La DINUM explique que, depuis hier, « FranceConnect+ devient la clé d’entrée pour acheter, de façon sécurisée, une formation sur la plateforme moncompteformation.gouv.fr ».
Jusqu’à présent, c’était FranceConnect qui était utilisé. La version « + » est utilisée pour les démarches sensibles, avec une « authentification forte ou vérification en deux étapes ». Pour le moment, il faut obligatoirement passer par L’Identité Numérique La Poste ; c’est le seul partenaire de FranceConnect+. D’autres « identités » seront proposées dans un second temps.
« Pour s’authentifier avec ce service, l’utilisateur s’identifie avec son numéro de téléphone mobile, facile à connaître, reçoit une notification sur son smartphone via l’application, saisit le code secret qu’il a choisi et poursuit sa démarche en toute sécurité ».
« Des fraudes au Compte personnel de formation (CPF) ont été commises, via l’usurpation d’identité, en hausse cet été », explique la DINUM pour expliquer cette mise en place. Pour créer votre identité numérique avec La Poste, c’est par ici que ça se passe.
Commentaires (29)
#1
Très bien pour le CPF. Ça diminuera peut-être toutes les arnaques liées.
Par contre déçu qu’encore beaucoup de services utilisent exclusivement en deuxième facteur le SMS. J’aime pas du tout le SMS et j’essaye de ne pas l’utiliser quand c’est possible.
J’attend de voir ce que va donner le “passkey”. Sinon j’aimerais que même si ce n’est utilisé par une majorité mais qu’ils implémentent les clés de sécurité ou au minimum l’otp.
Je viens de relire ce n’est pas un SMS mais à travers une application mais l’enregistrement de l’application se fait par SMS ? Puis après tu reçois des notifications comme authenticator de Microsoft ou des popup de Google sur Android ?
#1.1
C’est tout à fait ça, c’est via une authentification que se fait la validation. Sur mon téléphone l’application ne fonctionne pas (un sony sous android 8.1)
#2
Je suis gêné qu’il n’y est un seul fournisseur. C’est un point potentiel de faille, non??
#3
L’avantage avec La Poste, c’est que les facteurs sont des agents assermentés, ce qui leur donne la possibilité d’effectuer officiellement la vérification visuelle avec un RdV en poste ou chez toi lors de la livraison du courrier.
Je ne pense pas qu’il y ai d’autre fournisseur capable de faire ce boulot aussi rapidement et facilement que La Poste.
#4
J’ai un peu de mal à comprendre la restriction sur un seul des fournisseurs “brandé” FranceConnect. Ne pas proposer l’authentification FranceConnect par les identifiants de l’administration fiscale, c’est un peu bizarre, vu que quasiment tout le monde ayant un CPF a un numero fiscal..
#5
On est tellement à la rue en France. Au Luxembourg tu as obligatoirement un token de type luxtrust pour des manip’ en ligne (https://www.services-publics.lu/login/TAMLoginServlet?TAM_OP=login&USERNAME=unauthenticated&ERROR_CODE=0x00000000&ERROR_TEXT=HPDBA0521I%20%20%20Successful%20completion&METHOD=GET&URL=%2Ffpgun-iep%2Fjsp%2Factivate_service.action%3FserviceType%3DRNRPP_VALREC%26lang%3DFR&REFERER=https%3A%2F%2Fguichet.public.lu%2F&HOSTNAME=www.services-publics.lu&AUTHNLEVEL=5&FAILREASON=&PROTOCOL=https).
Et y’a de fortes chances que ton luxtrust soit ta carte d’identité si t’es Luxembourgeois.
#5.1
Il me semble que ce dont vous parlez est en cours de déploiement avec la nouvelle carte d’identité française.
#5.2
Jusqu’a il y a peu, il n’y avait qu’un token physique, sur abonnement, ou gratuit si tu avais un compte au Lux.
Mais maintenant il y a une appli gratuite, c’est vrai
#6
Normalement en 2023, l’application Carte Sesam Vitale devrait être un fournisseur d’identité FranceConnect+
Je crois aussi que notre future carte d’identité pourra servir en deuxième facteur.
Mais pour le moment, il n’y a que La Poste.
#6.1
Tu as une source??
Ça m’intéresse, car avec le Ségur du numérique, l’État veut que le professionnel de santé s’assure de l’identité du patient avant d’envoyer les données médicales vers le DPM/monespacesanté. C’est pour éviter de confondre des patients homonymes.
Mais demander à un patient sa CNI ou son livret de famille (pour les enfants) c’est une révolution pour les professionnels de santé.
Lors des visioconférences, les intervenants disaient que c’est obligatoire sans pointer le texte de loi qui l’impose.
Si on peut reporter ce contrôle sur un tiers et rester sur le métier de soin, cela serait top.
