vid{43aaa2c597d77237ff7845a1404db9d0d79f77cfc2880d676d4652fa655e2d1b}
— Permalink

Jitsi Meet avec un Raspberry Pi sans écran
Pour configurer un Raspberry Pi sans écran afin de se connecter à un serveur Jitsi Meet en utilisant SIP et WebRTC, vous aurez besoin des éléments suivants :

De plus en plus d’organisations internationales promeuvent l’usage de l’identité numérique ; voici quelques exemples majeurs :

• ID2020 Alliance : Groupe public-privé fondé en 2016, qui vise à garantir une identité numérique inclusive, éthique et centrée sur la protection des données individuelles, surtout pour les populations vulnérables comme les réfugiés. 👉 https://id2020.org

• Union européenne (UE) – Initiative eIDAS : Programme européen imposant une identité numérique interopérable et sécurisée pour tous les citoyens européens, facilitant l’accès aux services publics et privés en ligne. 👉 https://ec.europa.eu/digital-strategy/our-policies/eidas-regulation_en

• Banque mondiale – ID4D (Identity for Development) : Programme mondial pour l’inclusion digitale, visant à fournir une identité numérique à un milliard de personnes « sans papiers » afin de faciliter l’accès aux services de base et de soutenir le développement. 👉 https://id4d.worldbank.org

• Organisation internationale de la Francophonie (OIF) : Encourage la gouvernance du numérique et appuie la mise en place d’identités numériques dans ses États membres pour renforcer la participation citoyenne et la cohésion sociale. 👉 https://www.francophonie.org/numerique-gouvernance

• Forum de gouvernance de l’Internet (IGF) et la Genève internationale : Plateformes multilatérales où l’identité numérique est un thème central des débats sur la transformation digitale des sociétés. 👉 https://www.intgovforum.org

Chaque organisation agit dans des contextes différents, mais avec le but commun de faciliter l’accès aux droits et services grâce à l’identité numérique.

Süvy est un substitut au sucre innovant, à faible indice glycémique, adapté aux diabétiques, gourmands et professionnels. Découvrez le goût du sucre sans calories, sans frustration et 100 % plaisir, pour pâtisseries, boissons et desserts.

À tester.

Le présent document définit la spécification technique du protocole de confiance utilisable par le public. Il est basé sur les VC et a été créé en tant que concept initial pour l'infrastructure fiduciaire de swiyu. L'objectif est de fournir une solution simple permettant à un organe directeur (émetteur de confiance) de confirmer l'identité des émetteurs et des vérificateurs.

Le protocole de confiance est basé sur des références vérifiables (VC), qui sont signées par un émetteur de confiance particulier pour authentifier la déclaration correspondante sur un sujet. Dans le contexte du protocole de confiance, ces VC sont appelées "déclarations de confiance".

Cyberattaque contre l’entreprise Xplain: conséquences pour fedpol et mesures prises

Début juin 2023, il a été rendu public que l’entreprise suisse Xplain, un fournisseur de logiciels destinés aux autorités de sécurité et aux organisations d’intervention d’urgence, avait été victime d’une attaque par ransomware du groupe de cybercriminels Play. En accord avec la Confédération et les autorités de poursuite pénale, l’entreprise Xplain n’a pas répondu aux demandes de rançon des cybercriminels. À la mi-juin 2023, ceux-ci ont alors publié sur le darknet le lot de données dérobées. fedpol est concerné par cette fuite de données, tout comme d’autres unités administratives fédérales et cantonales.
L’entreprise Xplain a annoncé le cyberincident à l'Office fédéral de la cybersécurité (OFCS) et déposé une plainte auprès de la police cantonale bernoise.
Xplain a informé fedpol du vol de données le 23 mai 2023. Après avoir pris connaissance de l’incident, fedpol a déposé une plainte pénale contre inconnu auprès du Ministère public de la Confédération et a informé le Préposé fédéral à la protection des données et à la transparence (PFPDT) de la fuite de données.
Dans quelle mesure fedpol est-il concerné?

Le volume des données volées et publiées sur le darknet concernant fedpol connu à ce jour (septembre 2023) équivaut à moins de 10 % du volume total. Grâce à ses propres analyses, fedpol a constaté déjà à un stade précoce que des données opérationnelles étaient notamment concernées. Il a donc pris sans délai des mesures préventives afin de protéger les personnes, les données, les infrastructures, les objets et les procédures concernés.

