Nous utilisons des cookies pour améliorer votre expérience.

MacBidouille

News du jeudi 27 juin

L'identité numérique et monnaie numérique de l'UE ont des failles de sécurité

Par Philippe - Jeudi 27 juin, 21:59 - Catégorie : Sécurité

Pas encore implémenté finalement, mais déjà défini et régulé (eiDAS 2.0), l'UE créé à la fois une identité numérique mais aussi une monnaie numérique programmable destinées à être utilisées conjointement (EUDIW). Ce projet a débuté vers 2018.

Des voix se sont élevées sur différents points, notamment la disparition de la possibilité de dépenser anonymement son argent, mais aussi le côté programmable de celui-ci.

Il se trouve que des chercheurs ont évalué l'aspect cryptographique (PDF en Anglais) et viennent de livrer leurs résultats: il y a des failles de sécurité en terme de protection de la vie privée et de l'anonymat.

L'anonymat des paiements et vérifications d'identité ont été actés après des débats intenses.
Las ! Les outils cryptographiques choisis pour l'implémentation actuelle ne répondent pas à ces règles car ils n'ont pas été créés pour avoir ces propriétés.

De fait, malgré les débats, malgré eiDAS 2.0 imposant l'anonymat, la Commission Européenne a choisi d'implémenter sans anonymat réel, au mépris du choix du législateur, de la représentation populaire, de la protection des consommateurs et des personnes.

Une société de vérification d'identité a une brèche énorme

Par Philippe - Jeudi 27 juin, 21:40 - Catégorie : Sécurité - Source : 404 Media

La société AU10TIX (prononcé "authentics") effectue des vérifications de sécurité pour d'autres, comme Uber, PayPal, X aka Twitter, LinkedIn, TikTok, etc.
Pour cela elle collecte des informations personnelles très sensibles incluant des copies de papiers d'identité dont les permis de conduire très utilisés pour cela en Amérique du Nord.

Pendant plus d'un an elle a eu ces données exposées en ayant eu des informations d'accès d'administration exposées publiquement.
Des chercheurs en sécurité ont trouvé cela, en exfiltrant les informations et les copies de papiers d'un de leur propre employé.

La société a d'abord bien réagit en fermant les accès, probablement en coupant ce serveur d'après ces dires, mais ensuite très mal en refusant de reconnaître que ses accès avaient pu être utilisés depuis un an, et en prétendant que personne ne les aurait employés quand pourtant diffusés dans des canaux de communication de hackers.

Sondage

Comptez-vous acheter un Vision Pro ?