Le gouvernement veut mettre un coup d'accélérateur sur FranceConnect

Le gouvernement veut mettre un coup d’accélérateur sur FranceConnect

La guerre du bouton

Avatar de l'auteur

Xavier Berne

Publié dansDroit

19/02/2018
38
Le gouvernement veut mettre un coup d'accélérateur sur FranceConnect

À partir du mois d’avril, tous les nouveaux services publics numériques devront proposer le bouton FranceConnect à leurs utilisateurs. Ce dispositif d’authentification « officiel » sera par la suite déployé sur les autres sites publics, à horizon 2021.

À ceux qui craignaient que la récente mission sur l’identité numérique ne vienne enterrer FranceConnect, le gouvernement a envoyé un message, le 1er février, à l’issue du comité interministériel sur la transformation publique : le célèbre « SSO » a encore de beaux jours devant lui.

« Trois millions de Français s’en servent déjà pour accéder à trois-cents sites, et nous devrions arriver à dix millions de personnes à la fin de l’année », a même indiqué Henri Verdier, le numéro un de la Direction interministérielle au numérique (DINSIC), la semaine dernière devant l’Assemblée nationale. Et pour cause : pour la première fois, il sera possible de télédéclarer ses revenus à partir de l’identifiant et du mot de passe d’autres services que celui des impôts (Ameli.fr, Mobile Connect et moi ou IDN de La Poste).

Jusqu’ici, c’était davantage les codes utilisés pour le site « impots.gouv.fr » qui ouvraient la porte des autres sites arborant le bouton FranceConnect – demandes de carte grise, consultation du solde de points du permis de conduire, etc.

Un bouton FranceConnect sur chaque service public numérique avant 2021

Dans l’espoir de faire de la France « l’une des meilleures nations en matière d’administration numérique au service de tous », l’exécutif a annoncé à l’issue du comité interministériel du 1er février dernier que FranceConnect serait scindé en deux « chantiers ».

D’un côté, « FranceConnect Identité » permettra aux internautes « d’utiliser un moyen d’identification unique pour se connecter à l’ensemble des services publics accessibles en ligne ». Autrement dit, il s’agit du FranceConnect tel qu’on le connait aujourd’hui. Le gouvernement a néanmoins pris plusieurs engagements qui feront date :

  • Tout nouveau service public en ligne lancé après le 1er avril 2018 sera accessible par « FranceConnect Identité ».
  • Les services publics en ligne d’ores et déjà existants seront progressivement appareillés, jusqu’au 31 décembre 2020 « au plus tard ».
  • Un « parcours hautement sécurisé de « FranceConnect Identité » sera disponible au plus tard le 31 décembre 2019 pour permettre le lancement des services en ligne exigeant une authentification renforcée des usagers, tels que la demande de procuration en ligne ou le dépôt de plainte en ligne ».

franceconnect

De l’autre côté, « FranceConnect Plateforme » se présente comme une « architecture technique » visant « l’échange sécurisé de données et de services sous forme d’API, interfaces de programmation applicative, afin de mettre effectivement en œuvre le principe du « Dites-le-nous une fois ». » On retrouve ici « l’étape deux » du projet FranceConnect : permettre non seulement au citoyen d’avoir un identifiant unique, mais aussi de réaliser par ce biais ses démarches administratives à partir des informations provenant de différents comptes  – impôts, allocations familiales, etc.

« C'est une stratégie de marque, mais dans les faits, ça reste la même chose », résume ainsi une source proche du dossier.

Un tableau de bord pour suivre la dématérialisation des démarches

De manière plus accessoire, il a été annoncé qu’un « tableau de bord ouvert et contributif » des services publics de l’État serait « lancé le 30 juin 2018 ». L’objectif : permettre aux citoyens de suivre la dématérialisation des démarches administratives, l’exécutif ambitionnant d’arriver à un taux de 100 % d’ici la fin du quinquennat.

