Pas sûr du tout, le module eID pour Drupal

Le module eID pour Drupal n’est ni sûr ni conforme à la loi sur le respect de la vie privée. Voilà ce qu’affirme l’expert en sécurité Zion Security.

Le module eID pour Drupal n’est ni sûr ni conforme à la loi sur le respect de la vie privée. Voilà ce qu’affirme l’expert en sécurité Zion Security.

La carte d’identité électronique belge offre de nombreuses possibilités à des fins d’authentification, et son utilisation est dès lors fortement encouragée. Le module ‘Belgian eID Login’ qui est proposé par ‘coworks_dieter’ & cie pour l’environnement Drupal n’est cependant ni sûr ni conforme à la législation sur le respect de la vie privée, peut-on lire sur le blog d’Erwin Geirnaert posté sur le site web de Zion Security.

En bref, le module utilise sans autorisation le numéro du registre national (une infraction à la loi sur le respect de la vie privée), alors qu’une partie du trafic des données n’est pas cryptée et que l’ensemble est exploité de manière peu sûre. En outre, le module lui-même contiendrait des bugs, prétend Erwin Geirnaert, qui déconseille donc au plus haut point son utilisation à des fins de production.

Geirnaert était particulièrement irrité après avoir pris contact avec les auteurs du module. Ceux-ci ont en effet affirmé qu’il n’y avait pas de problème et ont manifestement refusé toute aide éventuelle. “C’est une bonne initiative”, explique Geirnaert. “Mais qui a été si mal exécutée, et puis encore ce genre de réaction.” Sur son blog, il fait aussi part de sa déception que “des initiatives comme Owasp et SANS Institute Secure Coding sont insensées si l’on refuse d’écrire du code sûr et si l’on ignore l’impact des bugs de sécurité.”