Journal Copie d'une pièce d'identité

Posté par  . Licence CC By‑SA.
62
9
juil.
2023

Bonjour,

Comme j'ai été amené à échanger avec les autorités des Pays-Bas, j'ai été surpris d'être invité par mon interlocuteur à "sécuriser" la copie de ma pièce d'identité qu'il souhaitait obtenir.

A priori, il est courant par chez eux que les services publics demandent aux usagers d'ajouter un filigrane pour éviter que les copies ne soient réutilisées à des fins malveillantes et à masquer des informations sensibles dont ils n'ont pas besoin. Ils ont même développé l'application KopieID pour iPhone et Android afin de faciliter la manipulation. Cette application ajoute principalement le filigrane que l'on souhaite et exporte la photo ainsi modifiée. Sur F-Droid, nous avons l'équivalent Watermarking, mais sans la possibilité de masquer du texte.

La démarche me semble suffisamment intéressante pour être partagée et l'administration française, ainsi que les entreprises, devraient s'en inspirer. Au contraire, en France mes copies avec filigrane sont régulièrement rejetées, car non conformes à l'original. En insistant, cela fini généralement par être accepté, mais les banques sont les plus pénibles à ce sujet.

Je suis d'autant plus sensible à cette démarche, que j'ai déjà eu quelques problèmes de ce genre qui ont mis près de 10 ans à être résolu. En effet, il n'y a aucun moyen d'identifier qu'une copie est valable ou non. De même, qu'il n'existe aucun moyen permettant de révoquer un titre d'identité. Celui-ci peut donc toujours servir pour souscrire des contrats, à être présenté lors de contrôles de polices, de PV, etc. Pour ceux qui ne s'en rendent pas compte, cela fini par aboutir à des saisies d'offices sur votre salaire et votre compte en banque, ainsi que d'être fiché auprès de la banque de France. Impossible donc par exemple de souscrire un simple forfait pour téléphone. Et pour sortir de ce fichier, c'est assez compliqué.

C'était juste une info en passant pour éventuellement servir à d'autres.

  • # Exemple à suivre

    Posté par  . Évalué à 5.

    Très bonne idée du gouvernement néerlandais. Merci pour le partage de l'info.
    J'ai installé KopieID, l'interface est en anglais, mais c'est très intuitif et facile. Apparemment, les documents pris en photo ne se retrouvent pas dans la galerie, mais seraient stockés de manière sécurisé dans l'appli.

    • [^] # Re: Exemple à suivre

      Posté par  . Évalué à 6.

      Apparemment, les documents pris en photo ne se retrouvent pas dans la galerie, mais seraient stockés de manière sécurisé dans l'appli.

      Ça me paraît être le minimum. Parce que moi, si j'étais les pirates chinois du FBI, j'irais déposer des petites portes dérobées dans les photocopieurs des loueurs de voitures ou de matériel. Ils font tous des photocopies de papiers d'identité avec, ça doit être passionnant. J'ai bien sûr déjà fait remarquer que c'était interdit, mais…

      Bref, oui, le principe, c'est que justement, l'original ne soit nul part de disponible facilement.

  • # La France avance aussi

    Posté par  (site web personnel) . Évalué à 10.

    Le gouvernement FR bosse aussi sur le sujet et une 1ère version d’un outil en ligne est disponible ici : https://filigrane.beta.gouv.fr/

    • [^] # Re: La France avance aussi

      Posté par  (site web personnel) . Évalué à 4.

      Attention avant d'utiliser https://filigrane.beta.gouv.fr/ il est recommandé d'ajouter un filigrane avec https://filigragnepourfiligrane.beta.gouv.fr/ afin d'éviter tout réutilisation malveillante en cas de compromission du premier site.

      Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

    • [^] # Re: La France avance aussi

      Posté par  . Évalué à 5.

      Ça utilise le cloud Scalingo.

      J'aurais vu un truc local au client, il me semblait qu'avec l'avènement de WASM, c'était largement faisable… En tout cas, pour la partie génération de PDF, c'est sûr que c'est possible côté client, je fais ça au boulot.

    • [^] # Re: La France avance aussi

      Posté par  . Évalué à 1.

      Oh merci !
      Ainsi que les contributeurs aux commentaires, très instructif.
      Si je pouvais éviter de passer 10min. à retoucher mes papiers à chaque fois.

      Au contraire, en France mes copies avec filigrane sont régulièrement rejetées, car non conformes à l'original. En insistant, cela fini généralement par être accepté, mais les banques sont les plus pénibles à ce sujet.

