David Madore's WebLog: Télédéclaration d'impôts → foutage de gueule

Index of all entries / Index de toutes les entréesXML (RSS 1.0) • Recent comments / Commentaires récents

Entry #0923 [older|newer] / Entrée #0923 [précédente|suivante]:

(samedi)

Télédéclaration d'impôts → foutage de gueule

Je me suis naïvement dit que j'allais télédéclarer mes impôts cette année, en passant par le serveur Web spécial. Erreur fatale ! Après deux heures et demie passées à lutter, je capitule.

Déjà, techniquement, leur système est d'une stupidité inimaginable. Au lieu de proposer bêtement un formulaire HTML, avec un peu de magie JavaScript pour aider, le tout transitant sur une connexion HTTPS, ce qui marcherait très bien, ils éprouvent le besoin de mettre en place un système beaucoup plus compliqué et qui pose toutes sortes de problèmes sans apporter aucun avantage : à savoir, générer d'abord un certificat cryptographique censé identifier le citoyen télédéclarant, puis faire signer la déclaration par ce certificat. Pourquoi ? Parce qu'une règle débile de l'administration (du Code général des impôts, je suppose) dit que la déclaration d'impôts doit être signée, et quelque andouille a décidé que pour interpréter ça dans le contexte d'une télédéclaration il fallait une signature cryptographique[#]. Toute personne ayant quelques notions de cryptographie verra immédiatement la connerie du système (qui apporte une illusion de sécurité sans rien apporter de réel) : la « signature » en question ne vaut que par la confiance qu'on accorde au certificat (c'est-à-dire, au fait que le certificat représente bien le télédéclarant), et cette confiance a pour source le fait qu'il est capable[#2] de donner son numéro de télédéclarant, son numéro fiscal, et son revenu fiscal de référence de l'an dernier ; ergo : ça n'apporte rigoureusement rien de plus de générer d'abord un certificat qui ne vaut que par cette ténue preuve d'identité et faire signer la déclaration à ce certificat que de joindre tout simplement les informations prouvant l'identité à la déclaration.

Enfin, admettons. Le système est idiot, mais jusqu'à ce point il n'est pas prouvé qu'il est mauvais. Évidemment, la complexité du mécanisme fait qu'ils ont besoin de Java, et même d'une bibliothèque Java ad hoc, un module cryptographique pour signer la déclaration à partir du certificat (vous suivez ?). Java étant assez mal foutu, l'installation d'une bibliothèque Java va échouer sur plein de systèmes (notamment à peu près n'importe quel Unix ou bien un Windows quand on utilise un compte non-administrateur et qu'on a fait un peu attention aux permissions) parce qu'il va tenter d'installer la bibliothèque à un endroit où il n'a pas le droit d'écrire (au lieu de créer un répertoire chez l'utilisateur et le rajouter au classpath). Cette fois-ci, ce n'est pas l'administration française qu'on peut accuser d'idiotie, c'est Sun. Mais ce point est mineur, on peut facilement le contourner (en donnant à l'utilisateur le droit d'écrire dans les répertoires de la JVM, par exemple en en créant une pour lui).

Mais au bout du compte, ça ne marche toujours pas. J'obtiens le message d'erreur suivant :

Votre demande n'a pas pu aboutir.

L'accès au service est momentanément indisponible. Veuillez nous excuser pour la gêne occasionnée. Nous nous efforçons de rétablir le service dans les meilleurs délais.
Merci de bien vouloir vous reconnecter ultérieurement.

Pour plus d'informations, le service d'assistance est accessible selon la modalité de votre choix (assistance téléphonique, mél…).

Pour retourner à la page d'accueil du site, veuillez cliquer sur le bouton situé en haut de cette page.

Il est possible que leur site soit simplement saturé ou qu'ils aient un bête problème technique avec leur serveur. Mais il est aussi possible que ce soit autre chose : j'ai appris que l'an dernier des gens ont rencontré la même erreur et simplement changeant de navigateur (pour passer de Mozilla à Internet Explorer, sous Mac OS) le système a fonctionné. Autrement dit, au moins l'an dernier, ce message d'erreur était un pur mensonge et signifiait : Vous n'utilisez pas un navigateur qui nous plaît. J'ignore si c'est encore le cas cette année, mais je ne suis pas sûr de pouvoir prendre le risque d'attendre voir si le site se remet à marcher et voir ainsi passer la date limite pour la déclaration papier, sachant que si le « problème » est de mon côté (i.e., avec Mozilla ou Firefox sous Linux ça ne marche jamais) je peux toujours rêver que ça tombe en marche. Joie.

Alors bon, après tellement de temps passé à lutter contre les âneries du ministère et de Sun pour finalement tomber sur un message d'erreur douteux, je crois que je comprends pourquoi la télédéclaration ne remporte pas beaucoup de succès.

[#] Si vous voulez savoir, ce qu'on « signe » en fait, dans le cadre d'une télédéclaration, c'est un fichier pipo-XML (ce n'est pas du XML bien-formé, même si ça y ressemble) qui commence quelque chose comme ceci (évidemment je suis aller fouiller dans les données qu'échangent leurs immondes programmes Java et JavaScript, donc j'ai vu quel était le cœur de la déclaration) : <?xml version="1.0" encoding="ISO-8859-1"?> <FORM_XML VALUE=1-1-2042-2004> <?xml version="1.0" encoding="ISO-8859-1"?> <F2042> <REG_IMP>1</REG_IMP> <NUM_TRT>12</NUM_TRT> <TYPESAISIE> </TYPESAISIE> <CHANGEMENT_ADR> </CHANGEMENT_ADR> <ETATCIVIL> <NOMPRENOM>M MADORE, DAVID</NOMPRENOM>, et ainsi de suite. Quelque part j'ai du mal à imaginer que le fait d'ajouter la signature cryptographique par un certificat ad hoc et sans valeur sur un tel fichier pas très human-readable aurait une valeur juridique supérieure à celle de soumettre un formulaire Web ordinaire en cochant une case je certifie l'exactitude des renseignements ci-dessus.

[#2] Déjà, j'ai un problème, là : je ne vois aucune indication, où que ce soit, du fait que l'une quelconque de ces trois données soit censée être secrète. Autrement dit, je ne vois pas où on me conseille de ne pas publier sur mon blog, par exemple, mon numéro de télédéclarant, mon numéro fiscal, et mon revenu fiscal de référence. Dans ces circonstances, avoir le culot d'utiliser ces informations pour identifier quelqu'un, et prétendre ainsi authentifier son identité, est sacrément audacieux.

↑Entry #0923 [older|newer] / ↑Entrée #0923 [précédente|suivante]

Recent entries / Entrées récentesIndex of all entries / Index de toutes les entrées