Bonjour,
Je souhaitais acheter un nom de domaine en tant que particulier pour simplifier les configurations des mes services auto-hebergés puis pour jouer avec leur pile openstack.
J'ai reçu ce courriel :
> Cher client,
> ...
> OVHcloud attache une importance particulière en matière de sécurité client, c'est pourquoi nous souhaitons confirmer les informations que vous nous avez fournies.
> Afin de valider votre commande n°XXX, merci de répondre à cet email dans les 7 jours en nous faisant parvenir les documents suivants :
> Pour un compte individuel :
> - Un justificatif de domicile de moins de 3 mois, à votre nom et à l'adresse indiquée dans votre profil (relevé bancaire, facture de service public…).
> - Une copie recto-verso de votre pièce d'identité (Passeport, Carte Nationale d'Identité)
> ...
Pour une facture EDF, passons, mais demander une copie de la carte d'identité (pour moi c'est niet), on se croirait chez les loueurs de surf sur la côte (mes excuses aux loueurs de surfs sur la côte pour qui j'ai beaucoup d'estime et qui n'ont pas la même expertise ni les moyens d'OVH).
L'une des raisons d'être de FranceConnect ( https://api.gouv.fr/les-api/franceconnect) ou de France Identité (https://france-identite.gouv.fr/ pas encore mature sans clé matérielle) est justement de pouvoir identifier les particuliers sans avoir à fournir justement des pièces d'identité façon archaïque.
Je ne dit pas que c'est simple à intégrer mais de la part d'OVH qui s'attache à la sécurité du client (cf le mail de leur part), qui devrait avoir toute l'expertise nécessaire, cela me laisse plus que dubitatif.
Savez-vous si ces intégrations sont envisagées rapidement côté OVH car cela serait plutôt cohérent pour une structure qui porte l'étiquette SecNumCloud, qualif ANSSI toussa toussa ... ?
Merci par avance pour toutes vos réponses, en espérant que celles si puissent ouvrir le sujet.
Hébergement Web-old - Vérification d'identité particulier et achat nom de domaine
Related questions
- [RESOLU] Server unable to read htaccess file, denying access to be safe
72972 
24.11.2019 19:11
- Version php 7.0 sur Ovh mais php 5.4.45 sur mon wordpress
67750 10.01.2019 11:14
- Effacer wordpress d'OVH et reinstaller
67078 08.09.2019 21:02
- Comment récupérer son mot de passe phpmyadmin ?
66491 14.11.2016 10:32
- Changer la version d'une base de donnée en mutualisé
63812 22.12.2016 11:46
- Résiliation hébergement
63731 27.07.2018 10:39
- Ne supporte pas FTP sur TLS
63652 11.12.2018 18:48
- Variable upload_max_filesize plus grande que post_max_size
56369 11.06.2017 16:01
- Résiliation hébergement+domaine
55304 11.09.2018 20:28
- Transfert hebergement et domaine .fr entre client OVH ?
53765 21.12.2016 15:10
Bonjour,
La demande pour l'acquisition du nom de domaine est legitime et il est tout fait normal qu'OVH demande la pièce d'identité.
Ces données ne peuvent pas être rendus publique (voir configuration une fois le domaine validé).
C'est une procédure légale, tout propriétaire (locataire) de domaine doit être identifiable, sinon ca serait un peu la foire au saucisson...
Lorsque que l'on ouvre un abonnement chez un opérateur téléphonique, cela ne pose pas de soucis de fournir sa carte d'identité..
La Belgique est en avance sur la France à ce niveau.
Pour créer un nom de domaine .BE, il faut valider son adresse domicile au moyen de sa signature électronique.
Cette signature électronique est matérialisée par une puce sur la carte d'identité, ceci depuis 2003.
Ceci requiert un lecteur de carte assez standard.
Le système est aujourd'hui dédoublé avec une application Android/iOS qui s'appelle itsme.
Donc oui, vous devez montrer patte blanche et OVH a le devoir et l'obligation de vérifier que vos informations sont correctes.
Bonjour,
Sauf que cela peut s'appliquer à n'importe quel domaine pour n'importe quel utilisateur du coup si OVH doit implémenter les API de chaque pays c'est pas gagné.
La seule chose qui pourrait être sympa serait le système européen mais là encore il est pas déployés dans tous les pays et valide en Europe uniquement.
Note : en France les hebergeurs ont l'obligation de confirmer l'identité de leur client pour pouvoir les fournir en cas de réquisition judiciaire et plus des règles des registre de nom de domaine.
Cordialement, janus57
Bonjour,
Merci à tous pour vos réponses.
Je ne conteste pas le fait qu'OVH ait besoin de vérifier l'identité de ses clients, je conteste la méthode que je trouve archaïque pour un opérateur numérique majeur de l'écosystème européen ayant de plus ses racines en France (qualif ANSSI secNumCloud...).
Quand on parle de sécurité on essaie d'abord d'avoir une hygiène irréprochable de mon point de vue.
La raison d'être d'un fournisseur d'identité (tiers de confiance) basé sur OpenID connect (tel que FranceConnect) est de pouvoir déléguer la vérification d'identité d'un individu en ne transmettant que les attributs nécessaires. Je suis fortement surpris qu'OVH n'ait semble-t-il pas entamé cette démarche.
Lorsque la solution existe et est éprouvée, je trouve dommage de ne pas y aller (exemple de la Belgique). Dans la cas où la solution n'existe pas, alors oui on peut retomber dans l'ancienne pratique de la fourniture de la copie de la pièce d'identité (protégé par filigrane cf : https://filigrane.beta.gouv.fr/, ces copies barrées seraient-elles acceptées ?).
Pour info, la législation concernant les opérateurs numériques demande à ce que les pièces soient supprimées immédiatement après vérification de l'identité, ce qui n'est absolument pas mentionné explicitement (il y'a tout un tas d'articles officiels concernant ces droits et devoirs et les pratiques habituelles ne signifient pas que c'est légal (bien que si je dis à un bailleur t'auras pas la copie de ma carte tu peux tout à fait la vérifier comme peuvent le faire les commerçants et noter le numéro de série, il va m'envoyer bouler ...)).
Si des systèmes tels que FranceConnect, France Identité apparaissent, c'est bien pour répondre à ce besoin et pour éviter de disséminer des pièces sensibles dans des systèmes de stockage de données divers. Quel opérateur numérique qui veut aller vers plus de sécurité peut entamer ce changement, si ce n'est OVH (et les banques, mais là encore c'est pas ça) ?
Je ne dit pas que c'est simple, mais ils ont à priori toutes les compétences pour franchir ce pas. Ne pas le faire, c'est pour moi ternir la qualité de leur offre.
J'apprécie les mises à disposition d'outils tels que les API OVH (ex: Challenge DNS-01 Lets Encrypt ...) et leur pile technique, mais je n'ai pas de besoin vital du domaine et je peux encore le souscrire ailleurs. J'aurais souhaité jouer avec leurs outils mais transmettre mon identité sous cette forme repoussera mes expérimentations chez eux.
En tout cas merci d'avoir nourri le débat.
Cro