Curieusement, le gouvernement s’est opposé à un amendement en ce sens fin janvier à l’Assemblée nationale... Avec cet outil, les internautes pourront quoi qu’il en soit faire part de leurs avis et « signaler des manques ou dysfonctionnements ».

Autre annonce : un « kit de développement rapide de services en ligne » doit être lancé le 1er mars à destination des acteurs publics, ceci dans l’objectif de « rendre accessibles en ligne 500 nouvelles démarches administratives en 2018 ».

Le gouvernement en a profité pour revenir sur différents projets en cours :

  • Les demandes de CMU-C/ACS « seront simplifiées et accessibles en ligne au plus tard le 31 décembre 2018 ».
  • L’aide juridictionnelle sera « accessible en ligne dans une version simplifiée au plus tard le 31 décembre 2018 ». D’après l’exécutif, cette démarche se verra « numérisée de bout en bout, de la demande initiale à l’instruction et l’attribution, pour les justiciables comme pour les auxiliaires de justice ».
  • Les associations culturelles pourront déposer leurs demandes de subventions sur Internet « à compter du 1er janvier 2019 ».
  • Le dépôt des demandes de permis de construire sera « accessible en ligne en novembre 2018 ». Les demandes de permis de construire et les démarches d’urbanisme seront quant à elles progressivement réalisables en ligne, à horizon 2022.
  • Une application permettant de mettre en œuvre le principe « Dites-le-nous une fois » pour les fiches de liaison demandées par l’Éducation nationale sera « progressivement déployée » (sans calendrier précis).
38
Avatar de l'auteur

Écrit par Xavier Berne

Tiens, en parlant de ça :

Windows en 2024 : beaucoup d’IA, mais pas forcément un « 12 »

Technique contre marketing

17:36 Soft 6
Einstein avec des qubits en arrière plan

Informatique quantique, qubits : avez-vous les bases ?

Q-Doliprane sur demande

16:10 HardScience 6
Notifications iPhone

Surveillance des notifications : un sénateur américain demande la fin du secret

De qui ? Quand ? Comment ?

12:00 DroitSécu 13

Sommaire de l'article

Introduction

Un bouton FranceConnect sur chaque service public numérique avant 2021

Un tableau de bord pour suivre la dématérialisation des démarches

#LeBrief : cloud européen, OSIRIS-REx a frôlée la catastrophe, CPU AMD Ryzen 8040

Windows en 2024 : beaucoup d’IA, mais pas forcément un « 12 »

Soft 6
Einstein avec des qubits en arrière plan

Informatique quantique, qubits : avez-vous les bases ?

HardScience 6
Notifications iPhone

Surveillance des notifications : un sénateur américain demande la fin du secret

DroitSécu 13

En ligne, les promos foireuses restent d’actualité

DroitWeb 16

#LeBrief : modalité des amendes RGPD, cyberattaque agricole, hallucinations d’Amazon Q, 25 ans d’ISS

Logo Twitch

Citant des « coûts prohibitifs », Twitch quitte la Corée du Sud

ÉcoWeb 26
Formation aux cryptomonnaies par Binance à Pôle Emploi

Binance fait son marketing pendant des formations sur la blockchain destinées aux chômeurs

Éco 8
Consommation électrique du CERN

L’empreinte écologique CERN en 2022 : 1 215 GWh, 184 173 teqCO₂, 3 234 Ml…

Science 6
station électrique pour voitures

Voitures électriques : dans la jungle, terrible jungle, des bornes de recharge publiques

Société 73

#LeBrief : intelligence artificielle à tous les étages, fichier biométrique EURODAC

KDE Plasma 6

KDE Plasma 6 a sa première bêta, le tour des nouveautés

Soft 13
Un homme noir regarde la caméra. Sur son visage, des traits blancs suggèrent un traitement algorithmique.

