ALICEM : la biométrie de l'identité numérique sur mobile fait tiquer la CNIL

ALICEM : la biométrie de l’identité numérique sur mobile fait tiquer la CNIL

Face2Face

Avatar de l'auteur

Marc Rees

Publié dansDroit

16/05/2019
23
ALICEM : la biométrie de l'identité numérique sur mobile fait tiquer la CNIL

S’identifier sur un service en ligne officiel avec une application biométrique. Voilà l’ambition d’un décret publié ce matin au Journal officiel. Le texte a toutefois suscité des critiques de la CNIL, fondées sur le règlement général sur la protection des données personnelles, pointilleux sur la question de la reconnaissance faciale.

Ce décret au J.O. paru ce jour crée un nouveau moyen d'identification électronique, l’ « Authentification en ligne certifiée sur mobile » ou ALICEM. Derrière ce bel acronyme, les titulaires d’un passeport biométrique ou d’un titre de séjour étranger électronique vont bientôt pouvoir se créer « une identité numérique » à partir de leur titre.

La procédure se fera sur smartphone, via une application mobile, avec pour finalité l’identification et l’authentification auprès des fournisseurs de services en ligne publics ou privés et avant tout, FranceConnect (notre actualité).

Ce système de reconnaissance se fera « au moyen d'un équipement terminal de communications électroniques doté d'un dispositif permettant la lecture sans contact », explique le décret. Le texte évoque aussi un système de reconnaissance faciale, au besoin « dynamique ». Pour permettre la délivrance de cette clef d'identification électronique, à chaque utilisation de l'application, le traitement se mettra jonction avec le fichier national de contrôle de la validité des titres.

Des données stockées sur mobile, d'autres centralisées

Le traitement enregistre avant tout une ribambelle de données personnelles :

Des données d’identification de l'usager :

  • Le nom ;
  • Le nom d'usage ;
  • Le(s) prénom(s) ;
  • La date de naissance ;
  • Le pays de naissance ;
  • Le département de naissance ;
  • Le lieu de naissance ;
  • La nationalité ;
  • Le sexe ;
  • La taille et la couleur des yeux ;
  • L'adresse postale ;
  • La photographie de l'usager extraite du titre ;
  • La photographie de l'usager prise avec son équipement terminal de communications électroniques pour la reconnaissance faciale ;
  • La vidéo prise par l'usager avec son équipement terminal de communications électroniques pour la reconnaissance faciale dynamique ;
  • L'adresse électronique ;
  • Le numéro d'appel de l'équipement terminal de communications électroniques ;
  • L'identifiant technique associé au compte de l'usager ;

Des données permettant l'identification du titre détenu par l'usager :

  • Le numéro du titre ;
  • L'autorité de délivrance ;
  • La date de délivrance ;
  • La date d'expiration ;
  • La clé publique permettant de certifier l'authenticité du titre ;

Des données relatives à l'historique des transactions associées au compte ALICEM :

  • Le nom du fournisseur de service ;
  • La catégorie de la transaction ;
  • Une description courte du fournisseur de service ;
  • Une description longue du fournisseur de service ;
  • Le statut de la transaction ;
  • La date de la transaction ;
  • La date de mise à jour de la transaction ;
  • La date d'expiration de la transaction ;
  • La priorité de la transaction ;

Enfin « l'identifiant unique du service de notification, aux fins d'identification de l'équipement terminal de communications électroniques ».

L'accès et la transmission de ces données personnelles

Pour l’heure, seuls peuvent accéder à une partie des données enregistrées les agents des services du ministère de l'Intérieur chargés de la maîtrise d'ouvrage du traitement et ceux de l'Agence nationale des titres sécurisés, chargés de la maîtrise d'œuvre, tous étant « individuellement désignés et habilités par leur directeur ».

Ces données sont la taille et la couleur des yeux, l’adresse de la postale, la photo du titre, la photographie de l'usager prise avec son smartphone, pour la reconnaissance faciale ou la vidéo pour la partie dynamique, le mail, le numéro d'appel de l'équipement terminal de communications électroniques, l'identifiant technique associé au compte de l'usager.

