Connexion
Abonnez-vous

Le gouvernement veut mettre un coup d’accélérateur sur FranceConnect

La guerre du bouton

Le gouvernement veut mettre un coup d'accélérateur sur FranceConnect

Le 19 février 2018 à 16h17

À partir du mois d’avril, tous les nouveaux services publics numériques devront proposer le bouton FranceConnect à leurs utilisateurs. Ce dispositif d’authentification « officiel » sera par la suite déployé sur les autres sites publics, à horizon 2021.

À ceux qui craignaient que la récente mission sur l’identité numérique ne vienne enterrer FranceConnect, le gouvernement a envoyé un message, le 1er février, à l’issue du comité interministériel sur la transformation publique : le célèbre « SSO » a encore de beaux jours devant lui.

« Trois millions de Français s’en servent déjà pour accéder à trois-cents sites, et nous devrions arriver à dix millions de personnes à la fin de l’année », a même indiqué Henri Verdier, le numéro un de la Direction interministérielle au numérique (DINSIC), la semaine dernière devant l’Assemblée nationale. Et pour cause : pour la première fois, il sera possible de télédéclarer ses revenus à partir de l’identifiant et du mot de passe d’autres services que celui des impôts (Ameli.fr, Mobile Connect et moi ou IDN de La Poste).

Jusqu’ici, c’était davantage les codes utilisés pour le site « impots.gouv.fr » qui ouvraient la porte des autres sites arborant le bouton FranceConnect – demandes de carte grise, consultation du solde de points du permis de conduire, etc.

Un bouton FranceConnect sur chaque service public numérique avant 2021

Dans l’espoir de faire de la France « l’une des meilleures nations en matière d’administration numérique au service de tous », l’exécutif a annoncé à l’issue du comité interministériel du 1er février dernier que FranceConnect serait scindé en deux « chantiers ».

D’un côté, « FranceConnect Identité » permettra aux internautes « d’utiliser un moyen d’identification unique pour se connecter à l’ensemble des services publics accessibles en ligne ». Autrement dit, il s’agit du FranceConnect tel qu’on le connait aujourd’hui. Le gouvernement a néanmoins pris plusieurs engagements qui feront date :

  • Tout nouveau service public en ligne lancé après le 1er avril 2018 sera accessible par « FranceConnect Identité ».
  • Les services publics en ligne d’ores et déjà existants seront progressivement appareillés, jusqu’au 31 décembre 2020 « au plus tard ».
  • Un « parcours hautement sécurisé de « FranceConnect Identité » sera disponible au plus tard le 31 décembre 2019 pour permettre le lancement des services en ligne exigeant une authentification renforcée des usagers, tels que la demande de procuration en ligne ou le dépôt de plainte en ligne ».

franceconnect

De l’autre côté, « FranceConnect Plateforme » se présente comme une « architecture technique » visant « l’échange sécurisé de données et de services sous forme d’API, interfaces de programmation applicative, afin de mettre effectivement en œuvre le principe du « Dites-le-nous une fois ». » On retrouve ici « l’étape deux » du projet FranceConnect : permettre non seulement au citoyen d’avoir un identifiant unique, mais aussi de réaliser par ce biais ses démarches administratives à partir des informations provenant de différents comptes  – impôts, allocations familiales, etc.

« C'est une stratégie de marque, mais dans les faits, ça reste la même chose », résume ainsi une source proche du dossier.

Un tableau de bord pour suivre la dématérialisation des démarches

De manière plus accessoire, il a été annoncé qu’un « tableau de bord ouvert et contributif » des services publics de l’État serait « lancé le 30 juin 2018 ». L’objectif : permettre aux citoyens de suivre la dématérialisation des démarches administratives, l’exécutif ambitionnant d’arriver à un taux de 100 % d’ici la fin du quinquennat.

Curieusement, le gouvernement s’est opposé à un amendement en ce sens fin janvier à l’Assemblée nationale... Avec cet outil, les internautes pourront quoi qu’il en soit faire part de leurs avis et « signaler des manques ou dysfonctionnements ».

Autre annonce : un « kit de développement rapide de services en ligne » doit être lancé le 1er mars à destination des acteurs publics, ceci dans l’objectif de « rendre accessibles en ligne 500 nouvelles démarches administratives en 2018 ».