AI Act et reconnaissance faciale : la France interpelée par 45 eurodéputés

DroitSociété 4
Api

La CNIL préconise l’utilisation des API pour le partage de données personnelles entre organismes

SécuSociété 3
Fouet de l’Arcep avec de la fibre

Orange sanctionnée sur la fibre : l’argumentaire de l’opérateur démonté par l’Arcep

DroitWeb 22
Bombes

Israël – Hamas : comment l’IA intensifie les attaques contre Gaza

IA 22

#LeBrief : bande-annonce GTA VI, guerre électronique, Spotify licencie massivement

Poing Dev

Le poing Dev – Round 7

Next 99
Logo de Gaia-X sour la forme d’un arbre, avec la légende : infrastructure de données en forme de réseau

Gaia-X « vit toujours » et « arrive à des étapes très concrètes »

WebSécu 6

Trois consoles portables en quelques semaines

Hard 37
Une tasse estampillée "Keep calm and carry on teaching"

Cyberrésilience : les compromis (provisoires) du trilogue européen

DroitSécu 3

#LeBrief : fuite de tests ADN 23andMe, le milliard pour Android Messages, il y a 30 ans Hubble voyait clair

#Flock a sa propre vision de l’inclusion

Flock 25
Un Sébastien transformé en lapin par Flock pour imiter le Quoi de neuf Docteur des Looney Tunes

Quoi de neuf à la rédac’ #10 : nous contacter et résumé de la semaine

44
Fairphone 5 démonté par iFixit

Sans surprise, le Fairphone 5 obtient 10/10 chez iFixit

Hard 0

WhatsApp vocaux à vue/écoute unique

WhatsApp permet d’envoyer des vocaux à écoute unique

Soft 0

Logo de Google sur un ordinateur portable

Disparitions mystérieuses sur Drive : Google propose un correctif

Soft 0

Puce AMD Instinct

IA : AMD annonce la disponibilité des accélérateurs Instinct MI300A et MI300X

Hard 0

Un œil symbolisant l'Union européenne, et les dissensions et problèmes afférents

Cloud : 1,2 milliard d’euros pour un Projet important d’intérêt européen commun

Web 0

Sonde OSIRIS-REx de la NASA lors du retour de la capsule des échantillons sur Terre

Échantillons d’OSIRIS-REx : la NASA n’est pas passée loin de la catastrophe…

Science 0

CPU AMD Ryzen avec NPU pour l’IA

Ryzen 8040 : AMD lance de nouveaux CPU mobiles (Zen 4, RDNA 3, NPU)

Hard 0

Commentaires (38)


boogieplayer
Hier à 17h00

C’est conforme avec la GRPD ? <img data-src=" /><img data-src=" />


clacbec
Hier à 17h03

ha genre le cesu ursaff qui était accessible avec le prédécesseur de france connect va y revenir
Pas trop tot


Kazer2.0 Abonné
Hier à 17h09

Mouai, j’suis peut être vieux jeu, mais je préfère avoir un identifiant compromisible (ce mot existe pas, si ?) PAR site, plutôt qu’avoir un login/pass qui ouvre plus de “trois-cent site”.


crocodudule
Hier à 17h14






Kazer2.0 a écrit :

Mouai, j’suis peut être vieux jeu, mais je préfère avoir un identifiant compromisible (ce mot existe pas, si ?) PAR site, plutôt qu’avoir un login/pass qui ouvre plus de “trois-cent site”.


Commentaire non disruptif et anti-startupnation détecté!



hellmut Abonné
Hier à 17h33

c’est sûr, mais quand on veut que les français puissent faire des démarches en ligne simplement, complexifier les accès n’est pas la meilleure des idées, et 300 mots de passe pour 300 sites, ça complexifie les choses pour beaucoup de monde.
Evidemment les geeks qui ont un gestionnaire de mots de passe s’en foutent, mais ce n’est encore une fois pas la cible.


aureus
Hier à 17h36

Tu préfère donc avoir 300 mots de passe différents stockés sur 300 bases de données différentes, 300 politiques de mot de passe différentes, des algorithmes de chiffrement différents et des procédures de récupération différentes qui n’impliquent évidemment jamais ton adresse mail. Et t’es en plus capable de les retenir tous dans ta tête sans utiliser une astuce compréhensible par quelqu’un ayant piraté deux de tes mots de passe ? Et chacune des BDD ayant évidemment des infos personnels sur toi.