Mais l’accès et la transmission ne sont pas deux opérations identiques. Seront destinataires des données personnelles comme le nom, l’adresse, le mail, etc. la DINSIC (direction interministérielle du numérique et du système d'information et de communication de l'État), les fournisseurs de téléservices liés par convention à FranceConnect ou à l'Agence nationale des titres sécurisés.

Elles seront conservées pour certaines sur l’appareil mobile, jusqu’à désinstallation de l’application ALICEM. D’autres données seront centralisées aux fins de contrôle.

Le décret instaurant le fichier TES est au passage modifié. Son article 3 mis à jour prévoit que les données inscrites dans la puce du passeport pourront dorénavant être lues par le traitement ALICEM, « à l'exclusion de l'image numérisée des empreintes digitales ».

Le texte cosigné du Premier ministre et du ministre de l’Intérieur n’a toutefois pas laissé insensible la CNIL. 

Une solution taillée pour Android, non rooté

Son avis est précieux déjà parce qu’il détaille le mode opératoire : ce dispositif fonctionnera uniquement sur Android pour l’heure (système non « rooté »). À la création d’un compte sur l’application ALICEM, l’utilisateur saisira son mail, son numéro de téléphone et un mot de passe. Une  lecture optique se fera de la bande MRZ des passeports et les données contenues dans la puce embarquée seront lues sans contact. Les données d’État civil, l’adresse et la photographie de l’utilisateur seront enfin transmises.

Pour contrôler le titre, une interrogation de DOCVERIF sera opérée. Un utilisateur disposant d’un titre valide pourra alors se créer d’identité numérique. À défaut, la porte lui sera fermée.

L’activation de l’application se fera par vérification d’un traitement biométrique par reconnaissance faciale à partir d’une vidéo prise en temps réel.

L’utilisateur devra réaliser plusieurs « défis » comme cligner des yeux, bouger sa tête, son visage. La vidéo est alors adressée à l’Agence nationale des titres sécurisés qui comparera une des photos extraites de la vidéo avec celle enregistrée dans le titre. Ces traces seront ensuite détruites. C’est seulement après ce tunnel de vérifications qu’une identité numérique pourra être effectivement générée.

La biométrie et le RGPD : un consentement non libre, sans alternative

Sans surprise, c’est sur l’autel du RGPD que la commission a analysé ce système. L’autorité prend note que le consentement de la personne est la pierre angulaire du traitement, en ce sens que l’utilisateur devra donner son feu vert. Néanmoins, l’autorité indépendante rappelle qu’un consentement n’est libre « que si le traitement de données est strictement nécessaire à la fourniture du service demandé par la personne, ou si une alternative est effectivement offerte par le responsable de traitement à la personne concernée ».

C’est là que la CNIL fronce des sourcils. Le refus du traitement biométrique engendre l’impossibilité de se doter d’une identité numérique. Or, la commission reproche à l’Intérieur cette alternative basique alors qu’il est pourtant possible « de recourir à des dispositifs alternatifs de vérification », autre que la biométrie.

Des dispositifs alternatifs ? La CNIL cite plusieurs exemples comme un face à face en préfecture, un appel vidéo avec un agent de l’ANTS ou pourquoi pas l’envoi manuel de la vidéo.

Certes le ministère pourrait toujours fonder ces traitements par « des motifs d'intérêt public important », une autre des justifications de l’article 9 du RGPD, mais pour l’heure le dossier est trop maigre, faute d’ « éléments de démonstration complémentaires ».  

La CNIL a suggéré donc que des solutions alternatives soient trouvées « afin de vérifier de l’identité alléguée par la personne créant son compte » et surtout respecter l’article 9.1 s’agissant du consentement libre, spécifique, éclairé et univoque. Ces alternatives n’étant pas prévues dans le texte publié au J.O., l’interdiction de principe des traitements biométriques posée par l’article 9.1 du RGPD devrait persister.  Nous avons contacté la CNIL pour connaître l'évolution de ce dossier. Nous y reviendrons une fois sa réponse obtenue. 

23
Avatar de l'auteur

Écrit par Marc Rees

Tiens, en parlant de ça :

Poing Dev

Le poing Dev – Round 7

Meuh sept super !