Le gouvernement en a profité pour revenir sur différents projets en cours :

  • Les demandes de CMU-C/ACS « seront simplifiées et accessibles en ligne au plus tard le 31 décembre 2018 ».
  • L’aide juridictionnelle sera « accessible en ligne dans une version simplifiée au plus tard le 31 décembre 2018 ». D’après l’exécutif, cette démarche se verra « numérisée de bout en bout, de la demande initiale à l’instruction et l’attribution, pour les justiciables comme pour les auxiliaires de justice ».
  • Les associations culturelles pourront déposer leurs demandes de subventions sur Internet « à compter du 1er janvier 2019 ».
  • Le dépôt des demandes de permis de construire sera « accessible en ligne en novembre 2018 ». Les demandes de permis de construire et les démarches d’urbanisme seront quant à elles progressivement réalisables en ligne, à horizon 2022.
  • Une application permettant de mettre en œuvre le principe « Dites-le-nous une fois » pour les fiches de liaison demandées par l’Éducation nationale sera « progressivement déployée » (sans calendrier précis).

Commentaires (38)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

C’est conforme avec la GRPD ? <img data-src=" /><img data-src=" />

votre avatar

ha genre le cesu ursaff qui était accessible avec le prédécesseur de france connect va y revenir

Pas trop tot

votre avatar

Mouai, j’suis peut être vieux jeu, mais je préfère avoir un identifiant compromisible (ce mot existe pas, si ?) PAR site, plutôt qu’avoir un login/pass qui ouvre plus de “trois-cent site”.

votre avatar







Kazer2.0 a écrit :



Mouai, j’suis peut être vieux jeu, mais je préfère avoir un identifiant compromisible (ce mot existe pas, si ?) PAR site, plutôt qu’avoir un login/pass qui ouvre plus de “trois-cent site”.





Commentaire non disruptif et anti-startupnation détecté!


votre avatar

c’est sûr, mais quand on veut que les français puissent faire des démarches en ligne simplement, complexifier les accès n’est pas la meilleure des idées, et 300 mots de passe pour 300 sites, ça complexifie les choses pour beaucoup de monde.

Evidemment les geeks qui ont un gestionnaire de mots de passe s’en foutent, mais ce n’est encore une fois pas la cible.

votre avatar

Tu préfère donc avoir 300 mots de passe différents stockés sur 300 bases de données différentes, 300 politiques de mot de passe différentes, des algorithmes de chiffrement différents et des procédures de récupération différentes qui n’impliquent évidemment jamais ton adresse mail. Et t’es en plus capable de les retenir tous dans ta tête sans utiliser une astuce compréhensible par quelqu’un ayant piraté deux de tes mots de passe ? Et chacune des BDD ayant évidemment des infos personnels sur toi.



La fédération permet aussi d’augmenter la sécurité côté infra ou côté utilisateur, la détection de fraude, la double authentification, etc…&nbsp;

votre avatar

Un gestionnaire de mot de passe c’est aussi un mot de passe unique qui t’ouvre les portes de 300 sites, ca ne répond aucunement à sa problématique.

votre avatar

Si ça répond très facilement à une problématique ton gestionnaire, mais pas celle que tu penses : Les sites.



La différence entre avoir un mot de passe identique partout et un gestionnaire de mot de passe chiffré avec aussi un mot de passe unique pour le déverrouiller est la suivante : ça ne te protège pas si l’attaquant connait le même mot de passe que tu utilises partout ou ton mot de passe de déverrouillage de ta bases. Ça te protège par contre des sites qui enregistre encore le mot de passe en clair. Si le site se fait hack, celui qui utilise le même mot de passe partout est grillé, mais celui qui utilise un Gestionnaire est tranquille vu que c’est pas son master password pour sa base qui est grillé, seulement le passe pour le site.



Donc oui, ça ne répond pas à la problématique du mot de passe “sésame”, mais ça répond aux sites qui sont encore à stocker en clair.

votre avatar

Ca amène peut-être des économies et de la simplicité de gestion pour l’Etat. Pour le citoyen, je ne vois pas trop l’apport. Quand on voit les mots de passe les plus utilisés, ça fait peur de n’avoir plus que ça…

votre avatar

C’est aussi une problématique que résout france connect les sites n’ayant aucun au mot de passe et n’ayant pas à le stocker.

votre avatar

Ouaip, mais celui qui choppe ton passe FranceConnect à accès à tout <img data-src=" />

votre avatar







aureus a écrit :



Un gestionnaire de mot de passe c’est aussi un mot de passe unique qui t’ouvre les portes de 300 sites, ca ne répond aucunement à sa problématique.







Bah d’autant que dans l’absolu, on pourrait dire que FranceConnect, c’est pour ainsi dire un gestionnaire de mot de passe, mais compatible qu’avec les sites du service public.