La fédération permet aussi d’augmenter la sécurité côté infra ou côté utilisateur, la détection de fraude, la double authentification, etc…&nbsp;


aureus
Hier à 17h39

Un gestionnaire de mot de passe c’est aussi un mot de passe unique qui t’ouvre les portes de 300 sites, ca ne répond aucunement à sa problématique.


Kazer2.0 Abonné
Hier à 17h50

Si ça répond très facilement à une problématique ton gestionnaire, mais pas celle que tu penses : Les sites.

La différence entre avoir un mot de passe identique partout et un gestionnaire de mot de passe chiffré avec aussi un mot de passe unique pour le déverrouiller est la suivante : ça ne te protège pas si l’attaquant connait le même mot de passe que tu utilises partout ou ton mot de passe de déverrouillage de ta bases. Ça te protège par contre des sites qui enregistre encore le mot de passe en clair. Si le site se fait hack, celui qui utilise le même mot de passe partout est grillé, mais celui qui utilise un Gestionnaire est tranquille vu que c’est pas son master password pour sa base qui est grillé, seulement le passe pour le site.

Donc oui, ça ne répond pas à la problématique du mot de passe “sésame”, mais ça répond aux sites qui sont encore à stocker en clair.


Jarodd Abonné
Hier à 17h51

Ca amène peut-être des économies et de la simplicité de gestion pour l’Etat. Pour le citoyen, je ne vois pas trop l’apport. Quand on voit les mots de passe les plus utilisés, ça fait peur de n’avoir plus que ça…


aureus
Hier à 17h55

C’est aussi une problématique que résout france connect les sites n’ayant aucun au mot de passe et n’ayant pas à le stocker.


Kazer2.0 Abonné
Hier à 18h07

Ouaip, mais celui qui choppe ton passe FranceConnect à accès à tout <img data-src=" />


Liam Abonné
Hier à 18h40






aureus a écrit :

Un gestionnaire de mot de passe c’est aussi un mot de passe unique qui t’ouvre les portes de 300 sites, ca ne répond aucunement à sa problématique.



Bah d’autant que dans l’absolu, on pourrait dire que FranceConnect, c’est pour ainsi dire un gestionnaire de mot de passe, mais compatible qu’avec les sites du service public.

Le tout est de ne pas utiliser le même mot de passe pour FranceConnect que pour son compte xhamster et son compte caramail, mais le problème se pose plus ou moins à l’identique avec un gestionnaire de mot de passe : si ton master pass lastpass est le même que ton mot de passe Adobe, t’es pas plus avancé.



wanou2 Abonné
Hier à 18h58






Kazer2.0 a écrit :

Mouai, j’suis peut être vieux jeu, mais je préfère avoir un identifiant compromisible (ce mot existe pas, si ?) PAR site, plutôt qu’avoir un login/pass qui ouvre plus de “trois-cent site”.



Vaut mieux un SSO performant qu’une centaine de sites publics dont une majorité sont d’une sécurité douteuse faute de moyen…



vincz777
Hier à 19h56

L’anglais est donc devenu langue officielle?


fred42 Abonné
Hier à 20h10

Tant que ce n’est pas le corse. <img data-src=" />


megadub
Hier à 20h25

C’est tellement pratique ce truc&nbsp;<img data-src=" />

(no irony inside <img data-src=" /> )


tordo
Hier à 08h31

France connect ne fait que la moitié des choses.
Je pense notamment à une mise à jour des données perso. Imaginons que je change d’adresse ça devrait être répercuté sur l’ensemble des services…
Ils devraient s’inspirer de google et de son centre de sécurité où on ne doit modifier qu’une seule fois la donnée pour l’ensemble des services.


megatom
Hier à 08h39

Il va leur falloir booster l’infra car ça rame a fond, j’ai attendu + de deux minutes que le login fonctionne, je vous dit pas l’attente pour l’ouverture d’un compte c’est l’horreur.


megatom
Hier à 08h42

Surtout que la majorité des administrations ont des apis pour ce genre de chose, les banques les utilisent très souvent pour les changements de compte bancaire
Ca arrivera peut-être, je pense que pour le moment le gvt essaie de démocratiser ce truc et de le faire adopter par les administrations. Ensuite c’est juste de l’implémentation de service.