22:32 Next 7
Logo de Gaia-X sour la forme d’un arbre, avec la légende : infrastructure de données en forme de réseau

Gaia-X « vit toujours » et « arrive à des étapes très concrètes »

« Money time »

18:06 WebSécu 3

Trois consoles portables en quelques semaines

Et une nouvelle façon de concevoir le jeu se confirme

10:45 Hard 36

Sommaire de l'article

Introduction

Des données stockées sur mobile, d'autres centralisées

L'accès et la transmission de ces données personnelles

Une solution taillée pour Android, non rooté

La biométrie et le RGPD : un consentement non libre, sans alternative

Poing Dev

Le poing Dev – Round 7

Next 7
Logo de Gaia-X sour la forme d’un arbre, avec la légende : infrastructure de données en forme de réseau

Gaia-X « vit toujours » et « arrive à des étapes très concrètes »

WebSécu 3

Trois consoles portables en quelques semaines

Hard 36
Une tasse estampillée "Keep calm and carry on teaching"

Cyberrésilience : les compromis (provisoires) du trilogue européen

DroitSécu 3

#LeBrief : fuite de tests ADN 23andMe, le milliard pour Android Messages, il y a 30 ans Hubble voyait clair

#Flock a sa propre vision de l’inclusion

Flock 25
Un Sébastien transformé en lapin par Flock pour imiter le Quoi de neuf Docteur des Looney Tunes

Quoi de neuf à la rédac’ #10 : nous contacter et résumé de la semaine

43
Autoportrait Sébastien

[Autoportrait] Sébastien Gavois : tribulations d’un pigiste devenu rédac’ chef

Next 20
Logo de StreetPress

Pourquoi le site du média StreetPress a été momentanément inaccessible

Droit 21
Amazon re:Invent

re:Invent 2023 : Amazon lance son assistant Q et plusieurs services IA, dont la génération d’images

IA 14
Un œil symbolisant l'Union européenne, et les dissensions et problèmes afférents

Le Conseil de l’UE tire un bilan du RGPD, les États membres réclament des « outils pratiques »

Droit 6

19 associations européennes de consommateurs portent plainte contre Meta

DroitSocials 16

#LeBrief : Ariane 6 l’été prochain, Nextcloud rachète Roundcube, désinformation via la pub

Chiffre et formules mathématiques sur un tableau

CVSS 4.0 : dur, dur, d’être un expert !

Sécu 16
Une tête de fusée siglée Starlink.

Starlink accessible à Gaza sous contrôle de l’administration israélienne

Web 35
Fibre optique

G-PON, XGS-PON et 50G-PON : jusqu’à 50 Gb/s en fibre optique

HardWeb 53
Photo d'un immeuble troué de part en part

Règlement sur la cyber-résilience : les instances européennes en passe de conclure un accord

DroitSécu 10
lexique IA parodie

AGI, GPAI, modèles de fondation… de quoi on parle ?

IA 11

#LeBrief : logiciels libres scientifiques, fermeture de compte Google, « fabriquer » des femmes pour l’inclusion

livre dématérialisé

Des chercheurs ont élaboré une technique d’extraction des données d’entrainement de ChatGPT

IAScience 3
Un chien avec des lunettes apprend sur une tablette

Devenir expert en sécurité informatique en 3 clics

Sécu 11
Logo ownCloud

ownCloud : faille béante dans les déploiements conteneurisés utilisant graphapi

Sécu 16
Le SoC Graviton4 d’Amazon AWS posé sur une table

Amazon re:invent : SoC Graviton4 (Arm), instance R8g et Trainium2 pour l’IA

Hard 12
Logo Comcybergend

Guéguerre des polices dans le cyber (OFAC et ComCyberMi)

Sécu 10

#LeBrief : faille 0-day dans Chrome, smartphones à Hong Kong, 25 ans de la Dreamcast

Mur d’OVHcloud à Roubaix, avec le logo OVHcloud

OVHcloud Summit 2023 : SecNumCloud, IA et Local Zones

HardWeb 2
algorithmes de la CAF

Transparence, discriminations : les questions soulevées par l’algorithme de la CAF

IASociété 62

Plainte contre l’alternative paiement ou publicité comportementale de Meta

DroitIA 40
Nuage (pour le cloud) avec de la foudre

Économie de la donnée et services de cloud : l’Arcep renforce ses troupes

DroitWeb 0
De vieux ciseaux posés sur une surface en bois

Plus de 60 % des demandes de suppression reçues par Google émanent de Russie

Société 7
Une vieille boussole posée sur un plan en bois

La Commission européenne et Google proposent deux bases de données de fact-checks