Le tout est de ne pas utiliser le même mot de passe pour FranceConnect que pour son compte xhamster et son compte caramail, mais le problème se pose plus ou moins à l’identique avec un gestionnaire de mot de passe : si ton master pass lastpass est le même que ton mot de passe Adobe, t’es pas plus avancé.


votre avatar







Kazer2.0 a écrit :



Mouai, j’suis peut être vieux jeu, mais je préfère avoir un identifiant compromisible (ce mot existe pas, si ?) PAR site, plutôt qu’avoir un login/pass qui ouvre plus de “trois-cent site”.







Vaut mieux un SSO performant qu’une centaine de sites publics dont une majorité sont d’une sécurité douteuse faute de moyen…


votre avatar

L’anglais est donc devenu langue officielle?

votre avatar

Tant que ce n’est pas le corse. <img data-src=" />

votre avatar

C’est tellement pratique ce truc&nbsp;<img data-src=" />



(no irony inside <img data-src=" /> )

votre avatar

France connect ne fait que la moitié des choses.

Je pense notamment à une mise à jour des données perso. Imaginons que je change d’adresse ça devrait être répercuté sur l’ensemble des services…

Ils devraient s’inspirer de google et de son centre de sécurité où on ne doit modifier qu’une seule fois la donnée pour l’ensemble des services.

votre avatar

Il va leur falloir booster l’infra car ça rame a fond, j’ai attendu + de deux minutes que le login fonctionne, je vous dit pas l’attente pour l’ouverture d’un compte c’est l’horreur.

votre avatar

Surtout que la majorité des administrations ont des apis pour ce genre de chose, les banques les utilisent très souvent pour les changements de compte bancaire

Ca arrivera peut-être, je pense que pour le moment le gvt essaie de démocratiser ce truc et de le faire adopter par les administrations. Ensuite c’est juste de l’implémentation de service.

votre avatar

Je pense que c’est clairement l’objectif sur le long terme.



En tout cas je trouve que c’est un super service. J’ai voulu demander un acte de naissance, je me suis connecter sur le site de ma mairie avec FranceConnect et il a récupéré mes infos (nom, prénoms, adresse, mail etc.) je n’ai eu qu’à confirmer que c’était bien mes coordonnés.



Après c’est sur qu’il y a la question de la gestion des mots de passe mais ça on ne peut rien y faire :harou:

votre avatar

Répercuter automatiquement les changements d’infos, ce n’est pas le but du “dites-le nous une fois” ?

Pour la gestion des mots de passe, perso je trouve ça bien d’en avoir un seul pour tous les sites (n’ayant pas de gestionnaire de mots de passes), mais il faudrait obliger l’authentification 2 facteurs, par Authenticator / SMS / Mail.

votre avatar

FranceConnect comme son nom l’indique sert à la connexion et à rien d’autre. C’est très bien comme cela.



Ce que tu décris correspond au chantier “dites-le nous une seule fois” qui avance doucement de par la diversité des intervenants qui doivent partager les données. Cela, en plus demande, l’accord explicite de la personne pour le partage des données entre les services.



Souhaiter que l’État s’inspire de Google pour la centralisation et le regroupement des données ? J’espère que tes mots ont dépassé ta pensée. Ne pas oublier que la CNIL a été créée au départ suite à une lutte contre la création d’un fichier centralisé SAFARI

votre avatar

faut juste compromettre le terminal et réussir à cracker la phrase de passe pour accéder aux données.

entre ça et 300 mots de passe tous identiques ou ultra simples stockés de façon plus ou moins sécu sur 300 environnements différents eux-mêmes plus ou moins sécu…

bref on va pas refaire le schmilblick.

votre avatar

on est bien d’accord. ^^

votre avatar

il existe une fonctionnalité de mise à jour des infos perso (Ameli, impots.gouv, etc…)

je l’ai utilisée quand j’ai déménagé en 2013.

après je t’avoue que je sais plus où c’est, mais ça existe.



edit: hop c’est là





Permet d’informer plusieurs organismes publics et privés d’un changement d’adresse postale, d’adresse électronique, de numéro de téléphone fixe et de téléphone portable, notamment :







  • Carte grise

  • Caisses de retraites (Agirc et Arrco, Cnav, Retraites et solidarité, etc.)

  • Caisses de sécurité sociale (CPAM, MSA, CAF, CNMSS, etc.)

  • Énergie (EDF, ENGIE, Direct Énergie)

  • La Poste

  • Pôle emploi

  • Service des impôts





    c’est SUPER PRATIQUE

votre avatar

Je l’ai déjà utilisé plusieurs fois et ca marche très bien.