D’après les connaissances actuelles, les données détournées comprennent des données personnelles (par ex. nom, prénom, date de naissance) et, dans certains cas, des données sensibles de personnes physiques (par ex. photos du visage). Les analyses ont mis au jour, parmi les données dérobées et publiées, un fichier XML remontant à 2015 qui comprend certaines données du système d’information HOOGAN. Sont enregistrées dans ce système les personnes qui ont affiché un comportement violent lors de manifestations sportives en Suisse ou à l’étranger et contre qui le canton compétent ou fedpol a prononcé une mesure en vertu de l’art. 24a de la loi fédérale du 21 mars 1997 instituant des mesures visant au maintien de la sûreté intérieure (LMSI). Le fichier XML publié sur le darknet contient un code technique avec des données concernant 766 personnes saisies dans HOOGAN en septembre 2015. Il ne contient aucune information sur des infractions ou des mesures prononcées (cf. communiqué de presse du 12 juillet 2023).

Préambule
La discussion profonde et technique sur swiyu n'a pas lieu dans le débat. Ce pourquoi j'ai décidé de produire ce document qui a pour but de pointer les faiblesses et le déficit technique du projet. Il ne comporte pas tous les défauts que j'ai pu identifier, cela aurait été trop long pour ce, déjà, très long document. En fin, une alternative est présentée. Cette alternative a été refusée par les concepteurs de swiyu pour une raison très questionnable. Selon moi, elle a été refusée parce qu'elle empêchait le recyclage du projet de 2021, refuser par le peuple, en faisant croire que nous aurons une identité numérique gérée par l'état. Ce point est abordé plus tard.
À chaque fois que j'ouvre se document pour le relire et le corriger, je finis par ajouter une section liée à un problème de swiyu, cela semble sans fin. Cette version est donc partiellement relue. Il faut qu'elle soit publiée avant la fin de la campagne.
Les courtiers en données
Avant de se lancer dans le fonctionnement de swiyu, l'identité numérique suisse mise en votation pour septembre 2025, il est nécessaire de parler d'un acteur d'Internet : le « data broker ». En français, un « courtier en données ». Le métier d'un courtier en données réside à exploiter vos données de manière à les rendre rentables. Il doit les collecter, les analyser, les agréger et les revendre. Ce qu'il chercher, avant tout, c'est avoir une forme de profil détaillé d'une personne permettant d'anticiper votre comportement en tant que consommateur.
Une entreprise n'est que peu intéressé en ce que vous avez acheter mais plutôt en ce que vous achèterez demain. La dépense de demain est, pour le commerçant, sa croissance. Pour pouvoir vous vendre un produit, il est nécessaire de savoir ce que vous souhaitez acheter ... ou savoir comment vous donner envie d'acheter un produit spécifique. Votre profil personnel est donc l'outil le plus pertinent pour ça et ce que va vendre un courtier en données.
S'il peut fournir à une agence de voyage des milliers de profils dont on sait, avec certitude, qu'ils sont passionnés de voyages, qu'ils ont les moyens financiers de partir trois fois par an et le détail de ce qu'ils aiment faire sur place, l'agence de voyage sera intéressée à payer pour obtenir cette liste.
Est-ce un problème ?
Dans un sens, non. Une équipe invisible qui travail gratuitement pour que les offres qui vous intéressent vous soit directement livrées, c'est intéressant. Mais les courtiers en données cherchent à vendre vos données, peu importe à qui. Et le monde n'est pas un système légal homogène. Le scam
l'arnaque en ligne) est un marché de 1 trilliard de dollars et provient de pays étranger où l'état n'est pas forcément en capacité d'agir contre avec efficacité.
La montée en charge des arnaques par les téléphones, les arnaques aux faux policiers, ..., ne va pas s’arrêter demain, on peut même anticiper qu'il va augmenter. Pour arnaquer ces personnes, il faut qu'elles soient vulnérables. Et pensez bien que le profil d'une personne qui passe plusieurs jours à déchiffrer le protocole swiyu puis va écrire ces mots n'intéresse aucun escroc. Une personne inscrite sur divers sites de rencontres, plutôt âgée, mâle, avec un historique sur des sites pornos et un historique de vidéos sur la séduction, ça, par contre, c'est le profil idéal pour la petite copine anglaise qui est bloquée en Afrique (voyage humanitaire, évidemment) parce qu'elle n'a plus assez d'argent pour payer l'avion.
Je m'arrête sur le sujet, mais ce n'est pas le seul problème avec les courtiers en données.
Un profil suisse certifié ?
Les suisses sont connus pour avoir à grand pouvoir d'achat. Si vous êtes un escroc en ligne, est-ce que vous allez tenter d'extorquer le citoyen suisse ou le citoyen d'un des pays les plus pauvre au monde ? La question ne se pose pas.
Avoir des profils de qualités est essentiel et c'est exactement ce que propose swiyu.
Partout où vous utilisez swiyu, il sera possible de savoir que, derrière, il y a un citoyen suisse. Et partout vous pourrez savoir que c'est le même. Et pas besoin de savoir qui c'est précisément. C'est un citoyen suisse certifié. Bien entendu, la confédération doit valider qui peut utiliser ces services d'identité numérique. Donc elle ne sera pas utilisable, à priori, par des sociétés douteuses. On peut imaginer le genre de sociétés qui pourront utiliser cette infrastructure :

