Connexion
Abonnez-vous

Le dispositif d’authentification FranceConnect en voie de généralisation

La guerre du bouton

Le dispositif d'authentification FranceConnect en voie de généralisation

Le 04 juillet 2016 à 12h30

Sorti de sa phase d’expérimentation, FranceConnect passe à la vitesse supérieure. Le site Ameli.fr est désormais « fournisseur d’identité », et permet par exemple d’accéder à son solde de points du permis de conduire.

« L’année 2016 est bien celle de la généralisation de FranceConnect », ont annoncé les pouvoirs publics la semaine dernière, lors d’une conférence de presse dédiée au fameux dispositif d’authentification développé depuis 2014 par la Direction interministérielle au numérique (DINSIC). Le principe : pouvoir accéder à tout un ensemble de sites à l’aide d’un seul et même couple d’identifiant/mot de passe.

À l’origine, il était uniquement possible de s’authentifier via le login et mot de passe utilisés sur le site « impots.gouv.fr ». La Poste est ensuite devenue elle aussi un « fournisseur d’identité » (avec vérification à domicile par les facteurs). Depuis quelques jours, c’est Ameli.fr, le site de la Sécurité sociale, qui est entré dans la danse.

franceconnect

Un bouton « FranceConnect » permet dorénavant à l’utilisateur de sélectionner – s’il le souhaite – l’un de ces trois intermédiaires. FranceConnect se charge ensuite de transmettre au « fournisseur de service » auquel tente d’accéder l’internaute (pour une demande d’aide sociale par exemple) l’identité de l’usager. « Plus précisément, il lui fournit 6 données qui constituent son identité pivot : nom, prénom, sexe, date, lieu et pays de naissance. Sur la base de ces éléments, l’usager est reconnu par le fournisseur de service », expliquent les développeurs de FranceConnect.

Une vingtaine de services accessibles via FranceConnect

« Depuis qu’il est sorti de sa phase d’expérimentation, en mars 2016, le dispositif FranceConnect est utilisé par plus de 85 000 usagers, indique l’exécutif. Environ 2 000 nouveaux internautes par jour le sollicitent pour accéder à plus d’une vingtaine de services. » Ces derniers sont principalement liés à des démarches administratives traitées au niveau local (villes de Nîmes, Nancy, Montpellier...). Au plan national, les sites partenaires se révèlent assez peu nombreux pour le moment : essentiellement service-public.fr, qui permet de pré-remplir de nombreux formulaires, ou bien encore Télépoints, à partir duquel l’on peut connaître son solde de points du permis de conduire.

Plusieurs nouveaux partenaires devraient néanmoins proposer un bouton FranceConnect « prochainement » : la CNAV, la ville de Paris, la Banque de France ou encore le service de dépôt de pré-plaintes en ligne du ministère de l’Intérieur.

« Dites-le nous une fois » sur la rampe avec la loi Numérique

Rappelons enfin que dans le cadre du projet de loi Numérique, le législateur s’apprête à donner le coup d’envoi (sur un plan juridique) du programme « Dites-le nous une fois ». L’idée ? Permettre aux administrations de se transmettre des informations fournies une première fois par un usager : RIB, etc. Ce dispositif a naturellement vocation a fonctionner de pair avec FranceConnect.

Commentaires (35)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Bonne initiative <img data-src=" />

votre avatar

Génial!&nbsp; J’ai eu mon solde de point via l’authentification d’Ameli.

C’est tout de même plus facile que de renvoyer tout un tas de papiers ;)

votre avatar

Punaise, j’espère que ça ne va pas se généraliser.



Ameli c’est pas secure du tout du tout. Un mot de passe à 8 chiffres c’est tout naze…



bref les pirates vont s’en donner à cœur joie.

votre avatar

{size matters}

tu sais que ta carte bancaire c’est 4 chiffres ?

{/size matters}

votre avatar







thecis a écrit :



Punaise, j’espère que ça ne va pas se généraliser.