Il suffit de cliquer sur les services que l’on veut informer et saisir les infos demandées.

Sans doute qu’avec FranceConnect il n’y aura plus besoin de saisir son num de sécu et différents “identifiants” pour chaque service.

votre avatar

Pourquoi est-ce réservé aux administrations ?



&nbsp;Je préfèrerai largement proposer une authentification par France Connect plutôt que google/facebook pour mon app (service de recommandé électronique)… mais impossible.

votre avatar

C’est bien tout ça. Mais ça veut dire que tout ce qui est compatible France Connect est aussi sécurisé que le plus faible maillon des services d’authentification associé. Or… ameli.fr a une politique de mot de passe qui relève de la blague : “8 à 13 chiffres”, lettre et caractères spéciaux interdits.

On peut donc attaquer l’ensemble des services en testant que près de 10 000 milliards de combinaisons.

votre avatar

SI tu arrives à voler la base de mots de passe d’Ameli et les éléments la protégeant, tu as raison, mais sinon, tu te feras jeter après un certain nombre d’essais erronés.

votre avatar

Si c’est comme pour la plupart des trucs de ce genre, trois ou quatre généralement, ce qui est, tout de même, assez loin des 10 000 milliards de combinaisons envisageables.

votre avatar

Le gestionnaire de mdp est même encore pire : si tu te le fais hacké, le temps que tu change tes 300 mdp…



Non, je trouve que ce n’est pas plus mal de cette façon. Il suffit d’avoir un bon mdp et c’est bon.

votre avatar

a priori encore moins de risques de se faire cracker son gestionnaire de pass en local qu’un outil centralisé comme franceConnect qui peut, par la masse de données, attirer les convoitises.

votre avatar

Perso j’ai réussi à le verrouiller. J’ai effectué plusieurs fois la procédure de récupération qui normalement renvoyait un mail ou un courrier. Rien à faire je n’ai rien pu récupérer. Remarquant alors que les mails indiquant les remboursements me suffisaient pour ma situation je n’ai pas creusé plus.

votre avatar







plusquezero a écrit :



C’est bien tout ça. Mais ça veut dire que tout ce qui est compatible France Connect est aussi sécurisé que le plus faible maillon des services d’authentification associé. Or… ameli.fr a une politique de mot de passe qui relève de la blague : “8 à 13 chiffres”, lettre et caractères spéciaux interdits.

On peut donc attaquer l’ensemble des services en testant que près de 10 000 milliards de combinaisons.





Bah non, ça veut dire qu’Ameli profitera de la protection France Connect plutôt que Ameli, ça va donc être aussi sécurisé que le maillon le plus fort qu’est France Connect :)


votre avatar

En espérant que les conditions d’utilisation de France Connect soient suffisamment strictes pour que les devs des applis l’utilisant ne puissent pas compromettre les tokens en jeu.

En disant ça, je passe de pas convaincu à enthousiaste! si les administrations sont obligées d’utiliser FC et que pour l’utiliser on est obligé de faire un minimum de sécurité, ça les obligera à faire des sites sécurisés! (je ne pense pas aux ‘gros’ comme impots et ameli qui le sont vraisemblablement déjà, mais à la multitude de petits sites sur lesquels les moyens pour faire de la sécurité sont rarement la priorité)

votre avatar

Un autre avantage du gestionnaire de mdp, c’est que tu peux mettre une adresse mail par site, de façon à ce qu’en cas de spam, tu saches d’où ça vient (et tu peux fermer le compte / couper l’adresse si nécessaire)

Bon, en théorie, les sites des administrations ne devraient pas être trop concernés par ce problème.

votre avatar

Plutôt : que le maillon le plus faible de France Connect, hors ameli.

Si tu mets une porte blindée devant chez toi, et une porte branlante derrière dans le jardin, c’est cette dernière qui caractérise ton niveau de sécurité.

votre avatar

Non tu m’as mal compris, je parle d’une authentification de type auth2 qui permet de garantir l’identité et t’éviter ainsi de répéter de remplir les mêmes infos pour prouver ton identité sur chacun des services de l’état. Au contraire ça pourrait même éviter une diffusion des informations personnel à trop personne.



Quand à safari ben ça existe déjà ça s’appelle Facebook (<img data-src=" />)



Et au final actuellement je n’ai pas l’impression de maîtriser mes données perso au niveau de l’état qui reste une grosse boîte noir.

Le gouvernement veut mettre un coup d’accélérateur sur FranceConnect

  • Un bouton FranceConnect sur chaque service public numérique avant 2021

  • Un tableau de bord pour suivre la dématérialisation des démarches

Fermer