’utiliser, il faut installer le logiciel fourni par l’Etat sur votre ordinateur avec les droits administrateurs. Bonne nouvelle, ce logiciel existe pour Windows (Vista et +) , Mac (10.8 et +) et Linux (Debian 7 et +, Red Hat 6 et +, Suse, Ubuntu12.04 et +).
Par contre, l’unique page pour récupérer ce logiciel n’est pas en HTTPS. En fait tout le site eid.belgium.be n’est pas disponible en HTTPS, ce qui est un comble.
Sachant que les belges doivent soumettre leur déclaration de revenus annuelle chaque année pour le 15 juillet et qu’ils doivent pour cela mettre à jour leur logiciel, pour les admins réseau et espions en tout genre, c’est open bar, vous pouvez modifier le lien vers le logiciel EID pour pointer vers un malware, vous pouvez être sûr qu’ils vont le télécharger et l’installer les yeux fermés.
Et ce n’est pas comme si personne n’avait jamais pris la possession de routeurs chez Belgacom <- lisez cet article de TheIntercept en entier.
PS pour la postérité :
Aux utilisateurs de Windows 10: attention
Depuis la mise à jour Windows 10 KB3124263, il n’est plus possible de s’authentifier via Microsoft Edge en utilisant la carte d’identité électronique.
La mise à jour KB3124263 date de janvier 2016…. et le message est toujours présent 8 mois après. Que faut il en déduire?
Ce serait surtout bien qu’ils publient leur clé GPG sur un keyserver et qu’ils fournissent une signature pour chaque paquet.