#6.2
Ce brief l’évoque, y compris dans le cadre du parcours de soin.
https://www.nextinpact.com/lebrief/48364/worldline-sassocie-au-gie-sesam-vitale-pour-securisation-carte-vitale-dematerialisee-sur-smartphone#
D’autres liens
https://www.legifrance.gouv.fr/loda/id/JORFTEXT000038514488
https://gnius.esante.gouv.fr/fr/reglementation/fiches-reglementation/apcv#:~:text=Version%20d%C3%A9mat%C3%A9rialis%C3%A9e%20de%20l’actuelle,b%C3%A9n%C3%A9ficiaires%20de%20l’assurance%20maladie.
https://www.ouiemagazine.net/2022/07/25/la-carte-vitale-dematerialisee-apcv-sera-bientot-generalisee/
Dans le dernier lien, ils évoquent les 8 départements du déploiement initial…
#6.3
Merci pour les liens. 👍
Donc pour compenser l’absence de contrôle lors de la délivrance de la CV, d’applications demande à l’utilisateur de se prendre en photo et donner une copie numérique d’un titre d’identité. C’est ce qu’indique l’article 7 ter.
#6.4
Les détails m’échappent, mais je crois que le GIE S/V va s’appuyer sur une solution qui respecte https://www.ssi.gouv.fr/actualite/publication-du-referentiel-dexigences-applicables-aux-prestataires-de-verification-didentite-a-distance-pvid/
#6.5
Ce référentiel opposable est une belle entourloupe administrative: Publié en mars applicable en juin 2022, tous les professionnels de santé doivent se connecter et s’identifier via des techniques d’authentification forte avec double facteur. Leur logiciel métier doit notamment proposé de se connecter via le portail Pro Sante Connect (où la double authentification est obligatoire).
Si l’exigence de sécurité est à saluer, en 3 mois c’est impossible de faire évoluer tous les logiciels métiers.
La beauté administrative, c’est de laisser une période de transition de deux ans, où le professionnel de santé ne peut pas être condamné si il a fait un plan d’action expliquant les étapes pour satisfaire aux exigences du référentiel dans 2 ans.
Bref, ce référentiel est pour l’authentification des personnes accédant à des données de santé (professionnels de santé, paramédicaux, assistants sociaux, secrétaire des hôpitaux) pas pour l’identification des patients, il me semble.
#6.6
Pour les professionnels de santé, je pensais que leur Carte pro était déjà un deuxième facteur suffisant, j’ignore les évolutions sur ce point.
Mais le référentiel s’applique, entre autre, au grand public et aux fournisseurs d’identité FranceConnect niveau 2.
Note : la poste est déjà prête car elle n’en a pas besoin, sa vérification d’identité n’est pas à distance, le postier se déplace.
#6.7
Elle pourrait, les CPS ont ainsi une puce NFC mais beaucoup de professionnelles ont leur CPS bloqué dans le lecteur de carte vitale, c’est la CPS qui va chiffrer et signer les échanges pour la facturation électronique avec les caisses.
Résultat, les autorité ont créé la e-CPS pour authentifier le professionnel de santé dont sa CPS physique est coincé dans le lecteur.
#7
Les quoi ?
#8
Surtout que la CNI n’étant pas obligatoire en France, quelles sont les autres pièces d’identité qui vont être acceptées ?
#9
Ne sont pas acceptés:
#10
du coup, si t’a:
, tu peux aller dans la même boite que Jean Claude Poupon pour ta formation…
#10.1
Il n’y a pas que le smartphone pour se connecter à un site web.
#10.2
#10.3
Dans les faits, ce n’est pas le cas, au moins à ma connaissance.
Ma mère s’authentifie aux services où France Connect (certes pas +) depuis son PC (sous Debian). On parle bien d’un service web, non ?
S’il faut absolument un smartphone, qui plus est compatible, c’est simplement illégal car anticonstitutionnel.
#10.4
Pourtant c’est bien comme ça que FranceConnect+ semble marcher puisque c’est du MFA utilisant l’application “Identité Numérique” de la Poste. Après j’ai pas été jusqu’à créer un profil pour vérifier, mais peut-être qu’il y a une méthode de secours via SMS.
Mais en gros, c’est comme les applications bancaires qui pratiquent du MFA via une validation sur leur appli smartphone.
#10.5
Je n’ai pas vérifié non plus, mais on parle d’un service où l’identité peut être vérifiée par la Poste.
Logiquement, une borne Internet dans un bureau de Poste…
#10.6
SebGF est assez proche de la réalité sauf pour les SMS qui introduiraient une faiblesse évidente incompatible avec le niveau de garantie substantiel. Seule l’application est utilisable.
Non, ce n’est pas une borne internet dans un bureau de poste, ça ne serait pas pratique du tout à utiliser s’il fallait se déplacer à chaque fois que l’on veut s’identifier sur internet.
#10.7
J’ai été sur le site quand j’ai posté mon message justement… La vidéo de présentation c’est typiquement le cas d’usage des applis bancaire faisant office de MFA pour la validation des opérations.
J’ai supposé le SMS en solution de repli pour l’envoi d’un code à usage unique car typiquement j’ai constaté ça récemment avec l’appli de ma banque suite au changement de portable. La nouvelle installation n’a pas prise en charge immédiatement le MFA et elle a marché par SMS durant une paire de jours jusqu’à réception d’un mail de confirmation d’activation.
#10.8
Oups, j’avais mal lu le début de ton message et me suis laissé emporter par l’histoire du SMS.
#10.9
Pas de soucis