FranceConnect+ « renforce la sécurité » de Mon Compte Formation
Le 26 octobre 2022 à 05h24
1 min
Internet
Internet
La DINUM explique que, depuis hier, « FranceConnect+ devient la clé d’entrée pour acheter, de façon sécurisée, une formation sur la plateforme moncompteformation.gouv.fr ».
Jusqu’à présent, c’était FranceConnect qui était utilisé. La version « + » est utilisée pour les démarches sensibles, avec une « authentification forte ou vérification en deux étapes ». Pour le moment, il faut obligatoirement passer par L’Identité Numérique La Poste ; c’est le seul partenaire de FranceConnect+. D’autres « identités » seront proposées dans un second temps.
« Pour s’authentifier avec ce service, l’utilisateur s’identifie avec son numéro de téléphone mobile, facile à connaître, reçoit une notification sur son smartphone via l’application, saisit le code secret qu’il a choisi et poursuit sa démarche en toute sécurité ».
« Des fraudes au Compte personnel de formation (CPF) ont été commises, via l’usurpation d’identité, en hausse cet été », explique la DINUM pour expliquer cette mise en place. Pour créer votre identité numérique avec La Poste, c’est par ici que ça se passe.
Le 26 octobre 2022 à 05h24
Commentaires (29)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 26/10/2022 à 06h19
Très bien pour le CPF. Ça diminuera peut-être toutes les arnaques liées.
Par contre déçu qu’encore beaucoup de services utilisent exclusivement en deuxième facteur le SMS. J’aime pas du tout le SMS et j’essaye de ne pas l’utiliser quand c’est possible.
J’attend de voir ce que va donner le “passkey”. Sinon j’aimerais que même si ce n’est utilisé par une majorité mais qu’ils implémentent les clés de sécurité ou au minimum l’otp.
Je viens de relire ce n’est pas un SMS mais à travers une application mais l’enregistrement de l’application se fait par SMS ? Puis après tu reçois des notifications comme authenticator de Microsoft ou des popup de Google sur Android ?
Le 26/10/2022 à 06h49
C’est tout à fait ça, c’est via une authentification que se fait la validation. Sur mon téléphone l’application ne fonctionne pas (un sony sous android 8.1)
Le 26/10/2022 à 07h25
Je suis gêné qu’il n’y est un seul fournisseur. C’est un point potentiel de faille, non??
Le 26/10/2022 à 07h31
L’avantage avec La Poste, c’est que les facteurs sont des agents assermentés, ce qui leur donne la possibilité d’effectuer officiellement la vérification visuelle avec un RdV en poste ou chez toi lors de la livraison du courrier.
Je ne pense pas qu’il y ai d’autre fournisseur capable de faire ce boulot aussi rapidement et facilement que La Poste.
Le 26/10/2022 à 07h32
J’ai un peu de mal à comprendre la restriction sur un seul des fournisseurs “brandé” FranceConnect. Ne pas proposer l’authentification FranceConnect par les identifiants de l’administration fiscale, c’est un peu bizarre, vu que quasiment tout le monde ayant un CPF a un numero fiscal..
Le 26/10/2022 à 08h13
On est tellement à la rue en France. Au Luxembourg tu as obligatoirement un token de type luxtrust pour des manip’ en ligne (https://www.services-publics.lu/login/TAMLoginServlet?TAM_OP=login&USERNAME=unauthenticated&ERROR_CODE=0x00000000&ERROR_TEXT=HPDBA0521I%20%20%20Successful%20completion&METHOD=GET&URL=%2Ffpgun-iep%2Fjsp%2Factivate_service.action%3FserviceType%3DRNRPP_VALREC%26lang%3DFR&REFERER=https%3A%2F%2Fguichet.public.lu%2F&HOSTNAME=www.services-publics.lu&AUTHNLEVEL=5&FAILREASON=&PROTOCOL=https).
Et y’a de fortes chances que ton luxtrust soit ta carte d’identité si t’es Luxembourgeois.
Le 26/10/2022 à 08h19
Il me semble que ce dont vous parlez est en cours de déploiement avec la nouvelle carte d’identité française.
Le 26/10/2022 à 08h25
Jusqu’a il y a peu, il n’y avait qu’un token physique, sur abonnement, ou gratuit si tu avais un compte au Lux.
Mais maintenant il y a une appli gratuite, c’est vrai
Le 26/10/2022 à 08h48
Normalement en 2023, l’application Carte Sesam Vitale devrait être un fournisseur d’identité FranceConnect+
Je crois aussi que notre future carte d’identité pourra servir en deuxième facteur.
Mais pour le moment, il n’y a que La Poste.
Le 26/10/2022 à 10h55
Tu as une source??
Ça m’intéresse, car avec le Ségur du numérique, l’État veut que le professionnel de santé s’assure de l’identité du patient avant d’envoyer les données médicales vers le DPM/monespacesanté. C’est pour éviter de confondre des patients homonymes.
Mais demander à un patient sa CNI ou son livret de famille (pour les enfants) c’est une révolution pour les professionnels de santé.
Lors des visioconférences, les intervenants disaient que c’est obligatoire sans pointer le texte de loi qui l’impose.
Si on peut reporter ce contrôle sur un tiers et rester sur le métier de soin, cela serait top.
Le 26/10/2022 à 12h45
Ce brief l’évoque, y compris dans le cadre du parcours de soin.
