France Identité teste la preuve d’âge avec un « double anonymat »… qui n’est pas anonyme

Mr Patate, le retour !

France Identité teste la preuve d’âge avec un « double anonymat »… qui n’est pas anonyme

France Identité est en train d’ajouter une corde à son arc : la vérification de l'âge. Entre les sites pornos réservés aux plus de 18 ans et les réseaux sociaux aux plus de 15 ans, c’est dans l’air du temps.

Le 02 février à 16h48

Commentaires (42)

votre avatar
Pourquoi forcément passer par une application et carrément la carte d'identité, alors que France Connect pourrait amplement suffire ?

Franchement, c'est pas très sérieux.
votre avatar
Parce que l'hébergeur de France Connect aurait alors à la fois ton identité et le site depuis lequel tu te connectes, donc on est sur de la double transparence, pas du double anonymat :p
votre avatar
pas du double anonymat :p
double confidentialité, le môssieur a dit :p
votre avatar
C'est pas exactement la même chose pour l'hébergeur de France Identité ? 🤔
votre avatar
Non, parce que France Identité génère une attestation cryptographique qui est donnée à l'utilisateur, là où France Connect est conçu pour certifier l'identité auprès du site. Dans la technique utilisée c'est très très différent.

France Connect faut le voir plus comme un notaire : il valide ton identité puis vas attester en personne de ton identité auprès du site. Ce notaire a connaissance à la fois de ton identité, et du site visité. Le site est absolument certain de ton identité, puisque le notaire est venu en personne la prouver. C'est presque infaillible.

France Identité c'est plutôt comme un tiers qui rédige une attestation : tu montres ta carte d'identité à France Identité, qui rédige un document "j'atteste que la personne porteuse de ce certificat a plus de 18 ans" et le donne à l'utilisateur, qui peut ensuite le filer au site. France Identité n'a alors que l'information que Michel Dupont a généré une attestation, mais pas pourquoi il l'a utilisée. Le site ne peut toutefois pas être 100% certain que l'attestation n'a pas été créée par le père de l'utilisateur qui lui aurait donné, donc sécurité plus faible*.

L'approche de France Connect est prévue pour de l'authentification (très) forte, c'est beaucoup plus fiable car il n'y a aucun risque de contournement de l'attestation, mais ça laisse énormément de traces (et ce n'est pas vraiment grave que l'État sache que tu t'es connecté au portail des impôts).
L'approche qu'ils veulent mettre dans France Identité est beaucoup plus faible en sécurité (toutefois amplement suffisant pour de la vérification d'âge) mais c'est beaucoup plus confidentiel (car c'est dangereux de laisser l'État savoir quel réseau social ou site de porno chaque français visite).

* : ça peut être rendu grandement plus difficile en faisant des attestations valables à peine quelques dizaines de secondes à minutes et envoyées de manière automatisées par le logiciel.
votre avatar
Merci pour le détail.
Du coup, si j'ai bien compris, France Identité ressemble à la proposition faite en commentaire d'un autre article.
Mais pourquoi diable compliquer autant chose et forcément passer par une application mobile, plutôt que de passer par une extension qui se connecte à FranceConnect pour récupérer l'information de l'âge, par exemple ?
votre avatar
plutôt que de passer par une extension qui se connecte à FranceConnect pour récupérer l'information de l'âge, par exemple ?
Quid de la garantie que la personne est bien la détentrice du compte et que l'extension n'ira pas lire l'historique de navigation pour faire un lien avec la requête et les sites visités ?

Même si l'appli smartphone c'est pas ma préférence non plus, ça reste un système déconnecté de la requête initiale.
votre avatar
Après, je trouve qu'ils ont vraiment raté le branding France Connect / France Identité, c'est très confus pour la majorité des utilisateurs. Des noms proches mais toutefois différents, avec France Connect qui peut rediriger sur France Identité, mais France Identité qui a des fonctionnalités propres...
votre avatar
Pour le fait que la personne est bien la détentrice du compte, ça, c'est le boulot de France Connect.

Et pour l'extension, celle-ci DOIT être open source, selon moi, pour qu'on puisse avoir confiance en elle, et donc qu'on puisse s'assurer qu'elle ne fasse pas ce que tu décris.
votre avatar
ça peut être rendu grandement plus difficile en faisant des attestations valables à peine quelques dizaines de secondes à minutes et envoyées de manière automatisées par le logiciel.