DroitWeb 3

#LeBrief : des fichiers Google Drive disparaissent, FreeBSD 14, caméras camouflées, OnePlus 12

Hubble mission maintenance

Il y a 30 ans, Hubble recevait sa première mission de maintenance

Science 18

Des menottes autour d'un rouleau de billets de banque

Les deux principaux responsables de l’agence de cybersécurité ukrainienne accusés de corruption

DroitÉcoSécu 8

Google Messages

Sur Android, Messages fête son milliard d’utilisateurs, de nouvelles fonctions en approche

WebSoft 19

Une femme en blouse blanche et portant des lunettes adaptées utilise un séquenceur à ADN

Tests ADN : 23andMe avoue que les infos d’un « nombre significatif » d’utilisateurs ont fuité

Sécu 7

Commentaires (23)


crocodudule
Il y a 5 ans

Mais quel bénéfice on entend tirer de ce Décret que l’actuel fonctionnement de FranceConnect ne permet pas déjà ?

Sauf à prendre le risque de voir fuiter des gabaries biométriques et des images de visages, voire que ces informations soient détournées pour d’autres finalités (renseignement par exemple), pourquoi aller chercher le biométrique pour créer une identité numérique au regard de la sensibilité de telles informations ?

Pourquoi ne pas prévoir qu’on peut se faire identifier en mairie (comme c’est déjà le cas) par exemple, comme alternative à ce système biométrique totalement disproportionné et qui va soulever, à tort ou à raison, des interrogations sur les arrières pensées du gouvernement ?


refuznik Abonné
Il y a 5 ans

Et surtout comment alourdir les démarches normalement simple des citoyens.


crocodudule
Il y a 5 ans






refuznik a écrit :

Et surtout comment alourdir les démarches normalement simple des citoyens.


Oui au passage, parce que si c’est plus compliqué de se créer une identité numérique que l’ancien système, l’e-administration va se traduire par le renoncement des usagers à utiliser les services publics…



Ami-Kuns Abonné
Il y a 5 ans

Étonné, qu’il n’est pas demandé un séquençage ADN dans la foulé.<img data-src=" />


Jarodd Abonné
Il y a 5 ans






crocodudule a écrit :

et qui va soulever, à tort ou à raison, des interrogations sur les arrières pensées du gouvernement ?


Ca fait un moment que les gouvernements successifs ne cachent plus leurs desseins sur le recueil des données biométriques à des fins de fichage de la population. Le fichier TES, c’est 2016, et on peut remonter encore plus loin…



M4tthieu Abonné
Il y a 5 ans

Je crois que tu as trouvé toi-même les éléments de réponse.


Westvleteren Abonné
Il y a 5 ans






crocodudule a écrit :

Mais quel bénéfice on entend tirer de ce Décret que l’actuel fonctionnement de FranceConnect ne permet pas déjà ?



Tout d’abord l’usage de la biométrie est déjà en place sur FranceConnect avec le fournisseur d’identité mobileconnectetmoi.fr Pour s’y inscrire, il suffit de se photographier (selfie) et de photographier un document d’identité comme sa carte d’identité. Si les deux visages correspondent l’identité numérique est créée à partir des éléments reconnus sur le document. Le téléphone devient un identifiant FranceConnect, avec un simple code secret supplémentaire.
Donc la question de la biométrie aurait dû être posée avant avec le fournisseur d’identité mobileconnectetmoi.fr

Note : je ne sais pas si la machine peut valider seule la correspondance entre les visages du document d’identité et du porteur du téléphone ou si elle toujours aidée d’un humain.

Je reviens sur la question du bénéfice attendu avec ce décret et le fournisseur d’identité Alicem : une identification eIDAS de niveau 2, voire forte de niveau 3, grâce à
l’usage de la puce du titre électronique pour faire une signature cryptographique. Le téléphone communique avec la puce sans contact du titre électronique, et peut l’utiliser pour signer l’identité avec la clé secrète du titre.
Donc le bénéfice est une identité de niveau 2 ou 3, qui sera reconnue dans toute l’Europe (je crois que les identités niv 1 resteront dans leur pays d’origine).

