Declaration des revenus par Internet

Erwann ABALEA a écrit le Mardi 05 Avril 2005 00:29 :

- oublie de sauvegarder son certif lors de la réinstallation de son PC

Encore faut-il savoir où est sauvegardé le certificat. Ça fait 2 ans que je
fais ma déclaration par internet et je ne sais pas où est le certificat (je
n'ai pas cherché).

Si je dois réinstaller mon PC, je sauvegarde mon home et /etc, le reste ...

J'espère que le certificat se trouve dans mon home.

@+
--
Audrey OUDFORCE (signature aléatoire)
On dit que les pattes de lapin portent chance... Pour les lapins
aussi ?

damien gautherin wrote:

Quelle serait la sécurité apportée par un applicatif externe, non signé?
On met de côté la lourdeur de l'utilisation (utilisation d'un autre
programme pour ça, copier/coller d'un charabia long comme le bras), ainsi
que les limites en terme de développement: pas certain que quelqu'un
penserait à en faire une version pour Linux sur Sparc64, ou OpenBSD sur
MIPS, par exemple...

En meme temps je suis pas sur que Mr Sun il ai pense a toutes les
versions pour sa JVM ;-)

L'intérêt du java est d'être multiplateforme. Sur certaines la JVM n'est
pas celle de sun, pour d'autre tu as même le choix.

Perso pour limiter certains problèmes j'ai choisi pour la crypto le
travail fait par bouncycastle (http://www.bouncycastle.org/) afin d'être
sur d'avoir tout ce qu'il me faut quelle que soit l'implémentation (BC
est en pur java). Ainsi j'évite les gags tels que pas d'AES sous
certaines implémentations CE.

Pour le fisc c'est une autre implémentation.
Au niveau sécurité pour l'utilisateur "Michu" je trouve que c'est une
bonne solution. Pour un gus expérimenté et motivé ça ne doit pas être un
gros problème de modifier (ou contrôler) la phase de génération de la
bi-clef pour être sur qu'il n'y a pas de fuite, volontaire ou non,
d'info vers le fisc.

Ca tourne partout où tourne une implémentation décente de la JVM dans un
browser web. Les autres solutions seraient un exécutable (encore plus
obscur) par plateforme avec évidement plein de systèmes abandonnés.
Il m'a fallu quelques minutes pour récupérer le certif que j'avais sous
Win98 pour le mettre sur ma sarge (et voir à mon soulagement que la
racine à été remplacée[1] par la racine du repertoire home de
l'utilisateur). Une vérif rapide pour être sur d'acceder à mon compte et
ça roule.

Pour caricaturer imagine un prog perl sous linux et M. Michu fils (plus
"doué" en info) qui veut passer ça sous Windows :)

Le top serait qu'ils mettent ça en opensource mais malgrés quelques
manques je trouve que c'est globalement du bon boulot (et je ne crois
pas être suspect de tendresse avec nos chers fonctionnaires du fisc!).

De même pour la crl, sa taille est peut être une abération, mais dans la
pratique ça ne gêne pas : elle n'a pas à être téléchargée dans les
browsers, mais juste utilisée par le fisc (qui, j'imagine, traite
directement ça dans un format interne avec une diffusion maison).

Maintenant si tu fais confiance au fisc et que tu décide d'utiliser les
certifs pour signer tes emails et vérifier ceux des autres[2] bon
courage avec la crl ;-)

Eric.

[1] ou ça y était déjà, ce sera ma première déclaration sous cette config.

[2] ce qui serait, amha, stupide, parce que non conçu pour ça et les
infos d'identité ne sont pas dans le certif pour cet usage ; sur le mien
j'ai :
Subject: C=fr, O=DIRECTION GENERALE DES IMPOTS, OU=DIRECTION GENERALE
DES IMPOTS USAGER, OU­ - 7, OU=D - 4, CN04293259977 RAZNY ERIC

Bon ok avec un nom comme le mien des Eric il n'y en a peut être pas 50,
mais il n'y a que le premier prénom et nom+prénom est loin d'être
suffisant (il n'y a que certains flics pour foutre des gens en taule
pour homonymie).

Thomas Labourdette wrote:

J'espère que le certificat se trouve dans mon home.

Pour moi, ~/teleir sous Solaris, C:TELEIR sous Windows.

C'est raisonnable.

Laurent

Patrick 'Zener' Brunet wrote:

Je pense que la démarche est bonne, mais je serais assez curieux de savoir
quelle SSII renommée a encore eu ce marché...