Certes mais dans ce cas , pour moi tu augmentes la possibilité de corrélation , ton attestation devient une sorte de "token unique" pour le site web vu qu'il faut en re-générer une pour aller sur un autre site .
Ce qui reste moins vrai si l'attestation n'est générée qu'une fois , et réutilisable sur de multiples sites.
Il faut toujours prévoir que , demain , la base de donnée des sites en question et la base de donnée de France Identité se retrouvera disponible publiquement.
votre avatar
Ce serait l'exact inverse : il est plus confidentiel d'utiliser une attestation toute neuve à chaque visite sur un site qu'utiliser la même plusieurs fois.

Si je vais 5 fois sur le même site en utilisant à chaque fois la même attestation valable jusqu'au 12 septembre 2027 à 19h34m56s675ms, le site pourra être presque certain que c'est la même personne qui a visité ces 5 fois. Alors que si à chaque visite je lui envoie une attestation complètement différente, c'est plus complexe à corréler.

On peut étendre la méthode de fingerprinting aux sites du même groupe, par exemple les réseaux de Méta ou les sites d'Aylo (Pornhub, Youporn, Redtube). On peut également imaginer que les régies publicitaires présentes sur plusieurs de ces sites utilisent également cette méthode de fingerprinting.

Théoriquement, France Identité n'est pas censé stocker les identifiants de l'attestation, pas plus que les sites visités (qui n'ont aucun intérêt à la stocker si ça ne permet pas de faire du fingerprint) mais même s'ils le stockaient, ça serait bien complexe de pirater France Identité ET le site visé pour pouvoir obtenir des corrélations. Et cela impliquerait que France Identité stocke aussi le lien entre identité réelle et identifiant d'attestation, ce qui est plus qu'improbable, à défaut même en piratant les deux bases on aurait juste la liste des comptes qui ont prouvé leur age.
votre avatar
C'est drôle... encore un truc sur lequel on a des points de vue opposés.

Content de pas bosser avec toi ;-) !
votre avatar
Content de pas bosser avec toi ;-) !
C'est dommage, car c'est justement dans ce genre de situation que l'on est mieux à même d'apprécier tous les tenants et aboutissants et de peser le pour et le contre de chaque solution ;)

C'est d'autant plus dommage que pour le coup, @CharlesP. a 100% raison :D
votre avatar
Quand un truc commence par "Théoriquement, XXXXX n'est pas censé stocker YYYY", pour moi c'est perdu d'avance.

Après je bosse pas non plus avec toi, ouf :francais:
votre avatar
C'est perdu d'avance, mais tu te plains d'un point qui est commun à vos deux approches. J'espère que tu ne bosses pas avec toi-même non plus ;)
votre avatar



[mode semi troll]
Si au lieu de tout ça on appliquait la Loi déjà existante.
Je pense à celle-là :
_____________
Article 441-1
Constitue un faux toute altération frauduleuse de la vérité, de nature à causer un préjudice et accomplie par quelque moyen que ce soit, dans un écrit ou tout autre support d'expression de la pensée qui a pour objet ou qui peut avoir pour effet d'établir la preuve d'un droit ou d'un fait ayant des conséquences juridiques.

Le faux et l'usage de faux sont punis de trois ans d'emprisonnement et de 45 000 euros d'amende.
____________
Pour même si ça semble leger, le portail qui demande "êtes-vous majeur" est suffisant.

C'est à la justice de poursuivre les individus qui font une fausse déclaration.
La faute est là leur, non ?
PS : Oui, il sont mineurs, mais justement c'est un parent responsable d'en assumer la conséquence.
C'est aussi ça l'éducation.
votre avatar
PS : Oui, il sont mineurs, mais justement c'est un parent responsable d'en assumer la conséquence.
En droit français, nul n'est responsable pénalement que de son propre fait. Les parents ne sont pas responsable des délits commis par leurs enfants mineurs. À l'inverse, les mineurs sont pénalement responsables dès 13 ans, et même avant si l'enquête détermine qu'ils disposaient de leur capacité de discernement.
votre avatar
Bonjour,
Je suis en train de cherché plus spécifique mais j'ai déjà un contre exemple :
[https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000051786000#:~:text=sommaire%20du%20code-,Article%201242,-Version%20en%20vigueur]
Code civil
Livre III : Des différentes manières dont on acquiert la propriété (Articles 711 à 2278)
Titre III : Des sources d'obligations (Articles 1100 à 1303-4)
Article 1100 Article 1100-1 Article 1100-2
II : La responsabilité extracontractuelle (Articles 1240 à 1254)
Chapitre Ier : La responsabilité extracontractuelle en général (Articles 1240 à 1244)

Article 1242
[...]
Les parents, en tant qu'ils exercent l'autorité parentale, sont, de plein droit, solidairement responsables du dommage causé par leurs enfants mineurs, sauf lorsque que ceux-ci ont été confiés à un tiers par une décision administrative ou judiciaire.
[...]*

Cela ce rapport à la propriété (c'est pour cela que j'ai mi tout le chemin)
Mais les parents sont bien responsable (du moins dans ce contexte) des actes de leurs enfants.
votre avatar
Ne pas confondre responsabilité civile et pénale
votre avatar
Par définition, dans le code civil, il n'y a pas de pénal.