Next INpact
D’autres liens
République Françaisehttps://gnius.esante.gouv.fr/fr/reglementation/fiches-reglementation/apcv#:~:text=Version%20d%C3%A9mat%C3%A9rialis%C3%A9e%20de%20l’actuelle,b%C3%A9n%C3%A9ficiaires%20de%20l’assurance%20maladie.
https://www.ouiemagazine.net/2022/07/25/la-carte-vitale-dematerialisee-apcv-sera-bientot-generalisee/
Dans le dernier lien, ils évoquent les 8 départements du déploiement initial…
Le 26/10/2022 à 13h08
Merci pour les liens. 👍
Donc pour compenser l’absence de contrôle lors de la délivrance de la CV, d’applications demande à l’utilisateur de se prendre en photo et donner une copie numérique d’un titre d’identité. C’est ce qu’indique l’article 7 ter.
Le 26/10/2022 à 14h24
Les détails m’échappent, mais je crois que le GIE S/V va s’appuyer sur une solution qui respecte
République Française
Le 26/10/2022 à 15h14
Ce référentiel opposable est une belle entourloupe administrative: Publié en mars applicable en juin 2022, tous les professionnels de santé doivent se connecter et s’identifier via des techniques d’authentification forte avec double facteur. Leur logiciel métier doit notamment proposé de se connecter via le portail Pro Sante Connect (où la double authentification est obligatoire).
Si l’exigence de sécurité est à saluer, en 3 mois c’est impossible de faire évoluer tous les logiciels métiers.
La beauté administrative, c’est de laisser une période de transition de deux ans, où le professionnel de santé ne peut pas être condamné si il a fait un plan d’action expliquant les étapes pour satisfaire aux exigences du référentiel dans 2 ans.
Bref, ce référentiel est pour l’authentification des personnes accédant à des données de santé (professionnels de santé, paramédicaux, assistants sociaux, secrétaire des hôpitaux) pas pour l’identification des patients, il me semble.
Le 26/10/2022 à 15h32
Pour les professionnels de santé, je pensais que leur Carte pro était déjà un deuxième facteur suffisant, j’ignore les évolutions sur ce point.
Mais le référentiel s’applique, entre autre, au grand public et aux fournisseurs d’identité FranceConnect niveau 2.
Note : la poste est déjà prête car elle n’en a pas besoin, sa vérification d’identité n’est pas à distance, le postier se déplace.
Le 26/10/2022 à 16h26
Elle pourrait, les CPS ont ainsi une puce NFC mais beaucoup de professionnelles ont leur CPS bloqué dans le lecteur de carte vitale, c’est la CPS qui va chiffrer et signer les échanges pour la facturation électronique avec les caisses.
Résultat, les autorité ont créé la e-CPS pour authentifier le professionnel de santé dont sa CPS physique est coincé dans le lecteur.
Le 26/10/2022 à 09h40
Les quoi ?
Le 26/10/2022 à 12h24
Surtout que la CNI n’étant pas obligatoire en France, quelles sont les autres pièces d’identité qui vont être acceptées ?
Le 26/10/2022 à 12h51
Ne sont pas acceptés:
Le 26/10/2022 à 18h15
du coup, si t’a:
, tu peux aller dans la même boite que Jean Claude Poupon pour ta formation…
Le 27/10/2022 à 05h41
Il n’y a pas que le smartphone pour se connecter à un site web.
Le 27/10/2022 à 08h13
Le 27/10/2022 à 10h37
Dans les faits, ce n’est pas le cas, au moins à ma connaissance.
Ma mère s’authentifie aux services où France Connect (certes pas +) depuis son PC (sous Debian). On parle bien d’un service web, non ?
S’il faut absolument un smartphone, qui plus est compatible, c’est simplement illégal car anticonstitutionnel.
Le 27/10/2022 à 11h50
Pourtant c’est bien comme ça que FranceConnect+ semble marcher puisque c’est du MFA utilisant l’application “Identité Numérique” de la Poste. Après j’ai pas été jusqu’à créer un profil pour vérifier, mais peut-être qu’il y a une méthode de secours via SMS.
Mais en gros, c’est comme les applications bancaires qui pratiquent du MFA via une validation sur leur appli smartphone.
Le 27/10/2022 à 12h32
Je n’ai pas vérifié non plus, mais on parle d’un service où l’identité peut être vérifiée par la Poste.
Logiquement, une borne Internet dans un bureau de Poste…
Le 27/10/2022 à 14h49
SebGF est assez proche de la réalité sauf pour les SMS qui introduiraient une faiblesse évidente incompatible avec le niveau de garantie substantiel. Seule l’application est utilisable.
Non, ce n’est pas une borne internet dans un bureau de poste, ça ne serait pas pratique du tout à utiliser s’il fallait se déplacer à chaque fois que l’on veut s’identifier sur internet.
Le 27/10/2022 à 15h49
J’ai été sur le site quand j’ai posté mon message justement… La vidéo de présentation c’est typiquement le cas d’usage des applis bancaire faisant office de MFA pour la validation des opérations.
J’ai supposé le SMS en solution de repli pour l’envoi d’un code à usage unique car typiquement j’ai constaté ça récemment avec l’appli de ma banque suite au changement de portable. La nouvelle installation n’a pas prise en charge immédiatement le MFA et elle a marché par SMS durant une paire de jours jusqu’à réception d’un mail de confirmation d’activation.
Le 27/10/2022 à 15h53
Oups, j’avais mal lu le début de ton message et me suis laissé emporter par l’histoire du SMS.
Le 27/10/2022 à 16h29
Pas de soucis