Serafe
CFF
Les assurances (maladie/ménage/voiture/...)
Les sociétés de recouvrement
Les administrations (communales, cantonales et fédérales)
Les géants de la technologie
Les employeurs
...

Les « sociétés sérieuses »
Que des sociétés sérieuses ... sérieuses ? Serafe ... allons voir sa déclaration de protection des données
:

Le prestataire de services informatiques de SERAFE AG a une filiale sise à Auckland en Nouvelle-Zélande. Les collaborateurs de cette filiale doivent avoir accès aux systèmes de SERAFE AG en Suisse notamment pour des prestations d'assistance et de maintenance, mais également pour d'autres travaux, et peuvent ainsi avoir accès aux données personnelles. Il s'agit donc d'une communication des données à l'étranger.

Serafe
Il existe une corrélation entre les débuts de Serafe et l'augmentation des arnques en ligne en suisse
, elles ont commencé à augmenter à la suite de l'entrée en vigueur de la loi forçant les communes et cantons à transmettre mensuellement :

- Numéro d'assuré au sens de l'art. 50c de la loi fédérale du 20.12.1946 sur l'assurance-vieillesse et survivants (LAVS)
- Numéro attribué par l'office à la commune et nom officiel de la commune
- Identificateur de bâtiment selon le Registre fédéral des bâtiments et des logements (RegBL) de l'office
- Identificateur de logement selon le RegBL, ménage dont la personne est membre et catégorie de ménage
- Nom officiel de la personne et autres noms enregistrés à l'état civil
- Totalité des prénoms cités dans l'ordre exact
- Adresse et adresse postale, y compris le numéro postal d'acheminement et le lieu
- Date de naissance et lieu de naissance
- Sexe
- Établissement ou séjour dans la commune
- Commune d'établissement ou commune de séjour
- En cas d'arrivée : date, commune ou État de provenance
- En cas de départ : date, commune ou État de destination
- En cas de déménagement dans la commune : date
- Date de décès

Bien évidemment, corrélation n'est pas causalité. Mais on est en droit de se questionner. Et si la filiale Néo-Zélandaise a été piratée, serions-nous au courant ?
Assurance maladie
CSS est un des plus gros assureurs maladie du pays. Allons lire la déclaration de protection des données
:

 En fonction de la façon dont vous êtes ou avez été assuré auprès de la CSS, si vous vous intéressez à un produit de la CSS, et selon si vous êtes un fournisseur de prestations, une autorité ou un utilisateur de ce site Internet, nous pouvons communiquer des données personnelles aux catégories suivantes de destinataires:
- Nos prestataires de services (p. ex. banques, assurances, conseillers,   fournisseurs de services informatiques, prestataires de services dans le domaine du marketing, sociétés de recouvrement et sociétés de renseignement de solvabilité, etc.);
- Intermédiaires;
- Commerçants, fournisseurs, sous-traitants et autres partenaires commerciaux;
- Dans le cadre d’obligations légales, autorités nationales et étrangères, assureurs sociaux et privés, services administratifs ou tribunaux;
- Acquéreurs ou personnes intéressées par l’acquisition de secteurs d’activité, de sociétés ou d’autres composantes de la CSS;
- Autres parties impliquées dans des procédures administratives ou judiciaires potentielles ou effectives;
- Autres sociétés du Groupe CSS
Ces destinataires peuvent avoir leur siège en Suisse ou à l’étranger.

