Read on Twitter
En France (et en Europe), on ne sait même pas faire un captcha 
. Alors non, ce n'est pas simple, mais quand même, on part de loin côté contrôle du numérique ! https://twitter.com/laquadrature/status/1265574212451946497
. Alors non, ce n'est pas simple, mais quand même, on part de loin côté contrôle du numérique ! https://twitter.com/laquadrature/status/1265574212451946497
Et ça, sans même parler du "niveau de sécurité" offert par un captcha : s'il y a un enjeu (et ici, il s'agit d'empêcher des cybervilains de créer 96 comptes chacun, ce qui détruirait le *seul* intérêt de la solution centralisée française), ça ne protège de rien...
Petit thread : l'approche française a mis en objectif numéro 1 le fait de pouvoir empêcher des voisins de se "reconnaître", lorsqu'un annonce un test positif.C'est l'objectif numéro 1, qui mène à des compromis difficiles, on peut donc penser qu'il y a un enjeu à attaquer ce point
Le compromis pour faire ça, c'est d'augmenter le rôle du serveur, qui distribue les ID éphémères + fait les calculs d'intersection. On lui remonte donc les ID que l'on croise. Le risque de traçage/surveillance de masse est exacerbé par ce serveur.
Un attaquant peut annihiler l'intérêt du serveur, et donc "reconnaître" ses voisins, en créant de nombreux comptes (96 en théorie, en pratique peut-être moins puisqu'on ne sort pas 24h/24, ou peut-être plus si des mécanismes de détection sont mis en place)
Créer plein d'identités, c'est une attaque bien connue dans la littérature scientifique, c'est une sybil attack. Décrite en 2002 par John Douceur ( https://www.microsoft.com/en-us/research/wp-content/uploads/2002/01/IPTPS2002.pdf). Jamais résolue convenablement depuis, c'est intrinsèque à ces systèmes de création libre d'identités.
Une (fausse) solution classique, c'est de mettre un captcha (une preuve de travail humain). Sauf que ça ne marche pas : on peut en résoudre plein, on peut déléguer des micro-tâches pour les résoudre contre quelques centimes, etc. Ça marche *s'il n'y a pas d'enjeu à attaquer*.
Et c'est comme ça qu'on va se retrouver avec un système de traçage (c'est mal), qui centralise beaucoup d'infos (c'est pire), et dont le gain par rapport à d'autres alternatives dépend d'une fausse protection (c'est encore pire).
Je ne serais d'ailleurs pas étonné que les mécanismes de détection de multi-comptes fassent partie du code qui ne sera pas publié sous licence OSS. En général, la sécurité par obscurité, ça sert à cacher ce qu'on ne sait pas faire ;)