      Je confirme, j'ai testé différents caviardage mais ils veulent les numéros uniques sur la CNI. Maintenant j'ai des modèles Gimp ou je transmet les papiers avec filigrane date+expéditeur et en 480px de large, chacun à son tour de souffrir.

  • # En france aussi

    Posté par  . Évalué à 3.

    On a l'identité numérique by la poste !

  • # france identité

    Posté par  . Évalué à 10.

    il y a aussi une application France Identité, je l'ai testée sous android. En gros elle lit les nouvelles cartes d'identités avec puce rfid, puis elle permet de générer un document d'identité officiel avec une date d'expiration, un motif et un destinataire.

    A pmiori il y aura un qr code pour verifier la validité du certif, mais pour l'instant il n'y est pas, l'app est encore en phase beta.

    https://france-identite.gouv.fr/

    • [^] # Re: france identité

      Posté par  . Évalué à 3. Dernière modification le 10 juillet 2023 à 09:18.

      Ca a l'air bien fait ce truc, impressionne d'un truc aussi bien pense!

      Ils disent même que ca va pouvoir servir a "Justifier notre majorité"…

    • [^] # Re: france identité

      Posté par  . Évalué à 2. Dernière modification le 10 juillet 2023 à 10:00.

      Est-ce que l'appli saura refuser la génération de la copie si on a déclaré le vol ou la perte du document d'identité ? (en d'autres termes, est-elle connectée à un serveur central ou bien est-ce "juste" une appli locale ?)

      PS. Je vois qu'il y a un code personnel pour débloquer la génération. Ce code est-il stockée sur la CI de façon chiffrée ou bien est-il sur un serveur ?

    • [^] # Re: france identité

      Posté par  . Évalué à 1.

      Ça a l'air bien pense.

      Je me demande si a terme, cela va prendre aussi les passeports ou juste la CNI.

    • [^] # Re: france identité

      Posté par  (site web personnel) . Évalué à 8.

      Le souci, c'est qu'il faut passer par un store. J’espère qu'à terme, ça sera dispo aussi sur f-droid.

      • [^] # Re: france identité

        Posté par  (Mastodon) . Évalué à 3.

        Le souci, c'est aussi que seuls certains OS sont supportés… Quid des OS mobiles alternatifs ? L'idéal serait un WebService ou un site Web interopérable !

    • [^] # Re: france identité

      Posté par  . Évalué à 2.

      Où est le lien pour télécharger l'APK ? Est-ce que l'appli requiert l'utilisation des bibliothèques Google ?

      Emacs le fait depuis 30 ans.

  • # Dématérialiser les pièces d'identité

    Posté par  . Évalué à 1.

    … ça serait une bonne idée aussi. Ou au moins les mettre dans un format plus "actuel" format CB, avec le permis.
    Ok, c'est hors sujet, mais quand même.
    Quand c'est dématérialisé je ne vois pas comment on fournit une preuve d'identité du coup…

    • [^] # Re: Dématérialiser les pièces d'identité

      Posté par  (site web personnel, Mastodon) . Évalué à 7. Dernière modification le 10 juillet 2023 à 14:23.

      Ou au moins les mettre dans un format plus "actuel" format CB, avec le permis.

      Si tu es en France, c’est déjà le cas de la carte d’identité et du permis de conduire (format ISO/CEI 7810 ID-1).

      Le passeport c’est le format ISO/CEI 7810 ID-3, à cause de la quantité d’information à mettre sur certains types de visas, et ça semble être une norme adoptée au niveau mondial donc pas prête de changer.

      La connaissance libre : https://zestedesavoir.com

      • [^] # Re: Dématérialiser les pièces d'identité

        Posté par  (Mastodon) . Évalué à 7.

        J'ai comme dans l'idée que la prochaine étape c'est de tout supprimer et de ne plus avoir que le smartphone. J'espère juste qu'ils vont pas se presser et bien réfléchir avant de nous y faire passer…

        En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

    • [^] # Re: Dématérialiser les pièces d'identité

      Posté par  . Évalué à 3. Dernière modification le 11 juillet 2023 à 19:40.

      Du coup je ne vois pas vraiment pourquoi je suis moinssé…
      Des allergiques à la dématérialisation ?
      C'est déjà le cas au Portugal pour la CI (qui inclut la carte de sécu et la carte électorale) et le permis, personne ne s'en plaint.

      • [^] # Re: Dématérialiser les pièces d'identité

        Posté par  . Évalué à 2.

        C'est pas parce que tu ne vois personne s'en plaindre que tout le monde en est satisfait ;).
        Je ne connais pas spécialement le Portugal, mais si tu es en France depuis quelques années, tu devrais savoir comment ca se passe, le numérique, avec l'administration. On a une facheuse tendance à oublier toutes les bonnes intentions en cours de route, pour des raisons de "sécurité national".

