Digiposte : je veux plus de sécurité !

J’ai reçu l’email de Digiposte :

En 2016, Digiposte s’est enrichi de plus de 350 organismes. Démarrez 2017 du bon pied en regroupant vos relevés, attestations et factures dans Digiposte.

BESOIN DE PARTAGER VOTRE RIB AVEC UN PROCHE ? CONNECTEZ-VOUS À DIGIPOSTE.

Mais c’est vraiment n’importe quoi … il faut travailler sur la sécurité !

Il faut mettre en place :

  • une double authentification comme le fait Google+ ou Facebook, alors que eux n’ont pas mon RIB. (optionnel & uniquement pour les abonnés)
  • une interface pour voir les heures, dates, IP, navigateur de toutes les connexions. Comme le fait Google, Facebook, …
  • l’envoi d’un email a chaque nouvelle connexion … comme le fait Google, Facebook, … (optionnel)

On ne peut pas mettre des documents plus important que sur Facebook, Google, Twitter, et avoir une sécurité moindre.

Alors je dis non à mon RIB tant que votre niveau de sécurité est aussi bas !

Digiposte+ : Beaucoup de progrès mais pas sur la sécurité !

Beaucoup de progrès ont été fait sur Digiposte+ (#digiposte +), maintenant il y a énormément de commerçants et bientôt il y aura la certification de diplôme. Mais le point noir c’est toujours la sécurité. La sécurité doit être supérieur à celle de Google ou même de Facebook ! Comment peut-on envisager de voir une copie de sa carte d’identité ou de son bulletin de paye dans les mains d’autres personnes.

Il est donc vital pour Digiposte+ de faire une double authentification, mot de passe puis ensuite envoi d’un mot de passe par SMS (sous forme d’option). Cela permettrait réellement de justifier le prix ! Ou à minimum il faudrait recevoir un email à chaque nouvelle connexion avec la possibilité de voir l’historique de toutes les connexions.

La seconde évolution nécessaire pour rassurer les personnes serait d’avoir un service qui permette de recevoir tout le contenu du compte Digiposte par clef USB. Afin de bien montrer aux personnes qu’ils ne sont pas prisonniers. Actuellement, plus on utilise le service et plus on devient prisonnier. Il ne faut pas espérer récupérer les documents via des clics, ou alors pour s’en rendre compte il suffit de compter le temps mis pour récupérer 10 documents.

A noter aussi qu’il faudrait indiquer clairement ou sont les datas physiquement (en France, en Russie 😉 ? ) , dans un Cloud de La Poste ou bien chez un Tiers privé. C’est très important et les conditions générales ne sont pas rassurantes.

La dématérialisation est en marche mais elle doit être sécurisée !

Mes précédents articles sur Digiposte :

En bref voici la liste des améliorations à faire :

  • Sécurité :
    • (Modification n°1) Double authentification : SMS (le rendre optionnel).
    • (Modification n°2) Email à chaque connexion (le rendre optionnel)
    • (Modification n°3)Historique des connexions sur les 6 derniers mois.
  • Pouvoir partir facilement :
    • (Modification n°4) Service de copie sur une clef USB ( payant 😉 ).
    • (Modification n°5) Synchronisation complète via une application.
  • Améliorer l’organisation des documents :
    • (Modification n°6) Ajouter une colonne type de doucement (Facture, Paye, …).
    • (Modification n°7) Ajouter une colonne taille pour faire le ménage plus facilement.
    • (Modification n°8) Ajouter un checksum sur les documents afin d’identifier les doublons.
  • Faciliter l’intégration des Tiers:
    • (Modification n°9) Faire une API simple d’utilisation pour qu’un tiers puisse faire un PUSH de document PDF via un email.
  • Faciliter l’authentification :
    • (Modification n°10) Faire un système de badge, qui serait en fait un lien vers un document. Cela permettrait de mettre des badges dans un CV numérique. Pour l’employeur cela permet de simplifier l’authentification des diplômes par exemple (Voir Prof à la gomme dans « Envoyé spécial » . C’est trop simple de tricher !)
  • Contrat :
    • (Modification n°11) Indiquer clairement quel est la ville où se situe le DataCenter. Et prévenir 3 mois avant en cas de changement de ville.
  • Augmenter les partenaires important :

Juste pour information des piratages massifs ont été subis par YahooDropboxMySpaceTumblr ou encore LinkedIn (sans Parler de Digiposte sur les premières version). Je pense que le budget informatique de ses entreprises est largement supérieur à celui de La Poste. Rassurer les clients sur la sécurité, ce n’est pas une option … c’est une nécessitée !