Ben si, c’est le but <img data-src=" />







thecis a écrit :



Ameli c’est pas secure du tout du tout. Un mot de passe à 8 chiffres c’est tout naze…





Sauf que du coup, c’est le portail d’authentification France Connect qui remplace celui d’Ameli, donc le MDP n’est plus à 8 chiffres <img data-src=" />


votre avatar

Le S.A.F.A.R.I. peut commencer.

votre avatar

Bon par contre, si on a déjà un compte FranceConnect on ne peut pas l’utiliser sur Ameli, c’est bien ca?

De même qu’avec les impôts.

C’est bien d’être fournisseur d’identité, mais ca serait bien aussi qu’ils soient “fournisseur de service” aussi.

J’ai fait mon compte FranceConnect depuis LaPoste (avec vérif par un facteur) mais je peux pas m’en servir là où j’en avais le plus besoin (les impots)

votre avatar

D’après les équipes de FranceConnect, ça devrait fonctionner dans le sens que vous évoquez dans le courant de l’année prochaine.

votre avatar

Pour les impôts et Ameli ?

Ca serait bien :)

Merci

votre avatar

Si je comprends bien : quand on s’inscrit la première fois à France Connect, on garde “à vie” le même identifiant dépendant du premier services à partir duquel on s’est connecté, c’est ça ?

votre avatar

<img data-src=" /> spotted.



On peut pas comparer un mdp et un PIN comme ça.

votre avatar







thecis a écrit :



Punaise, j’espère que ça ne va pas se généraliser.



Ameli c’est pas secure du tout du tout. Un mot de passe à 8 chiffres c’est tout naze…



bref les pirates vont s’en donner à cœur joie.









Mouais, c’est surtout si la machine depuis laquelle tu te connectes est compromises que ca risque de faire des dégâts (vols d’identifiants).


votre avatar

Il s’agit d’une fédération d’identité de type OpenID.



Pour ceux qui ne savent pas comment ca marche, l’authentification se fait via des IDP (identity provider) et les services sont appelés des SP (Service providers).

Chaque SP autorise toute la fédération ou un sous ensemble, s’ils ne font pas confiance à toute la chaîne



En ce qui concerne la sécurité de l’authentification, je recommande de choisir l’IDP qui a la plus forte sécurité (celui des impôts par exemples) et non celui d’Ameli.fr qui n’utilise que des chiffres.

votre avatar

C’est un honeypot ou pas ?&nbsp;



<img data-src=" />

votre avatar

C’est quand même pas très logique tout ça.



France Connect était pas censé être un truc centralisé d’authentification ?



Je comprends pas qu’il faille s’authentifier coté Ameli pour avoir accès à ces points du permis de conduire. Pardon mais c’est ubuesque.

votre avatar

Ce qui est incroyable c’est que l’ancien Mon Service Public permettait une authentification 2 étapes via un code envoyé par SMS et avec toutes les inquiétudes actuelles sur la sécurité, ils se sont pas dit qu’il faudrait le remettre sur France Connect … ça sent quand même l’incompétence !

votre avatar

Ameli ou les impots sont les seuls service qui peuvent garantir l’identité phyisique car leurs données sont connues du seul titulaire. La poste procède par vérification physique au domicile.

On ne peut pas simplement créer un compte “toto” et prétendre être MrY.

votre avatar

c’est justement ce qui fait leur valeur ajoutée.

maintenant il faudrait blinder la sécu.

votre avatar







hellmut a écrit :



non, tu te connectes via france-connect sur ameli.fr ou sur le site des impôts, qui sont juste moins sécu que ma boite mail.



en gros france-sécu est autant sécurisé que le moins sécurisé de ses fournisseurs d’identité.





Je ne parlais pas de la sécurité mais de l’information partagée entre les données disponibles sur ton compte sur impots, ameli, la poste et le site de la mairie ou autre. Ils expliquent dans “Données usager” les données récupérer par le site de la mairie :https://doc.integ01.dev-franceconnect.fr/fournisseur-service#sign_in


votre avatar

Il me semble qu’Ameli bloque ton compte au bout de 3 échecs (comme le PIN d’une CB). Donc, ce n’est pas si insecure que ça. Ca va être dur de le brute-forcer (si c’est le blocage est bien implémenté).

votre avatar

c’est qui derrière France Connect ? Qui paie les salaires ?

il utilisent quoi comme logiciels troués ?