Sociétés de recouvrement
Par exemple, Intrum Justicia, lisons la déclaration de protection des données
:

Nous pouvons partager vos données personnelles avec nos fournisseurs qui nous assistent et/ou fournissent une partie de nos services, tels que les services d’impression et postaux, les fournisseurs de services de recherche, les prestataires de services informatiques, les partenaires de communication (e-mail/SMS), les services de centre d’appels, le personnel de terrain, les représentants légaux, d’autres sociétés Intrum, etc. Nous pouvons également partager vos données personnelles avec notre client (votre partenaire contractuel d’origine), les institutions d’évaluation du crédit, les organismes gouvernementaux et les tribunaux. Nos employés ont également accès à vos données personnelles » et encore « Comme nous faisons partie du groupe Intrum, nous pouvons transférer vos données vers un autre pays ».

Un écosystème désavantageux
L'actuel écosystème numérique suisse est désavantageux pour le citoyen. Vos données sont éparpillées partout dans le monde, sans votre consentement (non, dire sur une page profonde d'un site web que vous faites n'importe quoi avec les données ce n'est pas du consentement) à des acteurs dont on ne sait rien, qui sont peut-être déjà infiltrés par divers groupes de piratages, à leur insu, et qui servent à produire des profils pour les courtiers en données.
Lorsque des données volées sont vendues, les éléments permettant d'identifier la source sont cachés si la source est toujours en exploitation. Si vous infiltrez Serafe et que vous pompez les données constamment, vous ne dites pas qu'elles viennent de là, sinon, très rapidement, Serafe sera informée et la fuite sera éventuellement corrigée. Se faisant, les données vendues sont identiques à celle de n'importe qu'elle autre fuite et rien ne garanti de la qualité des données (certains vont essayer de vendre des données générées en faisant croire qu'elles sont réelles). En associant des données issues de l'identité numérique, alors vos données seront, de-facto, validées comme étant qualitatives et réelles. Vos profils prendront de la valeur sans que vous n'en tirez le moindre bénéfice.
Et ça, ils le savent puisqu'ils ont émis une réflexion sur le sujet
avec une méthode pour en limité les effets.
swiyu : qu'est-ce ?
Swiyu est un pot-pourri de technologies assemblées d'une manière qui peut sembler aléatoire. Entre des normes IETF¹ ou W3C² ou des brouillons de normes, des algorithmes de chiffrement actuels mais dépassés parce que, pour la confédération l'ordinateur quantique n'est pas d'actualité ... Ceux qui utilisaient encore le FAX durant la COVID pensent que les ordinateurs quantiques ne seront pas une réalité dans la 15 ans à venir.
ECDSA - NIST P256
Derrière ce barbarisme se trouve la technologie de signature numérique à clés asymétriques.
Principes théoriques
Les clés asymétriques peuvent être imagées de la sorte : vous louez une salle de fête. Afin de vous évitez des complications, vous avez votre clé privée qui permet d'ouvrir et fermer la salle et la clé publique qui permet uniquement de fermer la salle. Ainsi, lorsque vous louez votre salle, vous allez ouvrir, faites l'état des lieux et donnez la clé publique au locataire. Quand celui-ci a fini, il peut fermer la salle et, même s'il disparaît avec la clé, il ne pourra jamais l'ouvrir. Votre salle reste donc en sécurité même si vous donnez une copie de la clé publique à toute la commune.
En informatique, ce système se base sur des concepts mathématiques d'où certaines opérations sont faciles à calculer dans un sens et difficile à calculer dans l'autre sens. Un exemple simple, si je vous demande de calculer de tête la racine carrée de 289 (√289) ? Il existe plusieurs méthodes pour le faire de tête, mais cela reste très compliquer. En contre partie, si je vous demande de faire 17 au carré (17²), il est effectivement plus facile de le faire de tête et de trouver le résultat : 289. Évidemment, en informatique, il s'agit de très grands nombres. Ainsi NIST P256 correspond à un nombre de 256 bits, ce qui correspond à un nombre de 78 chiffres. On estime entre 70 et 200 quintillions d'étoiles dans l'univers (10²²) ce qui est bien inférieur à un nombre à 256 bits (10⁷⁷). Ce système se base sur le principe de courbe elliptique (le EC, « eliptic curve » ...