Oui les parents sont responsables civilement de leurs enfants (y compris quand ceux-ci commettent une infraction pénale). Pas pénalement.

En gros et pour résumer : les parents doivent payer/réparer les dommages causés par leur progéniture avant ses 18 ans. En revanche, ils ne peuvent pas prendre d'amende ou de peine de prison pour les actes commis par leurs enfants mineurs. Et c'est bien le mineur qui aura un casier judiciaire, pas le parent.

Pour résumer encore plus, si un enfant vole la calculatrice de son petit camarade et la détruit :
- C'est l'enfant qui sera condamné pour vol et destruction de bien, et si le juge est particulièrement énervé et que l'enfant a au moins 13 ans, il pourrait théoriquement aller en prison pour ça.
- Par contre, c'est au parent de rembourser la calculatrice à la famille du petit camarade.
votre avatar
Comme ci-dessus.
Autan pour moi, j'avais oublié la distinction civil-pénal.

Indépendement je suis tombé sur cette article :
https://www.avocat-rouaselbazis.com/la-responsabilite-civile-et-penale-des-parents-du-fait-de-leur-enfant_ad349.html

Et j'ai trouvé cette parti interessante :
[...]
Les parents peuvent-ils encourir des poursuites pénales dans le cas d’infractions commises par leur enfant ?


Oui, un parent peut être responsable pénalement du fait de son enfant, mais seulement lorsqu’il s’est soustrait « sans motif légitime, à ses obligations légales au point de compromettre la santé, la sécurité, la moralité ou l'éducation de son enfant mineur » (article 227-17 du Code pénal).

Ces obligations parentales sont toutes les obligations liées à l’autorité parentale (article 371-1 du Code civil).



Donc, il faut prouver une réelle défaillance des parents dans l’éducation de leurs enfants. Cela montre un système de responsabilité qui n’est finalement pas tellement contraire au principe de personnalité des peines, puisque le parent sera poursuit pénalement pour une « faute » dans l’exercice de son autorité parentale.
[...]
Pour reprendre mon exemple, ce n'est pas au titre de la "faute du mineur" (cf. mpon exemple de fausse déclaration) mais au manquement des obligations morales. (si j'ai bien compris)

Merci pour les précisions apportées.

[Mode FULL TROLL ; donc c'est pour rire]
Donc à nous tous de nous porter civil contre tout les parents qui laissent leur môme aller sur des sites de Q ; Et à cause de qui on est obligé de montrer patte-blanche maintement....

PS : Patte-blanche...., sans mauvais jeu de mot.
votre avatar
Ah oui, donc l'application utilisée pour prouver que l'on est majeur est réservée aux majeurs.

Pas mal, non?
C'est français.
votre avatar
Pour utiliser France Identité, il faut « être majeur », disposer d’un smartphone compatible et d’une Carte Nationale d’Identité française (les nouvelles, au format CB).
Et signer un contrat de droit privé avec une société américaine au choix : Alphabet ou Apple.

Sinon, ça va chez vous ?
votre avatar
Et aussi être français, ce qui n'est pas le cas de tout ceux qui vivent ou sont simplement de passage en France.
votre avatar
Effectivement, pas moyen de l'avoir depuis Aurora Store.

De toute façon je n'ai pas la nouvelle carte et je n'ai pas l'intention de corriger cela. Plus simple de prendre un VPN.
votre avatar
Mais enfin Next, "on n'en est plus au débat technique" !
C'est l'ancienne ministre de l'IA Chappaz qui le dit : https://video.lqdn.fr/w/1CEdRZqXEXVsJ1pTB3ZN4U, vous êtes dépassés !

Et aussi « n'allez pas nous faire croire que les milliers d'ingénieurs [...] des entreprises des réseaux sociaux ne sont pas capables d'utiliser l'IA pour vérifier l'âges des utilisateurs ! »
(voilà un bel argument d'autorité)

Notez que c'est une réussite pour les sites porno, puisqu'en un an il y a 50% de fréquentation en moins de mineurs (mais je croyais qu'ils étaient anonymes, alors comment on sait qu'ils sont mineurs ? :keskidit:)
votre avatar
Si on a des questions sur l'utilisation d'une carte d'identité dématérialisée non obligatoire et pas disponible pour les moins de 18 ans, ça rentre dans le débat technique ou pas ? :bisous:
votre avatar
Comme l’a indiqué Macro Zedong sur X, une page sur le site officiel France-identite.gouv.fr
:s/cr//
votre avatar
Oui.
Cette fonctionnalité a mis un certain temps pour être réalisée techniquement. Elle visait donc l'âge pour les sites porno et là elle est une solution adaptée. :D
votre avatar
Notez que c'est une réussite pour les sites porno, puisqu'en un an il y a 50% de fréquentation en moins de mineurs (mais je croyais qu'ils étaient anonymes, alors comment on sait qu'ils sont mineurs ?