Quelques explicationshttps://sd-magazine.com/identite/lidentite-numerique-forte-tabou-a-consecration



Guillaume_LG
Il y a 5 ans

Le plus drôle avec ce genre de système c’est que l’application qui glanera toutes ce infos sera soumis au CGV de Google et Apple… Et je doute que l’application sera open source et mise sur F-Droid…

Je suis aller regarder d’ailleurs rapidement, 1 tracker pour l’appli Ameli, 4 pour Pôle Emploi


fofo9012 Abonné
Il y a 5 ans

La différence majeure c’est que mobileconnectetmoi.fr n’est qu’un des moyens optinnel pour créer un compte. Tu peux également simplement utiliser ton login / mdp des impôts par exemple pour créer le lien France Connect vers tous les autres services de l’état.

Si tu gardes d’autres moyens de créer un compte y’a pas franchement de sécurité : la sécurité de la plateforme se résume à celle du maillon le plus faible. (en gros intercepter un des courriers où c’est écrit en gros “Fiche d’impot” sur l’enveloppe :-o )

A sinon j’oubliais RGPD n’est pas rétroactif, ce qui a été fait avec mobileconnectetmoi.fr n’est visiblement plus forcément autorisé.


jpaul Abonné
Il y a 5 ans






slemaire a écrit :

Tout d’abord l’usage de la biométrie est déjà en place sur FranceConnect avec le fournisseur d’identité mobileconnectetmoi.fr Pour s’y inscrire, il suffit de se photographier (selfie) et de photographier un document d’identité comme sa carte d’identité. Si les deux visages correspondent l’identité numérique est créée à partir des éléments reconnus sur le document. Le téléphone devient un identifiant FranceConnect, avec un simple code secret supplémentaire.
Donc la question de la biométrie aurait dû être posée avant avec le fournisseur d’identité mobileconnectetmoi.fr

Note : je ne sais pas si la machine peut valider seule la correspondance entre les visages du document d’identité et du porteur du téléphone ou si elle toujours aidée d’un humain.

Je reviens sur la question du bénéfice attendu avec ce décret et le fournisseur d’identité Alicem : une identification eIDAS de niveau 2, voire forte de niveau 3, grâce à
l’usage de la puce du titre électronique pour faire une signature cryptographique. Le téléphone communique avec la puce sans contact du titre électronique, et peut l’utiliser pour signer l’identité avec la clé secrète du titre.
Donc le bénéfice est une identité de niveau 2 ou 3, qui sera reconnue dans toute l’Europe (je crois que les identités niv 1 resteront dans leur pays d’origine).

Quelques explicationshttps://sd-magazine.com/identite/lidentite-numerique-forte-tabou-a-consecration


Quoi ? Tu veux dire qu’il existerai déjà une option d’identification sécurisée, standard, et sans fichage mais qu’on préfère faire un énième truc de fichage maison, bancal, dangereux et qui exclue toute une frange de la population ? (Pas de smartphone, iOS, Androïd rooté)



Lienrag31 Abonné
Il y a 5 ans

Il y a un autre service qui permet ça, c’est l’identité numérique de La Poste. Il suffit de se créer un compte, d’y joindre une photo de la CI et de prendre rendez-vous avec son facteur pour qu’il valide le compte en face à face. Et ensuite c’est utilisable sur FranceConnect. Mais ce n’est que du niveau 1 et ça ne permet pas de faire de la signature eidas de niveau 2 ou 3 car il n’y a pas de gestion de clé prévue pour le moment…


fred42 Abonné
Il y a 5 ans

Le RGPD s’applique ici par service d’identité pas globalement pour France Connect.

Sur la rétroactivité : le RGPD doit être respecté maintenant même si l’appli a été faite avant pour tout nouveau utilisateur. Donc, mobileconnectetmoi devrait être traité de la même façon par la CNIL (si les traitements sont comparables).





jpaul a écrit :

Quoi ? Tu veux dire qu’il existerai déjà une option d’identification sécurisée, standard, et sans fichage mais qu’on préfère faire un énième truc de fichage maison, bancal, dangereux et qui exclue toute une frange de la population ? (Pas de smartphone, iOS, Androïd rooté)


mobileconnectetmoi est réservés (pour le moment aux abonnés sosh et orange. C’est encore plus excluant.