Digiposte+ : Certification de diplôme.

Enfin une boite française va se lancer dans la certification numérique de diplôme. Il était temps ! Voir l’article : http://www.nextinpact.com/news/102171-des-2017-e-diplomes-et-coffre-fort-numerique-digiposte-pour-eleves.htm . Actuellement l’académie de Versailles le fait avec http://www.cvtrust.com (depuis 2014…). Mais c’est mieux que ce soit La Poste … cocorico ! Il faut noter aussi le site Open Badges : https://openbadges.org qui est plus un projet ouvert sur le sujet. Pour plus d’information voir cet article : http://www.vteducation.org/fr/laboratoires/badges-numeriques-ouverts-en-education.

Vivement que la sécurité de Digiposte+ soient revu avec une interface sur les connexions faites ou bien comme PHPNET le fait, un email à chaque nouvelle connexion. Et le dernier point c’est quoi soit plus facile de récupérer tous les documents sur Digiposte+.

 

Digiposte+ , le nouveau service pour remplacer Digiposte Pass

Le nouveau service de La Poste, Digiposte+ c’est « Digiposte Pass Payant », mais toujours pas assez sécurisé à mon goût. Donc pour l’instant je ne paye pas pour ce service …

J’ai l’impression qu’ils avaient bien prévu leur lancement :

capture-decran-2016-10-27-a-11-10-20

Sinon je pense toujours que ce n’est pas assez sécurisé, il faut avoir un historique des connexions. Pour chaque connexion il faut :

  • Date & Heure.
  • IP.
  • Navigateur.
  • Géolocalisation (quand c’est un smartphone).
  • Echec/Réussite.

Ensuite l’utilisateur doit pouvoir bloquer une IP afin de sécurisé lui-même son site. C’est déjà possible sur les sites comme Google+, Facebook, …

Avec leur système, on doit pouvoir savoir si une autre personne accède à notre compte. Il faut donc qu’il change cela, il pourrait même faire comme Google a chaque fois qu’il y a une connexion via un nouveau poste, il envoi un SMS sur le portable afin de faire une double vérification. On ne peut pas confier des documents importants sans que la sécurité soit optimale.

capture-decran-2016-10-27-a-21-14-09

Le dernier point cela serait de pouvoir faire des points de sauvegarde et même de se les faire graver et expédié. Quand on choisit un service, il faut toujours se demander s’il est ensuite facile d’en partir. Pour partir de Digiposte+ il « suffit » de récupérer tous les fichiers. Mais pour récupérer un fichier il faut au moins faire 3/4 clics, donc quand on a mille fichiers cela devient donc impossible. Il faut donc un service qui nous permettent de recevoir par courrier un clone de tous nos fichiers sur une clef USB. Même si ce service est à 20 Euro cela me semble plus que nécessaire. J’irai même plus loin, il faudrait pouvoir proposer un service de clef USB avec recommandé. Plutôt que d’envoyer un lien via email, faire livrer un clef USB avec un accusé de réception (et faire un fichier indiquant la liste des fichiers livrés et la date). On est sûr que la personne a reçu certains fichiers. Par exemple cela serait pratique pour les personnes qui veulent envoyer leurs factures à leur comptable.

Vivement le Digiposte++.

Les trois points qui font cruellement défaut :

  • Sécurité.
  • Sauvegarde.
  • Récupération des fichiers.

Mon précédent article : https://www.cyber-neurones.org/2014/12/digiposte-un-bon-service-mais-perfectible/.