Le dispositif d’authentification FranceConnect en voie de généralisation
La guerre du bouton
Le 04 juillet 2016 à 12h30
3 min
Internet
Internet
Sorti de sa phase d’expérimentation, FranceConnect passe à la vitesse supérieure. Le site Ameli.fr est désormais « fournisseur d’identité », et permet par exemple d’accéder à son solde de points du permis de conduire.
« L’année 2016 est bien celle de la généralisation de FranceConnect », ont annoncé les pouvoirs publics la semaine dernière, lors d’une conférence de presse dédiée au fameux dispositif d’authentification développé depuis 2014 par la Direction interministérielle au numérique (DINSIC). Le principe : pouvoir accéder à tout un ensemble de sites à l’aide d’un seul et même couple d’identifiant/mot de passe.
À l’origine, il était uniquement possible de s’authentifier via le login et mot de passe utilisés sur le site « impots.gouv.fr ». La Poste est ensuite devenue elle aussi un « fournisseur d’identité » (avec vérification à domicile par les facteurs). Depuis quelques jours, c’est Ameli.fr, le site de la Sécurité sociale, qui est entré dans la danse.
Un bouton « FranceConnect » permet dorénavant à l’utilisateur de sélectionner – s’il le souhaite – l’un de ces trois intermédiaires. FranceConnect se charge ensuite de transmettre au « fournisseur de service » auquel tente d’accéder l’internaute (pour une demande d’aide sociale par exemple) l’identité de l’usager. « Plus précisément, il lui fournit 6 données qui constituent son identité pivot : nom, prénom, sexe, date, lieu et pays de naissance. Sur la base de ces éléments, l’usager est reconnu par le fournisseur de service », expliquent les développeurs de FranceConnect.
Une vingtaine de services accessibles via FranceConnect
« Depuis qu’il est sorti de sa phase d’expérimentation, en mars 2016, le dispositif FranceConnect est utilisé par plus de 85 000 usagers, indique l’exécutif. Environ 2 000 nouveaux internautes par jour le sollicitent pour accéder à plus d’une vingtaine de services. » Ces derniers sont principalement liés à des démarches administratives traitées au niveau local (villes de Nîmes, Nancy, Montpellier...). Au plan national, les sites partenaires se révèlent assez peu nombreux pour le moment : essentiellement service-public.fr, qui permet de pré-remplir de nombreux formulaires, ou bien encore Télépoints, à partir duquel l’on peut connaître son solde de points du permis de conduire.
Plusieurs nouveaux partenaires devraient néanmoins proposer un bouton FranceConnect « prochainement » : la CNAV, la ville de Paris, la Banque de France ou encore le service de dépôt de pré-plaintes en ligne du ministère de l’Intérieur.
« Dites-le nous une fois » sur la rampe avec la loi Numérique
Rappelons enfin que dans le cadre du projet de loi Numérique, le législateur s’apprête à donner le coup d’envoi (sur un plan juridique) du programme « Dites-le nous une fois ». L’idée ? Permettre aux administrations de se transmettre des informations fournies une première fois par un usager : RIB, etc. Ce dispositif a naturellement vocation a fonctionner de pair avec FranceConnect.
Le dispositif d’authentification FranceConnect en voie de généralisation
-
Une vingtaine de services accessibles via FranceConnect
-
« Dites-le nous une fois » sur la rampe avec la loi Numérique
Commentaires (35)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 04/07/2016 à 12h38
Bonne initiative " />
Le 04/07/2016 à 12h38
Génial! J’ai eu mon solde de point via l’authentification d’Ameli.
C’est tout de même plus facile que de renvoyer tout un tas de papiers ;)
Le 04/07/2016 à 12h39
Punaise, j’espère que ça ne va pas se généraliser.
Ameli c’est pas secure du tout du tout. Un mot de passe à 8 chiffres c’est tout naze…
bref les pirates vont s’en donner à cœur joie.
Le 04/07/2016 à 12h43
{size matters}
tu sais que ta carte bancaire c’est 4 chiffres ?
{/size matters}
Le 04/07/2016 à 12h47
Le 04/07/2016 à 12h49
Le S.A.F.A.R.I. peut commencer.
Le 04/07/2016 à 12h55
Bon par contre, si on a déjà un compte FranceConnect on ne peut pas l’utiliser sur Ameli, c’est bien ca?
De même qu’avec les impôts.
C’est bien d’être fournisseur d’identité, mais ca serait bien aussi qu’ils soient “fournisseur de service” aussi.
J’ai fait mon compte FranceConnect depuis LaPoste (avec vérif par un facteur) mais je peux pas m’en servir là où j’en avais le plus besoin (les impots)
Le 04/07/2016 à 12h58
D’après les équipes de FranceConnect, ça devrait fonctionner dans le sens que vous évoquez dans le courant de l’année prochaine.
Le 04/07/2016 à 13h01
Pour les impôts et Ameli ?
Ca serait bien :)
Merci
Le 04/07/2016 à 13h02
Si je comprends bien : quand on s’inscrit la première fois à France Connect, on garde “à vie” le même identifiant dépendant du premier services à partir duquel on s’est connecté, c’est ça ?
Le 04/07/2016 à 13h15
" /> spotted.
On peut pas comparer un mdp et un PIN comme ça.
Le 04/07/2016 à 13h19
Le 04/07/2016 à 13h20
Il s’agit d’une fédération d’identité de type OpenID.