Ici, c”est l’état qui offre le service d’abord sur Android.



hellmut Abonné
Il y a 5 ans

merci pour les infos. ;)


Westvleteren Abonné
Il y a 5 ans






fofo9012 a écrit :

La différence majeure c’est que mobileconnectetmoi.fr n’est qu’un des moyens optinnel pour créer un compte. Tu peux également simplement utiliser ton login / mdp des impôts par exemple pour créer le lien France Connect vers tous les autres services de l’état.&nbsp;

Oui, d’un autre côté je ne parlais pas RGPD comme l’article, mais bénéfice apporté par Alicem comme le demandait crocodule
&nbsp;

fofo9012 a écrit :

Si tu gardes d’autres moyens de créer un compte y’a pas franchement de sécurité : la sécurité de la plateforme se résume à celle du maillon le plus faible. (en gros intercepter un des courriers où c’est écrit en gros “Fiche d’impot” sur l’enveloppe :-o )&nbsp;

C’est pour cela que ce n’est qu’une identité de niveau 1.&nbsp;



Westvleteren Abonné
Il y a 5 ans






jpaul a écrit :

Quoi ? Tu veux dire qu’il existerai déjà une option d’identification sécurisée, standard, et sans fichage mais qu’on préfère faire un énième truc de fichage maison, bancal, dangereux et qui exclue toute une frange de la population ? (Pas de smartphone, iOS, Androïd rooté)


En fait, pour des niveau 3, je crois qu’il n’existe pas d’alternative à Alicem, c’est d’ailleurs le titre du dernier paragraphe de l’article.

Par contre, pour le niveau 1, tu as de nombreuses alternatives certaines sans fichage biométrique.



crocodudule
Il y a 5 ans






slemaire a écrit :

Tout d’abord l’usage de la biométrie est déjà en place sur FranceConnect avec le fournisseur d’identité mobileconnectetmoi.fr Pour s’y inscrire, il suffit de se photographier (selfie) et de photographier un document d’identité comme sa carte d’identité. Si les deux visages correspondent l’identité numérique est créée à partir des éléments reconnus sur le document. Le téléphone devient un identifiant FranceConnect, avec un simple code secret supplémentaire.
Donc la question de la biométrie aurait dû être posée avant avec le fournisseur d’identité mobileconnectetmoi.fr

Note : je ne sais pas si la machine peut valider seule la correspondance entre les visages du document d’identité et du porteur du téléphone ou si elle toujours aidée d’un humain.

Je reviens sur la question du bénéfice attendu avec ce décret et le fournisseur d’identité Alicem : une identification eIDAS de niveau 2, voire forte de niveau 3, grâce à
l’usage de la puce du titre électronique pour faire une signature cryptographique. Le téléphone communique avec la puce sans contact du titre électronique, et peut l’utiliser pour signer l’identité avec la clé secrète du titre.
Donc le bénéfice est une identité de niveau 2 ou 3, qui sera reconnue dans toute l’Europe (je crois que les identités niv 1 resteront dans leur pays d’origine).

Quelques explicationshttps://sd-magazine.com/identite/lidentite-numerique-forte-tabou-a-consecration


Sauf que pour utiliser FranceConnect tu n’es pas contraint de passer par l’identification par photo, là où le Décret ne semble prévoir qu’une porte d’entrée unique: la biométrie.

Et le fait d’avoir une niveau d’identification reconnu partout en Europe, je peux témoigner que l’on a déjà au moins deux outils qui le font sans utiliser la biométrie (je présume qu’ils ne sont pas les seuls); les signatures électroniques des notaires et avocats (qui ne portent pas que sur l’identité de la personne mais encore sur la valeur des actes et de l’engagement des parties y compris devant les Juridictions et donc les administrations).



crocodudule
Il y a 5 ans






fred42 a écrit :

Le RGPD s’applique ici par service d’identité pas globalement pour France Connect.

Sur la rétroactivité : le RGPD doit être respecté maintenant même si l’appli a été faite avant pour tout nouveau utilisateur. Donc, mobileconnectetmoi devrait être traité de la même façon par la CNIL (si les traitements sont comparables).


