À partir du mois d’avril, tous les nouveaux services publics numériques devront proposer le bouton FranceConnect à leurs utilisateurs. Ce dispositif d’authentification « officiel » sera par la suite déployé sur les autres sites publics, à horizon 2021.
À ceux qui craignaient que la récente mission sur l’identité numérique ne vienne enterrer FranceConnect, le gouvernement a envoyé un message, le 1er février, à l’issue du comité interministériel sur la transformation publique : le célèbre « SSO » a encore de beaux jours devant lui.
« Trois millions de Français s’en servent déjà pour accéder à trois-cents sites, et nous devrions arriver à dix millions de personnes à la fin de l’année », a même indiqué Henri Verdier, le numéro un de la Direction interministérielle au numérique (DINSIC), la semaine dernière devant l’Assemblée nationale. Et pour cause : pour la première fois, il sera possible de télédéclarer ses revenus à partir de l’identifiant et du mot de passe d’autres services que celui des impôts (Ameli.fr, Mobile Connect et moi ou IDN de La Poste).
Jusqu’ici, c’était davantage les codes utilisés pour le site « impots.gouv.fr » qui ouvraient la porte des autres sites arborant le bouton FranceConnect – demandes de carte grise, consultation du solde de points du permis de conduire, etc.
Un bouton FranceConnect sur chaque service public numérique avant 2021
Dans l’espoir de faire de la France « l’une des meilleures nations en matière d’administration numérique au service de tous », l’exécutif a annoncé à l’issue du comité interministériel du 1er février dernier que FranceConnect serait scindé en deux « chantiers ».
D’un côté, « FranceConnect Identité » permettra aux internautes « d’utiliser un moyen d’identification unique pour se connecter à l’ensemble des services publics accessibles en ligne ». Autrement dit, il s’agit du FranceConnect tel qu’on le connait aujourd’hui. Le gouvernement a néanmoins pris plusieurs engagements qui feront date :
- Tout nouveau service public en ligne lancé après le 1er avril 2018 sera accessible par « FranceConnect Identité ».
- Les services publics en ligne d’ores et déjà existants seront progressivement appareillés, jusqu’au 31 décembre 2020 « au plus tard ».
- Un « parcours hautement sécurisé de « FranceConnect Identité » sera disponible au plus tard le 31 décembre 2019 pour permettre le lancement des services en ligne exigeant une authentification renforcée des usagers, tels que la demande de procuration en ligne ou le dépôt de plainte en ligne ».
De l’autre côté, « FranceConnect Plateforme » se présente comme une « architecture technique » visant « l’échange sécurisé de données et de services sous forme d’API, interfaces de programmation applicative, afin de mettre effectivement en œuvre le principe du « Dites-le-nous une fois ». » On retrouve ici « l’étape deux » du projet FranceConnect : permettre non seulement au citoyen d’avoir un identifiant unique, mais aussi de réaliser par ce biais ses démarches administratives à partir des informations provenant de différents comptes – impôts, allocations familiales, etc.
« C'est une stratégie de marque, mais dans les faits, ça reste la même chose », résume ainsi une source proche du dossier.
Un tableau de bord pour suivre la dématérialisation des démarches
De manière plus accessoire, il a été annoncé qu’un « tableau de bord ouvert et contributif » des services publics de l’État serait « lancé le 30 juin 2018 ». L’objectif : permettre aux citoyens de suivre la dématérialisation des démarches administratives, l’exécutif ambitionnant d’arriver à un taux de 100 % d’ici la fin du quinquennat.
Curieusement, le gouvernement s’est opposé à un amendement en ce sens fin janvier à l’Assemblée nationale... Avec cet outil, les internautes pourront quoi qu’il en soit faire part de leurs avis et « signaler des manques ou dysfonctionnements ».
Autre annonce : un « kit de développement rapide de services en ligne » doit être lancé le 1er mars à destination des acteurs publics, ceci dans l’objectif de « rendre accessibles en ligne 500 nouvelles démarches administratives en 2018 ».
Le gouvernement en a profité pour revenir sur différents projets en cours :
- Les demandes de CMU-C/ACS « seront simplifiées et accessibles en ligne au plus tard le 31 décembre 2018 ».
- L’aide juridictionnelle sera « accessible en ligne dans une version simplifiée au plus tard le 31 décembre 2018 ». D’après l’exécutif, cette démarche se verra « numérisée de bout en bout, de la demande initiale à l’instruction et l’attribution, pour les justiciables comme pour les auxiliaires de justice ».
- Les associations culturelles pourront déposer leurs demandes de subventions sur Internet « à compter du 1er janvier 2019 ».
- Le dépôt des demandes de permis de construire sera « accessible en ligne en novembre 2018 ». Les demandes de permis de construire et les démarches d’urbanisme seront quant à elles progressivement réalisables en ligne, à horizon 2022.
- Une application permettant de mettre en œuvre le principe « Dites-le-nous une fois » pour les fiches de liaison demandées par l’Éducation nationale sera « progressivement déployée » (sans calendrier précis).