Pour ceux qui ne savent pas comment ca marche, l’authentification se fait via des IDP (identity provider) et les services sont appelés des SP (Service providers).
Chaque SP autorise toute la fédération ou un sous ensemble, s’ils ne font pas confiance à toute la chaîne
En ce qui concerne la sécurité de l’authentification, je recommande de choisir l’IDP qui a la plus forte sécurité (celui des impôts par exemples) et non celui d’Ameli.fr qui n’utilise que des chiffres.
Le 04/07/2016 à 19h24
C’est un honeypot ou pas ?
" />
Le 05/07/2016 à 06h00
C’est quand même pas très logique tout ça.
France Connect était pas censé être un truc centralisé d’authentification ?
Je comprends pas qu’il faille s’authentifier coté Ameli pour avoir accès à ces points du permis de conduire. Pardon mais c’est ubuesque.
Le 05/07/2016 à 06h01
Ce qui est incroyable c’est que l’ancien Mon Service Public permettait une authentification 2 étapes via un code envoyé par SMS et avec toutes les inquiétudes actuelles sur la sécurité, ils se sont pas dit qu’il faudrait le remettre sur France Connect … ça sent quand même l’incompétence !
Le 05/07/2016 à 06h15
Ameli ou les impots sont les seuls service qui peuvent garantir l’identité phyisique car leurs données sont connues du seul titulaire. La poste procède par vérification physique au domicile.
On ne peut pas simplement créer un compte “toto” et prétendre être MrY.
Le 05/07/2016 à 08h51
c’est justement ce qui fait leur valeur ajoutée.
maintenant il faudrait blinder la sécu.
Le 05/07/2016 à 14h31
Le 04/07/2016 à 13h22
Il me semble qu’Ameli bloque ton compte au bout de 3 échecs (comme le PIN d’une CB). Donc, ce n’est pas si insecure que ça. Ca va être dur de le brute-forcer (si c’est le blocage est bien implémenté).
Le 04/07/2016 à 13h24
c’est qui derrière France Connect ? Qui paie les salaires ?
il utilisent quoi comme logiciels troués ?
Ils n’ont pas déjà subit des intrusions ?
Extrait des CGU :
“4.5. Le SGMAP s’engage à contrôler les informations d’identité en faisant appel aux services
de l’INSEE et, le cas échéant, à corriger les attributs de l’identité de l’usager retournés par
le fournisseur d’identité avant leur transmission effective au fournisseur de service. La
responsabilité du SGMAP ne pourra être engagée en cas d’usurpation d’identité ou de toute
utilisation frauduleuse du Service.”
Ca sent le deni de responsabilité en tout cas….
Ce sera pour la pomme des utilisateurs en cas de problème…
Le 04/07/2016 à 13h26
Juste un login et un mot de passe?!
En Belgique, on peut se connecter avec la carte d’identité+PIN et un lecteur, ça passe ensuite avec une vérification par certificat.
Pour passer outre la carte/lecteur, on peut choisir un nom d’utilisateur + mot de passe mais la double authentification via application mobile est obligatoire.
Le 04/07/2016 à 13h30
oubhli :
https://doc.integ01.dev-franceconnect.fr/files/CDA%20FI%20-%20Corps%20juridique%…
Le 04/07/2016 à 13h31
L’emmedrant avec le login des impôts c’est qu’il faut le retenir (alors que son numéro de sécu en général on le sait par coeur)
Le 04/07/2016 à 13h36
plus qu’à tester ça.
Le 04/07/2016 à 13h38
Ouais non, en fait je me réponds : même si on s’est “inscrit” via les impôts, il suffit d’entrer ses identifiants AMELI pour se connecter… donc on peut pas choisir la paire login/passe la plus sécurisée : elles deviennent toutes valables.
Par contre sur Service-piblic.fr on peut consulter l’historique des accès aux divers services avec à chaque fois l’identifiant qui a été utilisé, on peut (encore faut il le faire) donc vérifier une utilisation usurpée, et révoquer un ID…
Le 04/07/2016 à 13h38
Le 04/07/2016 à 13h46
Moi ce que j’aimerai c’est que mon compte service-public.fr une fois validé via France connect puisse servir de source de login pour l’ensemble des services (comme l’ancien mon.service-public.fr)
Le 04/07/2016 à 14h17
C’est l’idée, si tu vas sur le site de ta commune pour payer la cantine ou la facture d’eau, en te connectant via france-connect ils peuvent récupérer certaines infos
Le 04/07/2016 à 14h18
+10. avec 2FA et basta.
Le 04/07/2016 à 14h20
non, tu te connectes via france-connect sur ameli.fr ou sur le site des impôts, qui sont juste moins sécu que ma boite mail.
en gros france-sécu est autant sécurisé que le moins sécurisé de ses fournisseurs d’identité.
Le 04/07/2016 à 14h41
Pour information, je vais viens de tester la consultation des points sur mon permis avec France connect.
A ma grande surprise, j’ai eu droit à un mail pour me prévenir de la connexion avec les identifiants impots.gouv.fr.
C’est pratique pour détecter les intrusions.
Le 04/07/2016 à 15h00
Le 04/07/2016 à 15h02
Pour moi il y a 2 choses.
Le 04/07/2016 à 17h30
Oui, ça va dans le bon sens !