Et étant surtout rappelé que l’information et l’obligation de recueillir le consentement libre et éclairé (sauf intérêt légitime avéré ou intérêt public) sont des notions antérieures au RGPD.



lanoux Abonné
Il y a 5 ans

pas qu’eux, dans le cadre de la facturation électronique tu dois avoir un certificat RGS** qui te permet également la signature eIDAS ( par contre dans le cadre du boulot, c’est payant dans les 800€ les 3 ans)


Aloryen Abonné
Il y a 5 ans

Hum, concernant le RPGD, ce n’est pas tout a fait la problématique.
Le problème concerne la certification EIDAS des services d’authentification, signature électronique, recommandé électronique…

Ceux qualifiés avant l’été 2018 (en gros) ne seraient plus forcément acceptés aujourd’hui, car les règles de l’ANSSI sont maintenant plus strictes (indépendamment du règlement). Par exemple, les OTP par SMS ne sont plus autorisés, alors qu’ils l’étaient avant.

Le portail FranceConnect pourra prochainement proposer des identifications “Niveau 2 substantielle” et “Niveau 3 forte”, mais tous les fournisseurs d’identité FConnect n’en seront pas capable.

&nbsp;Parmis les fournisseurs compatible, on s’attend à avoir :




  • identité numérique “v2” de la poste, avec validation par smartphone via empreinte, smartphone lui même validé par un facteur assermenté

  • mobile connect et moi, qui passe aussi une vérification de la carte SIM et pas uniquement le puce TPM du mobile (perso, ça marche pas sur mon smartphone sosh…)

  • un service basé sur la reconnaissance faciale + pièce d’identité… mais honnêtement, qui a pensé que les utilisateurs accepteraient de fournir leur pièce d’identité à une entreprise privée

  • ce futur service qui passe par la crypto du passeport + reconnaissance faciale pour vérifier que le porteur correspond bien au titre

  • … d’autres

    Bref, et tout ce merdier vient du fait qu’on a refusé la carte d’identité numérique, qui aurait permis quelque chose de beaucoup plus simple, comme en belgique ou lituanie, avec un simple certificat sur carte à puce…

    Aujourd’hui, a part les certificats, quasiment le seul moyen “simple” et qualifié, correspond a une feuille A4 avec une grille de code, remise en main propre par un agent assermenté…
    Le second étant l’identité numérique de la poste, le facteur étant agent assermenté.


crocodudule
Il y a 5 ans






lanoux a écrit :

pas qu’eux, dans le cadre de la facturation électronique tu dois avoir un certificat RGS** qui te permet également la signature eIDAS ( par contre dans le cadre du boulot, c’est payant dans les 800€ les 3 ans)


Oui ca me semble logique que d’autres certification permettent d’avoir une authentification forte reconnue partout en Europe sans nécessairement recourir à la biométrie.



BlueTemplar
Il y a 5 ans

Je voudrais juste rappeler que la signature numérique est légale depuis 2001, et qu’elle figure au programme du C2i (obligatoire pour obtenir une Licence) depuis au moins 2005 :
www.c2imes.org/PDF/A2.pdf#page=79
Mais visiblement les gouvernements successifs ne se sont pas donné la peine de mettre les moyens pour en faire une réalité !

D’autre part, une signature numérique implique de faire confiance aux logiciels et matériels à l’aide desquelles elle est effectuée.
Donc les équipements où l’utilisateur n’as pas d’accès administrateur sont exclus d’office, comme :




  • Les iPhones/iPads.

  • Les Androids non-rootés (et j’ai des gros doutes sur ceux rootés).

  • Les ordinateurs avec (tous?) les processeurs Intel.


fred42 Abonné
Il y a 5 ans

Au tout début de la page mise en lien :
Le cryptage des fichiers.

Je me suis arrêté là.

Ensuite, je ne suis pas sûr que l’ANSII ait la même vision de la confiance que toi.


BlueTemplar
Il y a 5 ans

Certes, mais le principal ici ce n’est pas tant la compétence du cours en question, mais son existence…

En parlant de confiance : Ils n’ont pas la même vision ou alors ils n’en ont pas les moyens ?
Alors, on pourrait dire que la sécurité c’est toujours un compromis et que donner à l’utilisateur le contrôle total de sa machine n’en vaut pas le coup… mais on parle bien ici d’une signature officiellement reconnue par l’État Français, avec des conséquences légales - par exemple, combien de temps avant que l’on puisse l’utiliser pour voter ?