[FRsAG] impots.gouv.fr, la classe

Arnaud Launay asl at launay.org
Jeu 2 Avr 03:28:57 CEST 2015


Le Thu, Apr 02, 2015 at 02:00:06AM +0200, Stephane Martin a écrit:
> De mémoire, la désactivation du copier/coller est une mesure de
> protection contre les bots (j'ai pas dit que c'était efficace...)

Mettez une captcha, si c'est juste pour éviter qu'un bot tape à
la porte de vos serveurs... Ou encore mieux, au bout de mettons 5
essais foireux, un timer de 60 secondes avant de pouvoir retenter.

Mais laissez-nous gérer des mots de passe complexes ! Là je ne
peux absolument pas utiliser "-?p>E4p":"A mP._]nZz3Ha5{]", j'ai
mis 'turlute2015' pour être tranquille...

(Surtout avec les nouvelles règles, il semble que je vais devoir
me connecter une fois par mois et non plus quatre fois par an, ça
non plus ça n'aide pas la simplification).

> Le problème de l'absence de règle de complexité sur les mots de
> passe du portail pro a été identifié et remonté il y a quelques
> semaines, c'est normalement dans le pipe.

Oui mais ça c'est un problème dans la tête des gens, pas dans la
technique. Bloquer le copier/coller, ça me paraît idiot en tant
qu'anti-bot, surtout que comme suggéré sur twitter, il suffit
d'outrepasser le .js pour pouvoir faire des tentatives, au final
ça n'emmerde que les gens qui veulent utiliser un gestionnaire de
mots de passe :)

> En même temps, comme cela a été dit ailleurs, on a peu de
> risques de fraude à l'identité sur un téléservice qui permet de
> payer ses impôts, le mot de passe est essentiellement une
> mesure de lutte contre la "nuisance" sur internet.

Je n'ai pas forcément envie que les infos qu'on y trouve
(déclarations de TVA, d'IS, contenant mon identité, les parts,
mes revenus, et l'intégralité du bilan) se retrouvent ailleurs
qu'entre mes mains, celles de mon comptable et le fisc. Donc,
désolé, mais cet argument là n'est pas du tout recevable. C'est
justement un bout d'Internet que j'ai envie de protéger
*beaucoup* plus que mon compte Twitter.


Donc, laisser la possibilité de faire du c/c, forcer les mdp
forts si vous voulez (mais sans mettre une limite sur les
caractères utilisables ou la taille (ou alors bien large, genre
256), et aussi (surtout ?) ajouter la possibilité de faire une
validation en deux étapes avec une app quelconque, pour renforcer
la sécu. Mais pas interdire le c/c, ça pousse justement les gens
à utiliser un mot de passe faible et facilement tapotable, et en
plus ça le rend lisible par un keylogger !

	Arnaud.


Plus d'informations sur la liste de diffusion FRsAG