Bah on sait pas mais comme il y a 50% de baisse de fréquentation en général (*), statistiquement il y a aussi 50% de baisse de mineurs.... non ?

(*): Hors VPN
votre avatar
générer des justificatifs d’identité à usage unique
Fonctionnalité assez récente aussi, arrivée il y a quelques mois. Ça aurait mérité un article dédié. Enfin, la solution technique au vol d'identité que j'attendais depuis longtemps !

Je l'ai utilisée pour la première fois il y a quelques semaines, avec succès (à ma grande surprise), pour les inscriptions électorales.

Maintenant il faudrait que ça soit largement adopté. Je rêve qu au moins les banques soient obligées de prendre en charge ce système.
Même en étant optionnel, ça permettrait déjà à ceux qui l'utilisent d'éviter d'avoir des scans de carte d'identité qui traînent sur différents systèmes.
Pour que ça soit adopté il faut que ça soit connu et que des média comme Next en parle :ouioui:

C'est aberrant le système actuel qui permet d'emprunter de l'argent et de faire plein d'autres démarches en ligne avec un simple scan de la carte d'identité.
votre avatar
Cette fonctionnalité existe depuis le lancement de l'application en 2024!
m.youtube.com YouTube
youtu.be YouTube

Je suis d'accord que c'est une fonctionnalité majeur qui gagnerait à être connue. L'État devrais faire du prosélytisme à son sujet.

Lors de mon dernier essai, le tour operator ne connaissait pas ce document et lui manquait des informations nécessaires à l'enregistrement au près de la compagnie aérienne.
https://www.assemblee-nationale.fr/dyn/17/questions/QANR5L17QE5388
votre avatar
En effet, pourtant j'avais l'appli depuis longtemps mais j ai loupé la fonctionnalité.
J ai vu un article il y a quelques temps et du coup je croyais que ça datait d'octobre/novembre 2025
votre avatar
bah c'est ce qui est demandé, et c'est comme ça. j'ai pas testé depuis un moment mais la dernière fois chez Ikea pour un paiement en plusieurs fois le mec voulait prendre une photo de ma CNI, et quand je lui ai parlé de preuve d'identité de France Identité c'est comme si j'avais parlé en groenlandais.
j'ose même pas imaginer où sont parties se fourrer ces photos non watermarkées de ma pièce d'identité, et qui y a accès. ^^
votre avatar
"Echec de transmission des données" (le site voit bien que j'ai scanné le code puisque qu'une croix apparait aussitôt)
votre avatar
Pareil ici. Et j'ai testé sur plusieurs connexions, avec ou sans mon VPN... Encore une belle réussite.
votre avatar
Trois niveaux sont proposés : plus de 15, 18 ou 21 ans, avec des QR Code différents.
Pourquoi 21 ans ? Il n'y a sauf erreur aucune limite à 21 ans nulle part dans la loi. Bloqué avant Giscard ?
votre avatar
Il y a 24 ans pour être sénateur, mais sinon, rien à ma connaissance.
votre avatar
Oui mais pour être sénateur, ça passe pas par un site web :/
On crée devenirsenateur.fr ?
votre avatar
Peut-être pour une portée internationale de la mesure/protocole, certains pays de l'UE donnerait une majorité à 21 ans?
J'ignore lesquelles, je crois que certains états des USA ont 21 ans comme âge de la majorité.
votre avatar
D'après wikipédia, en UE c'est 18 ans, sauf en Écosse où c'est 16 ans!!
fr.wikipedia.org Wikipedia

C'est le cas de la majorité de pays du monde!

Peut-être que l'âge de 21 ans permet de signifier: forcément majeur!!
votre avatar
Sans parler de majorité, certaines choses en UE sont réservées aux plus de 21 ans. L'achat de cigarettes au Royaume Uni il me semble, ou d'alcool dans certains pays, ou peut être pour louer une voiture.

France Identité teste la preuve d’âge avec un « double anonymat »… qui n’est pas anonyme

  • France Identité teste la preuve d’âge

  • Trust me !

  • Rappel : le « double anonymat » n’est pas anonyme

Fermer