Commentaires (38)
#1
C’est conforme avec la GRPD ?
" />
" />
#2
ha genre le cesu ursaff qui était accessible avec le prédécesseur de france connect va y revenir
Pas trop tot
#3
Mouai, j’suis peut être vieux jeu, mais je préfère avoir un identifiant compromisible (ce mot existe pas, si ?) PAR site, plutôt qu’avoir un login/pass qui ouvre plus de “trois-cent site”.
#4
#5
c’est sûr, mais quand on veut que les français puissent faire des démarches en ligne simplement, complexifier les accès n’est pas la meilleure des idées, et 300 mots de passe pour 300 sites, ça complexifie les choses pour beaucoup de monde.
Evidemment les geeks qui ont un gestionnaire de mots de passe s’en foutent, mais ce n’est encore une fois pas la cible.
#6
Tu préfère donc avoir 300 mots de passe différents stockés sur 300 bases de données différentes, 300 politiques de mot de passe différentes, des algorithmes de chiffrement différents et des procédures de récupération différentes qui n’impliquent évidemment jamais ton adresse mail. Et t’es en plus capable de les retenir tous dans ta tête sans utiliser une astuce compréhensible par quelqu’un ayant piraté deux de tes mots de passe ? Et chacune des BDD ayant évidemment des infos personnels sur toi.
La fédération permet aussi d’augmenter la sécurité côté infra ou côté utilisateur, la détection de fraude, la double authentification, etc…
#7
Un gestionnaire de mot de passe c’est aussi un mot de passe unique qui t’ouvre les portes de 300 sites, ca ne répond aucunement à sa problématique.
#8
Si ça répond très facilement à une problématique ton gestionnaire, mais pas celle que tu penses : Les sites.
La différence entre avoir un mot de passe identique partout et un gestionnaire de mot de passe chiffré avec aussi un mot de passe unique pour le déverrouiller est la suivante : ça ne te protège pas si l’attaquant connait le même mot de passe que tu utilises partout ou ton mot de passe de déverrouillage de ta bases. Ça te protège par contre des sites qui enregistre encore le mot de passe en clair. Si le site se fait hack, celui qui utilise le même mot de passe partout est grillé, mais celui qui utilise un Gestionnaire est tranquille vu que c’est pas son master password pour sa base qui est grillé, seulement le passe pour le site.
Donc oui, ça ne répond pas à la problématique du mot de passe “sésame”, mais ça répond aux sites qui sont encore à stocker en clair.
#9
Ca amène peut-être des économies et de la simplicité de gestion pour l’Etat. Pour le citoyen, je ne vois pas trop l’apport. Quand on voit les mots de passe les plus utilisés, ça fait peur de n’avoir plus que ça…
#10
C’est aussi une problématique que résout france connect les sites n’ayant aucun au mot de passe et n’ayant pas à le stocker.
#11
Ouaip, mais celui qui choppe ton passe FranceConnect à accès à tout
" />
#12
#13
#14
L’anglais est donc devenu langue officielle?
#15
Tant que ce n’est pas le corse.
" />
#16
C’est tellement pratique ce truc 
" />
" /> )
(no irony inside
#17
France connect ne fait que la moitié des choses.
Je pense notamment à une mise à jour des données perso. Imaginons que je change d’adresse ça devrait être répercuté sur l’ensemble des services…
Ils devraient s’inspirer de google et de son centre de sécurité où on ne doit modifier qu’une seule fois la donnée pour l’ensemble des services.
#18
Il va leur falloir booster l’infra car ça rame a fond, j’ai attendu + de deux minutes que le login fonctionne, je vous dit pas l’attente pour l’ouverture d’un compte c’est l’horreur.
#19
Surtout que la majorité des administrations ont des apis pour ce genre de chose, les banques les utilisent très souvent pour les changements de compte bancaire
Ca arrivera peut-être, je pense que pour le moment le gvt essaie de démocratiser ce truc et de le faire adopter par les administrations. Ensuite c’est juste de l’implémentation de service.
#20
Je pense que c’est clairement l’objectif sur le long terme.
En tout cas je trouve que c’est un super service. J’ai voulu demander un acte de naissance, je me suis connecter sur le site de ma mairie avec FranceConnect et il a récupéré mes infos (nom, prénoms, adresse, mail etc.) je n’ai eu qu’à confirmer que c’était bien mes coordonnés.
Après c’est sur qu’il y a la question de la gestion des mots de passe mais ça on ne peut rien y faire
#21
Répercuter automatiquement les changements d’infos, ce n’est pas le but du “dites-le nous une fois” ?
Pour la gestion des mots de passe, perso je trouve ça bien d’en avoir un seul pour tous les sites (n’ayant pas de gestionnaire de mots de passes), mais il faudrait obliger l’authentification 2 facteurs, par Authenticator / SMS / Mail.
#22
FranceConnect comme son nom l’indique sert à la connexion et à rien d’autre. C’est très bien comme cela.