Pour ce que j'en sais, ca commence par un I et finit par un X. En tout
cas, l'an passe c'etait eux.

--
pc

On 05 Apr 2005 12:10:30 GMT, Cedric Blancher
<blancher@cartel-securite.fr>:

Non. Qu'est-ce qui prouve que le "poste du client" n'est pas en fait
le poste d'un employé de l'administration fiscale ?

Qu'est-ce qui prouve que la déclaration d'impôt qui t'es opposée avec
ta signature en bas a bien été signée par toi ?...

Pas grand-chose, effectivement.
Mais ce que je cherche à comprendre, c'est la différence entre le
système actuel, avec certificat, applet Java, etc., et un site normal
avec authentification "classique" par mot de passe fourni par la DGI
(et éventuellement une couche SSL pour éviter que les données ne
circulent en clair).


--
;-)

Le Tue, 05 Apr 2005 21:41:04 +0000, Fabien LE LEZ a écrit :

Mais ce que je cherche à comprendre, c'est la différence entre le
système actuel, avec certificat, applet Java, etc., et un site normal
avec authentification "classique" par mot de passe fourni par la DGI
(et éventuellement une couche SSL pour éviter que les données ne
circulent en clair).

Amha, dans le premier cas, la déclaration porte un "sceau" qui a valeur
de signature devant un tribunal, alors que dans le second cas non.


--
BOFH excuse #30:

positron router malfunction

On 05 Apr 2005 21:53:31 GMT, Cedric Blancher
<blancher@cartel-securite.fr>:

Amha, dans le premier cas, la déclaration porte un "sceau" qui a valeur
de signature devant un tribunal, alors que dans le second cas non.

Si j'ai bien compris, ce qui a une valeur juridique, c'est la présence
d'une signature, aucunement l'identité de celui qui a signé.

Effectivement, ça paraît logique, puisque c'est à peu près comme ça
que les signatures "papier" fonctionnent.

C'est cette subtilité que je n'avais pas compris -- j'ai trop
l'habitude des systèmes d'indentification.


--
;-)

On Tue, 5 Apr 2005, Pascal Cabaud wrote:

Patrick 'Zener' Brunet wrote:

Je pense que la démarche est bonne, mais je serais assez curieux de savoir
quelle SSII renommée a encore eu ce marché...

Pour ce que j'en sais, ca commence par un I et finit par un X. En tout
cas, l'an passe c'etait eux.

Ils sont intervenus, c'est vrai, pour améliorer les perfs des frontaux si
je ne me trompe pas. Mais il y a aussi:
- A...E
- S...A (I...S en fait)
- bien sûr C...S/K...S

Je crois bien qu'il y a eu une dizaine d'intervenants (je parle de
sociétés, pas de personnes).

--
Erwann ABALEA <erwann@abalea.com> - RSA PGP Key ID: 0x2D0EABD5
-----
SG> Oû posera-t-on la question "Comment dois-je m'habiller ce soir pour
SG> aller à la crêperie Le Coz avec le maire-ajoint de Ploudeac'h
Devant son placard.
-+- SJ in GNU : Bien se faire habiller pour l'hiver -+-

Fabien LE LEZ wrote:

Si j'ai bien compris, ce qui a une valeur juridique, c'est la présence
d'une signature, aucunement l'identité de celui qui a signé.

Effectivement, ça paraît logique, puisque c'est à peu près comme ça
que les signatures "papier" fonctionnent.

Euh... non ! Il est vrai que l'analogie avec la signature
papier fait des ravages. J'ai déjà entendu des gens qui
pensaient que l'on pouvait imiter ou copier-coller une
signature numérique tout comme une signature manuscrite.

Une signature numérique non répudiable, c'est plutôt comme
signer un pacte avec son sang.

AC

On 2005-04-05, Cedric Blancher <blancher@cartel-securite.fr> wrote:

Amha, dans le premier cas, la déclaration porte un "sceau" qui a valeur
de signature devant un tribunal, alors que dans le second cas non.

Hier soir, j'étais avec madame Michu et quelques-uns de des

proches, et la discussion a tourné autour de la déclaration.
J'ai bien l'impression que _personne_ n'a eu conscience de
signer quoique ce soit. Pour eux, ça a été un processus
tout à fait analogue à un achat sur Amazon. Clickclick et
voilà. Moi-même, j'ai lu la Faq, et je ne pense pas que ce
genre de notions soit compréhensible du "grand public".

http://static.ir.dgi.minefi.gouv.fr/public/faq/site/aQuoiSert.html#p15

--
_/°< coin