Pourquoi cela ne va pas ?
D.J. Bernstein
, un cryptologue réputé écrit, en 2014, un article intitulé
: « Comment créer un système de signature à courbes elliptique : il y a beaucoup de choix. Le choix standard, ECDSA, est raisonnable si vous n'apportez aucune importance à la simplicité, la vitesse et la sécurité ». Bernstein argumente que ECDSA est basé sur le système proposé Taher ElGama
en 1985 et qu'en 1990 Claus Schnorr
a apporté des améliorations théoriques qui ont mené à la création de EdDSA
en 2011.
Si ni l'un et l'autre n'est résistant quantique⁴, EdDSA est architecturalement prêt à transitionner vers un monde post-quantique alors que ECDSA demandera de tout recommencer à zéro. Si l'ordinateur quantique devient une réalité en 2040, comme certains prédises, swiyu passera par la case poubelle.
La problématique est aussi avec le NIST
. Il s'agit de l'institut qui fournit les standards pour le gouvernement américain, ces standard sont suivis par le monde entier dans beaucoup de cas. Pour la sécurité numérique, il est traditionnel de suivre aveuglément cet institut. Le problème avec les courbes elliptiques, c'est qu'il y a eu un soupçon de manipulation par la
NSA
pour rendre les algorithmes suffisament faibles pour qu'elle puisse espionner massivement le monde. Ce qui fut fait
. C'est la version américaine de notre très suisse Crypto AG
.
Qui plus est, ECDSA est vulnérable a des attaques par chronométrage. Et des attaques pratiques ont été découvertes
sur l'implémentation de Intel et STMicroelectronics. Une attaque par chronométrage utilise le principe que si vous donnez des données à traiter à un système de chiffrement, les différences de temps pour effectuer les opérations permet de découvrir la clé privée et, donc, devenir officielement la Confédération dans le cadre de swiyu.
SHA-256, le hachage du passé
Une fonction de hachage est un processus cryptographique qui permet de générer une empreinte unique de n'importe quel document numérique. Utilisé pour vérifier si les données envoyées ont été modifiées durant le transfert. C'est la clé de voûte de la vérification de l'intégrité des données en informatique.
SHA-256 est encore sécurisée pour l'instant, elle appartient la famille SHA-2
et aucune faille n'est connue dessus. SHA-2 a remplacé SHA-1
qui fut cassé en 2005. Le fait que SHA-2 soit bâtit selon les mêmes principes que SHA-1, il est pas impossible que SHA-2 soit cassé dans un futur proche. C'est pourquoi, depuis 2012 le NIST a sélectionné et ajouté dans ses recommendations
actuelles la famille SHA-3
. Une famille qui se base sur une méthode nouvelle et qui permet une résistance quantique. Pour une nouvelle application, prendre directement les derniers développements en terme de technologies cryptographiques est plutôt le choix intelligent. Dans le cas des fonctions de hachage, prendre la famille SHA-3 aurait été la décision intelligente. Décision qui ne fut pas prise par l'équipe de swiyu.
swiyu : un assemblage de brouillons
Dans toutes les infrastructures informatiques, il est nécessaire d'avoir des formats de données et des protocoles pour échanger les données. Pour se faire, on se tourne généralement vers des organismes qui écrivent les normes utilisées un peu partout et les grands acteurs du monde informatique sont ISO³, IETF et W3C.
Avant d'être une norme, une proposition est un brouillon (draft) et, si le consensus est obtenu, le brouillon devient une norme. Tant que son status est un brouillon, il n'existe aucune garantie que cela devienne une norme. Lors du processus, une faille peut faire que le brouillon soit abandonné.
Dans le cas de swiyu, on nage en plein délire :