Ils n’ont pas déjà subit des intrusions ?



&nbsp;Extrait des CGU :

“4.5. Le SGMAP s’engage à contrôler les informations d’identité en faisant appel aux services

de l’INSEE et, le cas échéant, à corriger les attributs de l’identité de l’usager retournés par

le fournisseur d’identité avant leur transmission effective au fournisseur de service. La

responsabilité du SGMAP ne pourra être engagée en cas d’usurpation d’identité ou de toute

utilisation frauduleuse du Service.”



Ca sent le deni de responsabilité en tout cas….

Ce sera pour la pomme des utilisateurs en cas de problème…

votre avatar

Juste un login et un mot de passe?!



En Belgique, on peut se connecter avec la carte d’identité+PIN et un lecteur, ça passe ensuite avec une vérification par certificat.

Pour passer outre la carte/lecteur, on peut choisir un nom d’utilisateur + mot de passe mais la double authentification via application mobile est obligatoire.

votre avatar
votre avatar

L’emmedrant avec le login des impôts c’est qu’il faut le retenir (alors que son numéro de sécu en général on le sait par coeur)

votre avatar

plus qu’à tester ça.

votre avatar

Ouais non, en fait je me réponds : même si on s’est “inscrit” via les impôts, il suffit d’entrer ses identifiants AMELI pour se connecter… donc on peut pas choisir la paire login/passe la plus sécurisée : elles deviennent toutes valables.



Par contre sur Service-piblic.fr on peut consulter l’historique des accès aux divers services avec à chaque fois l’identifiant qui a été utilisé, on peut (encore faut il le faire) donc vérifier une utilisation usurpée, et révoquer un ID…

votre avatar







tifounon a écrit :



Mouais, c’est surtout si la machine depuis laquelle tu te connectes est compromises que ca risque de faire des dégâts (vols d’identifiants).





En tous cas, pas d’inquiétude coté serveur, on ne rigole pas avec la sécurité sur les sites du gouvernement:

http://i.imgur.com/HWOZK0D.png

<img data-src=" />


votre avatar

Moi ce que j’aimerai c’est que mon compte service-public.fr une fois validé via France connect puisse servir de source de login pour l’ensemble des services (comme l’ancien mon.service-public.fr)

votre avatar

C’est l’idée, si tu vas sur le site de ta commune pour payer la cantine ou la facture d’eau, en te connectant via france-connect ils peuvent récupérer certaines infos

votre avatar

+10. avec 2FA et basta.

votre avatar

non, tu te connectes via france-connect sur ameli.fr ou sur le site des impôts, qui sont juste moins sécu que ma boite mail.



en gros france-sécu est autant sécurisé que le moins sécurisé de ses fournisseurs d’identité.

votre avatar

Pour information, je vais viens de tester la consultation des points sur mon permis avec France connect.

A ma grande surprise, j’ai eu droit à un mail pour me prévenir de la connexion avec les identifiants impots.gouv.fr.



C’est pratique pour détecter les intrusions.

votre avatar







thecis a écrit :



Punaise, j’espère que ça ne va pas se généraliser.



Ameli c’est pas secure du tout du tout. Un mot de passe à 8 chiffres c’est tout naze…



bref les pirates vont s’en donner à cœur joie.



Bah, utilises alors impots.gouv.fr …. :)


votre avatar

Pour moi il y a 2 choses.




  • France connect est un bon réseau de preuve d’identité physique. Mais en tant que SSO c’est chiant pour les identifiants (sauf peut être le compte laposte).

  • l’ancien mon.service-public.fr était un chouette SSO (j’utilisais mon identifiant “supertoto” pour aller sur les impots). Mais ce n’est plus le cas du nouveau service-public.fr (qui est un service mais plus une source de login pour faire le trajet SPFR-&gt; impots. Par contre l’inverse est possible via France connect : impots -&gt; SPFR ).

votre avatar

Oui, ça va dans le bon sens !

Le dispositif d’authentification FranceConnect en voie de généralisation

  • Une vingtaine de services accessibles via FranceConnect

  • « Dites-le nous une fois » sur la rampe avec la loi Numérique

Fermer