Dadwok
Hier à 08h42

Je pense que c’est clairement l’objectif sur le long terme.

En tout cas je trouve que c’est un super service. J’ai voulu demander un acte de naissance, je me suis connecter sur le site de ma mairie avec FranceConnect et il a récupéré mes infos (nom, prénoms, adresse, mail etc.) je n’ai eu qu’à confirmer que c’était bien mes coordonnés.

Après c’est sur qu’il y a la question de la gestion des mots de passe mais ça on ne peut rien y faire :harou:


Cypus34 Abonné
Hier à 08h57

Répercuter automatiquement les changements d’infos, ce n’est pas le but du “dites-le nous une fois” ?
Pour la gestion des mots de passe, perso je trouve ça bien d’en avoir un seul pour tous les sites (n’ayant pas de gestionnaire de mots de passes), mais il faudrait obliger l’authentification 2 facteurs, par Authenticator / SMS / Mail.


fred42 Abonné
Hier à 09h07

FranceConnect comme son nom l’indique sert à la connexion et à rien d’autre. C’est très bien comme cela.

Ce que tu décris correspond au chantier “dites-le nous une seule fois” qui avance doucement de par la diversité des intervenants qui doivent partager les données. Cela, en plus demande, l’accord explicite de la personne pour le partage des données entre les services.

Souhaiter que l’État s’inspire de Google pour la centralisation et le regroupement des données ? J’espère que tes mots ont dépassé ta pensée. Ne pas oublier que la CNIL a été créée au départ suite à une lutte contre la création d’un fichier centralisé SAFARI


hellmut Abonné
Hier à 09h20

faut juste compromettre le terminal et réussir à cracker la phrase de passe pour accéder aux données.
entre ça et 300 mots de passe tous identiques ou ultra simples stockés de façon plus ou moins sécu sur 300 environnements différents eux-mêmes plus ou moins sécu…
bref on va pas refaire le schmilblick.


hellmut Abonné
Hier à 09h24

on est bien d’accord. ^^


hellmut Abonné
Hier à 09h25

il existe une fonctionnalité de mise à jour des infos perso (Ameli, impots.gouv, etc…)
je l’ai utilisée quand j’ai déménagé en 2013.
après je t’avoue que je sais plus où c’est, mais ça existe.

edit: hop c’est là


Permet d’informer plusieurs organismes publics et privés d’un changement d’adresse postale, d’adresse électronique, de numéro de téléphone fixe et de téléphone portable, notamment :





  • Carte grise

  • Caisses de retraites (Agirc et Arrco, Cnav, Retraites et solidarité, etc.)

  • Caisses de sécurité sociale (CPAM, MSA, CAF, CNMSS, etc.)

  • Énergie (EDF, ENGIE, Direct Énergie)

  • La Poste

  • Pôle emploi

  • Service des impôts


    c’est SUPER PRATIQUE


pelotio Abonné
Hier à 10h11

Je l’ai déjà utilisé plusieurs fois et ca marche très bien.
Il suffit de cliquer sur les services que l’on veut informer et saisir les infos demandées.
Sans doute qu’avec FranceConnect il n’y aura plus besoin de saisir son num de sécu et différents “identifiants” pour chaque service.


Aloryen Abonné
Hier à 10h32

Pourquoi est-ce réservé aux administrations ?