« Token Status List » un brouillon de norme de l'IETF dont la dernière version date de juillet 2025
. Cette norme est utilisée, dans swiyu comme méthode pour vérifier si une identité numérique a été révoquée ou non.
Les protocoles de communication sont toujours à l'état de brouillons (OID4VCI et OID4VP). Ces protocoles permettent d'échanger vos informations entre les différents acteurs de swiyu.
 SD-JWT VC » un brouillon dont la version 10 a été publiée en juillet 2025
. Le plus intéressant c'est qu'entre la version 9 et la version 10, la partie nécessaire pour le bon fonctionnement de swiyu a été retirée du brouillon
, potentiellement l’interaction prévue par swiyu ne sera pas dans la norme finale. Cette norme joue un rôle sur le système qui vous permet de divulguer ou non vos données personnelles auprès d'un fournisseur de service.
« SD-JWT » un brouillon dont la version 22 a été publiée en juin 2025
. Cette norme joue un rôle sur la même partie que le brouillon « SD-JWT VC ».
Il reste le protocole de confiance
 qui est un protocole fait maison par la confédération. Je n'ai pas pris la peine de lire ce document à ce stade.

swiyu : « device bound »
Derrière ce terme, ce cache que votre identité numérique est liée à votre smartphone. Je vous met au défi de trouver des informations sur comment résilier votre identité numérique si vous vous faites voler votre téléphone portable, personnellement je n'ai pas réussi à trouver.
Pour beaucoup d'utilisateurs de smartphone, téléphoner, échanger des mails et surfer le Web c'est uniquement par le smartphone. Donc la confédération doit encore imaginer une méthode qui ne passe pas par ces trois éléments, qui puisse être faites depuis l'étranger et qui soit disponible en temps réel. Si vous n'avez pas correctement sécurisé votre identité numérique, car les conditions d'utilisation le spécifie très bien
, la sécurité de
l'application est de votre responsabilité : si une panne technique de la confédération vous provoque un dommage, vous pouvez vous gratter (point 5.2). Et par la magie de « l'application », ce n'est plus la loi qui dirige l'identité numérique, mais bien « les conditions d'utilisation ». Vous savez, ces trucs qui changent tout le temps, sans préavis et qui finissent par dire que tous les péchés du monde sont de votre faute.
Pour les utilisateurs de la marque Apple, par contre, bonne chance. Quand un document technique
de swiyu à un titre « Regarding iOS » (iOS est le système qui tourne sur les appareils Apple) et que vous trouvez des phrases comme « ... it offers weaker guarantees ... » (il offre des garanties faibles). De plus quand vous voulez employer votre swiyu depuis un appareil Apple, le processus prévoit la génération des clé certifié par un serveur de chez Apple (« This key pair is then certified as having a valid origin by a remote Apple server »).
Bref, jetez votre iPhone et prenez un Android si vous souhaitez utiliser swiyu.
Peu d'utilité
De par sa structure, les sociétés voulant l'utiliser doivent être validées par l'état et, connaissant nos fonctionnaires fédéraux, le processus sera suffisamment velu pour que seul quelques services de l'état et des sociétés étatiques ou pseudo-privées (assurance maladie, CFF, Serafe, ...) l'utilisent concrètement. De fait, ce ne sera pas une solution pour le quotidien.
Peu probable que votre PME utilise ça pour sécuriser l'accès à son réseau, peu probable que vous puissiez signer numériquement des PDF avant longtemps ... Enfin, si. Si vous payez un prestataire de service externe et privé qui s'occupera de faire une identité numérique associée à votre swiyu ... et cela nous pousse au problème suivant.