Ce que tu décris correspond au chantier “dites-le nous une seule fois” qui avance doucement de par la diversité des intervenants qui doivent partager les données. Cela, en plus demande, l’accord explicite de la personne pour le partage des données entre les services.
Souhaiter que l’État s’inspire de Google pour la centralisation et le regroupement des données ? J’espère que tes mots ont dépassé ta pensée. Ne pas oublier que la CNIL a été créée au départ suite à une lutte contre la création d’un fichier centralisé SAFARI
#23
faut juste compromettre le terminal et réussir à cracker la phrase de passe pour accéder aux données.
entre ça et 300 mots de passe tous identiques ou ultra simples stockés de façon plus ou moins sécu sur 300 environnements différents eux-mêmes plus ou moins sécu…
bref on va pas refaire le schmilblick.
#24
on est bien d’accord. ^^
#25
il existe une fonctionnalité de mise à jour des infos perso (Ameli, impots.gouv, etc…)
je l’ai utilisée quand j’ai déménagé en 2013.
après je t’avoue que je sais plus où c’est, mais ça existe.
edit: hop c’est là
Permet d’informer plusieurs organismes publics et privés d’un changement d’adresse postale, d’adresse électronique, de numéro de téléphone fixe et de téléphone portable, notamment :
c’est SUPER PRATIQUE
#26
Je l’ai déjà utilisé plusieurs fois et ca marche très bien.
Il suffit de cliquer sur les services que l’on veut informer et saisir les infos demandées.
Sans doute qu’avec FranceConnect il n’y aura plus besoin de saisir son num de sécu et différents “identifiants” pour chaque service.
#27
Pourquoi est-ce réservé aux administrations ?
Je préfèrerai largement proposer une authentification par France Connect plutôt que google/facebook pour mon app (service de recommandé électronique)… mais impossible.
#28
C’est bien tout ça. Mais ça veut dire que tout ce qui est compatible France Connect est aussi sécurisé que le plus faible maillon des services d’authentification associé. Or… ameli.fr a une politique de mot de passe qui relève de la blague : “8 à 13 chiffres”, lettre et caractères spéciaux interdits.
On peut donc attaquer l’ensemble des services en testant que près de 10 000 milliards de combinaisons.
#29
SI tu arrives à voler la base de mots de passe d’Ameli et les éléments la protégeant, tu as raison, mais sinon, tu te feras jeter après un certain nombre d’essais erronés.
#30
Si c’est comme pour la plupart des trucs de ce genre, trois ou quatre généralement, ce qui est, tout de même, assez loin des 10 000 milliards de combinaisons envisageables.
#31
Le gestionnaire de mdp est même encore pire : si tu te le fais hacké, le temps que tu change tes 300 mdp…
Non, je trouve que ce n’est pas plus mal de cette façon. Il suffit d’avoir un bon mdp et c’est bon.
#32
a priori encore moins de risques de se faire cracker son gestionnaire de pass en local qu’un outil centralisé comme franceConnect qui peut, par la masse de données, attirer les convoitises.
#33
Perso j’ai réussi à le verrouiller. J’ai effectué plusieurs fois la procédure de récupération qui normalement renvoyait un mail ou un courrier. Rien à faire je n’ai rien pu récupérer. Remarquant alors que les mails indiquant les remboursements me suffisaient pour ma situation je n’ai pas creusé plus.
#34
#35
En espérant que les conditions d’utilisation de France Connect soient suffisamment strictes pour que les devs des applis l’utilisant ne puissent pas compromettre les tokens en jeu.
En disant ça, je passe de pas convaincu à enthousiaste! si les administrations sont obligées d’utiliser FC et que pour l’utiliser on est obligé de faire un minimum de sécurité, ça les obligera à faire des sites sécurisés! (je ne pense pas aux ‘gros’ comme impots et ameli qui le sont vraisemblablement déjà, mais à la multitude de petits sites sur lesquels les moyens pour faire de la sécurité sont rarement la priorité)
#36
Un autre avantage du gestionnaire de mdp, c’est que tu peux mettre une adresse mail par site, de façon à ce qu’en cas de spam, tu saches d’où ça vient (et tu peux fermer le compte / couper l’adresse si nécessaire)
Bon, en théorie, les sites des administrations ne devraient pas être trop concernés par ce problème.
#37
Plutôt : que le maillon le plus faible de France Connect, hors ameli.
Si tu mets une porte blindée devant chez toi, et une porte branlante derrière dans le jardin, c’est cette dernière qui caractérise ton niveau de sécurité.
#38
Non tu m’as mal compris, je parle d’une authentification de type auth2 qui permet de garantir l’identité et t’éviter ainsi de répéter de remplir les mêmes infos pour prouver ton identité sur chacun des services de l’état. Au contraire ça pourrait même éviter une diffusion des informations personnel à trop personne.
" />)
Quand à safari ben ça existe déjà ça s’appelle Facebook (
Et au final actuellement je n’ai pas l’impression de maîtriser mes données perso au niveau de l’état qui reste une grosse boîte noir.