        Emacs le fait depuis 30 ans.

  • # Révocation

    Posté par  (site web personnel) . Évalué à 4.

    De même, qu'il n'existe aucun moyen permettant de révoquer un titre d'identité.

    Heu, en France, si tu déclare un titre d'identité volé (CI, Passeport), celui-ci est "immédiatement" révoqué (ça prends quelques jours). Ses identifiants sont envoyés à une tracklist qui lève des alertes (aéroports, banques, etc) aux services inscrits.

    De même lors du renouvellement, les anciens titres sont ajoutés à la tracklist (tu n'as d'ailleurs plus le droit de les conserver).

    Proverbe Alien : Sauvez la terre ? Mangez des humains !

    • [^] # Re: Révocation

      Posté par  . Évalué à 2.

      Les banques (et autres services sensibles) ont l'obligation de vérifier cette tracklist ou bien c'est à leur convenance ?

      • [^] # Re: Révocation

        Posté par  (site web personnel) . Évalué à 3.

        Je suppose qu'on leur laisse le choix entre vérifier ou perdre un procès pour négligence :p

        • [^] # Re: Révocation

          Posté par  . Évalué à 3.

          1) Plusieurs semaines/mois de galère à essayer de récupérer son identité et effacer les dégâts causés

          2) Procès dans la foulée quelques années plus tard

          Ça craint quand même un peu…

          Une obligation légale de vérifier la liste en question quand on est un service sensible paraît justifiée ; si ce n'est pas déjà le cas, je ne comprends pas pourquoi.

      • [^] # Re: Révocation

        Posté par  (site web personnel) . Évalué à 2. Dernière modification le 11 juillet 2023 à 09:16.

        Aucune idée (c'était l'affirmation de l'officier lors de la déclaration de vol).

        Proverbe Alien : Sauvez la terre ? Mangez des humains !

    • [^] # Re: Révocation

      Posté par  . Évalué à 4.

      À moins que cela n'ait changé, les loueurs de voitures, crédits à la consommation, grande surfaces, agences de locations, etc. ne verifiaient rien du tout.

      J'ai même reçu des dizaines de PV pour infractions au code de la route, stationnement gênant, etc. sans que cela ne dérange les forces de l'ordre alors que je n'ai pas de voiture.

      J'ai donc un gros doute sur le fait qu'une déclaration de vol bloque tout usage frauduleux. Les gîtes, entreprises payées avec un chèque en bois, etc. sont aussi la cible et se retournent contre la personne qui a fait une attestation sur l'honneur avec sa pièce d'identité.

      C'est sans fin.

  • # Curieux d'avoir l'avis d'un compatriote

    Posté par  . Évalué à 5.

    En Belgique, a priori on a une carte d'identité électronique avec une puce permettant de s'authentifier et de signer (de façon cryptographique, clé asymétrique, toussa. Un certificat d'authentification et un de signature) différentes choses. Du coup, j'imagine que normalement, pas besoin de "copie de carte d'identité", il suffit de demander de signer des choses, et une partie des informations nécessaires est transmise, mais sans avoir une copie de la carte elle même.

    Je dis "a priori" et "normalement", car en tant que Belge a l'étranger, j'ai bien une carte, elle a bien des certificats dessus, mais …

    1. bah… a peu près personne ne me demande ça en dehors de Belgique, évidemment, vu que c'est une implémentation spécifique (je pense. Après ça reste du certificat standard, mais l'utilisation en tant qu'identité "validée par l'état" doit être spécifique)
    2. de façon assez amusante, mes deux certificats sont révoqués (bah oui, en tant que geek, j'ai bien dû essayer de m'en servir) Je pense que c'est justement dû au status de Belge a l'étranger, mais je ne sais pas vraiment pourquoi. La date de révocation dans les CRL n'est pas la date de création de ma carte, et elle est différente entre les deux certificats (l'écart se compte en années !)

    Du coup je me demande si en Belgique il y a des choses faites en pratique avec ces certificats, ou non ? (Je sais que la carte sert aussi d'équivalent de la carte vitale, mais je ne sais pas si ça passe par ces certificats, ou si c'est un truc en plus. Toujours en interne de la Belgique, évidemment)

    Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.

    • [^] # Re: Curieux d'avoir l'avis d'un compatriote

      Posté par  (site web personnel) . Évalué à 4.

      Ce n'est pas utilisé pour les services de type My Minfin ?