Une identité gérée par des entreprises privées

De par sa structure, la rendre réellement utile au quotidien nécessitera de passer par des prestataires externes et, certainement, payant.
Le cas d'utilisation le plus utile sera certainement le Swiss ID de la Poste, dont le service est payant
. Swiss ID met en œuvre une solution autour de X.509, solution discutée plus loin.
Réellement swiyu a été conçue pour ménager le chèvre et le choux. L'identité numérique rejetée en 2021 par le peuple revient par la fenêtre. La confédération fait une identité numérique toute pétée qui nécessite des entreprises privées pour devenir utile et les entreprises privées qui avaient investit sur la loi de 2021 ne perdent pas leurs investissements. Vous aurez juste une multitude d'identités numériques dérivées de votre identité inutilisable au quotidien.
Non-révocation
Si vous vous faites voler votre identité numérique, il n'existe aucun moyen de révoquer la précédente. En effet, c'est un sujet encore en phase de conception et ce n'est pas certain qu'il existe, un jour, une méthode pour ce cas de figure. C'est donc la résistance de votre smartphone qui permettra de garder en sécurité.
Bien entendu, on vous expliquera que vous pouvez utiliser la fonctionnalité de localisation pour le retrouver ou alors la fonctionnalité de supprimer les données à distance ... dans le cas d'un vol, il est fort probable que les voleurs vont chercher à ne pas connecter votre smartphone le temps de de mettre à profit votre identité numérique.
La création d'une nouvelle identité numérique est donc le seul moyen de révoquer la précédente, c'est donc une course contre la montre entre le voleur et vous. Espérons que le vol ne se produit pas à l'étranger, sinon ça va vite devenir compliquer pour vous.
Une identité numérique dans un outil du quotidien
Mais c'est un des points les plus absurdes finalement. Le peu de fonctionnalités qu'offre swiyu, fait qu'il est absurde de la forcer sur un outil du quotidien comme un smartphone. La majorité des opérations que vous pourrez faire avec swiyu sont des opérations que l'on fait dans le confort de son bureau, à la maison. Pas dans le train. Au lieu d'une identité qu'on garde précieusement chez soit pour faire sa très rare demande de casier judiciaire ou d'extrait de poursuites, ils nous proposent de l'avoir tout le temps sur nous.
Une communication floue
Pour produire ce document, j'ai contacté les services d'information de la confédération. Mon impression est que le seul but de ces services est de noyer la vérité dans des tournures jusqu'à l'absurde. Voici un exemple de réponse :

Les clés cryptographiques de l'application swiyu sont générées pour chaque appareil et restent sur celui-ci. L'application Swiyu elle-même est sécurisée par un mot de passe ou des données biométriques. Comme mesure immédiate, nous recommandons de verrouiller ou d'effacer immédiatement l'appareil à l'aide de la fonction « Localiser mon iPhone » du système d'exploitation. Cela peut être fait facilement à partir d'un autre appareil appartenant à un membre de la famille ou à un ami. La Confédération est l'émetteur de l'e-ID et un processus de révocation est en cours d'élaboration pour celle-ci. À l'heure actuelle, il n'est pas encore certain qu'il y aura une auto-révocation comme pour la Beta-ID. ( Service de certification bêta pour la Beta-ID Beta Credential Service (BCS) – Département fédéral de justice et police DFJP)

Il s'agit de la réponse sur la question de la procédure pour révoquer swiyu après un vol ou une perte où je demandais, sachant qu'il n'y avait aucune procédure de révocation existante s'il y avait Est-il prévu une procédure "en personne" ?
La réponse était un mot : non. La réponse donnée ne répond pas à la question mais une grosse justification sur l'absence de système de révocation avec des emplâtres sur une jambe de bois pour compenser.
swiyu invente quelque chose, c'est donc normal d'être à la pointe
Non. Un système d'identité numérique complet et normalisé par ISO a été créé par l'UIT-T
en 1991, la série X.500
. Ce système est largement répandu et utilisé depuis de manière massive. Chaque fois que vous allez sur un site Web et que le petit cadenas est affiché, c'est que le site Web a présenté un certificat valide pour prouver son identité
, ce certificat est défini par le standard X.509
. Ce système est tellement répandu et utilisé que si il avait été adopté au lieu de l'infâme swiyu, au lendemain de la votation il devenait possible, sans aucune modification de l'infrastructure informatique de :

Signer vos mails avec votre identité numérique
Signer un PDF avec votre identité numérique
Présenter votre identité numérique à n'importe quel site web
Utiliser votre identité numérique pour vous connectez à votre WiFi (bien que les boxes pour la maison n’intègre pas cette technologie de par sa faible utilisation dans le domaine privé)
Les entreprises auraient pu faire un bon sécuritaire majeure en utilisant cette identité numérique
...