&nbsp;Je préfèrerai largement proposer une authentification par France Connect plutôt que google/facebook pour mon app (service de recommandé électronique)… mais impossible.


plusquezero
Hier à 12h03

C’est bien tout ça. Mais ça veut dire que tout ce qui est compatible France Connect est aussi sécurisé que le plus faible maillon des services d’authentification associé. Or… ameli.fr a une politique de mot de passe qui relève de la blague : “8 à 13 chiffres”, lettre et caractères spéciaux interdits.
On peut donc attaquer l’ensemble des services en testant que près de 10 000 milliards de combinaisons.


fred42 Abonné
Hier à 12h55

SI tu arrives à voler la base de mots de passe d’Ameli et les éléments la protégeant, tu as raison, mais sinon, tu te feras jeter après un certain nombre d’essais erronés.


numerid Abonné
Hier à 15h05

Si c’est comme pour la plupart des trucs de ce genre, trois ou quatre généralement, ce qui est, tout de même, assez loin des 10 000 milliards de combinaisons envisageables.


micktrs Abonné
Hier à 15h55

Le gestionnaire de mdp est même encore pire : si tu te le fais hacké, le temps que tu change tes 300 mdp…

Non, je trouve que ce n’est pas plus mal de cette façon. Il suffit d’avoir un bon mdp et c’est bon.


hellmut Abonné
Hier à 16h05

a priori encore moins de risques de se faire cracker son gestionnaire de pass en local qu’un outil centralisé comme franceConnect qui peut, par la masse de données, attirer les convoitises.


Z-os Abonné
Hier à 20h47

Perso j’ai réussi à le verrouiller. J’ai effectué plusieurs fois la procédure de récupération qui normalement renvoyait un mail ou un courrier. Rien à faire je n’ai rien pu récupérer. Remarquant alors que les mails indiquant les remboursements me suffisaient pour ma situation je n’ai pas creusé plus.


megadub
Hier à 06h37






plusquezero a écrit :

C’est bien tout ça. Mais ça veut dire que tout ce qui est compatible France Connect est aussi sécurisé que le plus faible maillon des services d’authentification associé. Or… ameli.fr a une politique de mot de passe qui relève de la blague : “8 à 13 chiffres”, lettre et caractères spéciaux interdits.
On peut donc attaquer l’ensemble des services en testant que près de 10 000 milliards de combinaisons.


Bah non, ça veut dire qu’Ameli profitera de la protection France Connect plutôt que Ameli, ça va donc être aussi sécurisé que le maillon le plus fort qu’est France Connect :)



Zerdligham Abonné
Hier à 08h08

En espérant que les conditions d’utilisation de France Connect soient suffisamment strictes pour que les devs des applis l’utilisant ne puissent pas compromettre les tokens en jeu.
En disant ça, je passe de pas convaincu à enthousiaste! si les administrations sont obligées d’utiliser FC et que pour l’utiliser on est obligé de faire un minimum de sécurité, ça les obligera à faire des sites sécurisés! (je ne pense pas aux ‘gros’ comme impots et ameli qui le sont vraisemblablement déjà, mais à la multitude de petits sites sur lesquels les moyens pour faire de la sécurité sont rarement la priorité)


Zerdligham Abonné
Hier à 08h10

Un autre avantage du gestionnaire de mdp, c’est que tu peux mettre une adresse mail par site, de façon à ce qu’en cas de spam, tu saches d’où ça vient (et tu peux fermer le compte / couper l’adresse si nécessaire)
Bon, en théorie, les sites des administrations ne devraient pas être trop concernés par ce problème.


plusquezero
Hier à 16h15

Plutôt : que le maillon le plus faible de France Connect, hors ameli.
Si tu mets une porte blindée devant chez toi, et une porte branlante derrière dans le jardin, c’est cette dernière qui caractérise ton niveau de sécurité.


tordo
Hier à 08h48

Non tu m’as mal compris, je parle d’une authentification de type auth2 qui permet de garantir l’identité et t’éviter ainsi de répéter de remplir les mêmes infos pour prouver ton identité sur chacun des services de l’état. Au contraire ça pourrait même éviter une diffusion des informations personnel à trop personne.

Quand à safari ben ça existe déjà ça s’appelle Facebook (<img data-src=" />)

Et au final actuellement je n’ai pas l’impression de maîtriser mes données perso au niveau de l’état qui reste une grosse boîte noir.