      Il me semble que pour s'authentifier avec un lecteur de carte d'identité afin de remplir sa déclaration fiscale en ligne, on utilise les certificats. Avec le système Itsme, ce n'est plus nécessaire (authentification avec une application sur téléphone) mais je préfère passer par un lecteur de carte.

      Par contre je ne sais pas si la validation de la déclaration signe le document avec le certificat.

      https://eid.belgium.be/fr/documents-techniques#7398

      https://www.itsme-id.com/fr-BE

      On s'authentifiait aussi avec ces systèmes pour récupérer les certificats COVID. Le système est unifié pour toutes les administrations et évite d'utiliser des mots de passe foireux. Je trouve ce système plutôt bien pensé.

      • [^] # Re: Curieux d'avoir l'avis d'un compatriote

        Posté par  . Évalué à 4.

        Non, la déclaration n'est pas signée avec la carte, car le seul certificat utilisé est le certificat d'authentification via le portail CSAM (acronyme un peu malheureux s'il en est). Mais la signature n'est pas nécessaire dans la mesure où ce n'est pas un document qui est partagé.

  • # PDF dynamique

    Posté par  (site web personnel) . Évalué à 3.

    Ce n'est pas tout à fait ça, mais est-ce que ce ne serait pas possible de mettre une copie de sa carte d'identité dans un PDF avec dedans du code pour que, après une date donnée, au lieu de la carte d'identité, ce soit un message genre « copie expirée » qui s'affiche ?

    L'image de la carte serait toujours dedans, bien sûr, et pourrait être extraite, mais la plupart des gens ne savent pas du tout faire ça, donc ça limiterait les risques d'abus.

    • [^] # Re: PDF dynamique

      Posté par  . Évalué à 2.

      D'un lecteur PDF à un autre ça risque de coincer non ?
      Et les antivirus ?

      • [^] # Re: PDF dynamique

        Posté par  . Évalué à 3.

        Sans compter qu'il suffit de changer de date sur la machine pour tricker l'algo.

        • [^] # Re: PDF dynamique

          Posté par  . Évalué à 4.

          Il faut un PDF qui inclut un client tzdata

          -->[]

    • [^] # Re: PDF dynamique

      Posté par  . Évalué à 3.

      « Ce PDF s'autodétruira dans 30 secondes »

    • [^] # Re: PDF dynamique

      Posté par  . Évalué à 5.

      Ce n'est pas tout à fait ça, mais est-ce que ce ne serait pas possible de mettre une copie de sa carte d'identité dans un PDF avec dedans du code pour que, après une date donnée, au lieu de la carte d'identité, ce soit un message genre « copie expirée » qui s'affiche ?

      Et du coup, quand les services fiscaux contactent la banque pour connaitre l'identité du titulaire du compte qui vient de récupérer 200 Btc, la banque répond qu'elle n'arrive plus à ouvrir le pdf qui contient la copie du passeport?

      Si tu vas par là, un filigrane se retire aussi assez facilement. Tout marquage numérique sautera également avec une impression / scan. Dès que tu transmets une copie du fichier ou une copie papier, la confidentialité est cassée, et toute "solution" est facilement contournable.

    • [^] # Re: PDF dynamique

      Posté par  (site web personnel) . Évalué à 4.

      Je n'ai visiblement pas été assez clair : je ne propose rien de sécurisé, je m'interroge simplement sur la possibilité d'améliorer un tour petit peu ce qu'on fait lorsqu'un interlocuteur demande une copie de nos papiers d'identité.

      Parce que, quand on y pense, l'employé de l'agence de location qui demande une copie d'identité, pourra ensuite l'utiliser lui-même pour faire des trucs en notre nom. Pas moyen de l'empêcher vraiment, mais si on peut rendre les choses un tour peu plus difficiles…

      • [^] # Re: PDF dynamique

        Posté par  (site web personnel) . Évalué à 2.

        Le contre-effet c'est que des gens vont se sentir en sécurité, ne vont pas comprendre que c'est contournable, et vont peut être diffuser leurs données personnelles sans réfléchir. Ça va encore plus embrouiller les gens qui ne sont déjà pas à l'aise avec l'informatique, et c'est sûr que des personnes plus à l'aise et malveillantes en profiteraient.

        Un LUG en Lorraine : https://enunclic-cappel.fr

      • [^] # Re: PDF dynamique

        Posté par  . Évalué à 3.

        C'est ce que propose l'appli France Identité dont je parle plus haut, pouvoir généré un pdf avec les infos de la carte, le destinataire, et une date d'expiration. A priori il y aura un qr code pour vérifier la validité. Évidemment ça repose sur le contrôle systématique du qr code, mais ça devrait grandement réduire les usurpations d'identités à partir d'une photocopie laissée dans un dossier de location.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.