Qui plus est, des solutions résistantes au monde post-quantique sont déjà en train d'être testée.
Délégation
Avant la mode de la décentralisation, devenue très connue dans le publique grâce au bitcoin, il y avait la délégation parmi les méthodes de distribution du risque entre les entités. C'est d'ailleurs un élément majeur du protocole DAP, défini dans X.511
, il existe une version plus légère nommée LDAP
issu de l'IETF qui serait parfait pour une identité numérique. En effet, au lieu d'avoir la confédération qui gère TOUTES les identités, un système par délégation permettrait d'avoir chaque commune comme prenant en charge les identités des citoyens établis sur la commune. Pas de transmission d'informations nécessaire par le système de délégation du DAP/LDAP et, pour compromettre toutes les identités numériques, il faudrait réussir à attaquer les plus de 2000 communes suisses.
Pour information, toutes les entreprises utilisant des serveurs Microsoft ont en faite un système d'identité numérique pour tous les ordinateurs (si vous avez entendu le terme «l'ordinateur est dans le domaine»), utilisateurs, services, ... de l'entreprise basé sur le protocole LDAP. Et bien entendu ce système est entièrement compatible avec X.509.
Sécurité
Hormis le fait que ce système est exploité massivement depuis des dizaines d'années et qu'il est un élément majeur de la sécurité sur le Web, il est non seulement testé dans le monde réel depuis longtemps mais bénéficie de la plus grande attention sécuritaire des tous les acteurs des technologies numériques. Sa sécurité n'est pas à démontrée, elle a été démontrée depuis longtemps.
Open Source
Toute l'infrastructure est disponible en open source
ce qui permet d'avoir une infrastructure totalement souveraine et de, potentiellement, permettre aux entreprises suisses de devenir spécialistes dans ce domaine, ouvrant d'intéressantes perspectives économiques.
Conclusion
Swiyu est un désastre garanti. Avec son infrastructure où il suffit de pirater
la confédération
, dont le piratage de la fedpol en 2023
. Cette même fedpol qui devra garantir la sécurité de swiyu. Et avec l'identité des citoyens comme, elle deviendrait une cible très, très intéressantes. Au lieu de se baser sur des technologies numériques sûres et éprouvées, elle s'englue à proposer un bricolage sans vraiment avoir une vue à long terme sur la sécurité tout en se rendant dépendant de technologies non-maîtrisées et pas en main de la confédération.
Swiyu est encore une preuve d'inculture numérique de la confédération et, pour la protéger d'elle-même, il est nécessaire de voter non.

1. IETF est un organisme de normalisation responsable, par exemple, des normes qui font qu'Internet existe aujourd'hui.
2. W3C est un organisme de normalisation responsable, par exemple, des normes qui s'occupent de l'affichage des sites Web.
3. ISO est un organisme de normalisation responsable de normes dans divers domaines de l'informatique, à la construction jusqu'à avoir produit une norme pour faire infuser son thé noir
   .
4. La résistance quantique est la capacité à résister à une attaque par un ordinateur quantique pour casser le chiffrement.

Pour parvenir à cet outil de détection, l’équipe a analysé 13,7 millions de commentaires issus de treize canaux Telegram orientés politique et actualité. Résultat: 1,8% des messages étaient de la propagande. La majorité avait été diffusée par un réseau pro-russe, qui avait posté jusqu’à 5% de tous les messages sur certains canaux. Un réseau plus petit, pro-ukrainien, a aussi été repéré.

Comment fonctionnent les comptes de propagande

Le mécanisme de détection de l'EPFL repose sur un constat clé: les comptes de propagande ne lancent pas de discussions, mais réagissent aux commentaires contenant certains mots clés — comme Zelensky ou Poutine. «L’une des caractéristiques les plus notables de ces comptes est qu’ils publient des messages avec les mêmes formulations à différents endroits, parfois sur différents canaux», explique Carmela Troncoso, directrice du Laboratoire d’ingénierie de la sécurité et de la protection de la vie privée à l'EPFL. «Alors que les comptes ordinaires publient des messages uniques, les comptes de propagande forment de vastes réseaux qui diffusent les mêmes contenus de manière répétée». C'est cette fonctionnalité qui a été utilisée pour programmer le mécanisme lausannois.

already loving it 😍

à mettre en lien avec todo.txt et tout ce qui se finirait par .md ;-)

lire par ailleurs ce site : https://plaintext-productivity.net/

mon seul regret pour ne pas l’appliquer dans un contexte professionnel et qu’il ne m’est pas permis par Microsoft/OneDrive d’éditer sur Android puis resynchroniser des fichiers .txt créé sur ordinateur 😖

via https://ploum.net/2025-09-03-calendar-txt.html
via https://fabienm.eu/shaarli/shaare/wh4cyw