France Connect : le SSO de l'administration française déployé dès 2015

France Connect : le SSO de l’administration française déployé dès 2015

Comptes de fées

Avatar de l'auteur
Xavier Berne

Publié dans

Internet

23/12/2014 5 minutes
23

France Connect : le SSO de l'administration française déployé dès 2015

Le déploiement du dispositif d’authentification France Connect se précise. Le Secrétariat général de modernisation de l’action publique (SGMAP) a indiqué il y a quelques jours que des expérimentations seraient menées dès le mois prochain, l’objectif étant que plusieurs millions de Français puissent avoir un tel compte unique dans le courant de l’année 2015, avant un déploiement progressif.

Fédérer ses différents comptes, sur le modèle de Facebook Connect

Si les nombreux services en ligne proposés par l’administration s’avèrent souvent pratiques, un problème de taille demeure : il faut disposer d’un compte sur le site des impôts, d’un autre pour la CAF, idem pour la Sécurité sociale, etc. À chaque fois, l’internaute est ainsi obligé de mémoriser un identifiant et un mot de passe, ce qui se révèle parfois bien compliqué pour le grand public...

C’est donc dans une volonté de simplification que les pouvoirs publics ont lancé le programme France Connect, qui permettra à terme de fédérer plusieurs comptes de son choix. Voici comment le dispositif devrait fonctionner selon le SGMAP :

« L’usager accède à la page d’accueil d’une administration (une mairie par exemple) dont le système d’authentification s’est au préalable aligné sur France Connect. Soit il y saisit ses identifiants spécifiques au site, soit il actionne le bouton France Connect. Plusieurs sources d’identification lui sont alors proposées, elles aussi toutes compatibles France Connect : impôts, Sécurité sociale, CAF, etc.

Au final, l’usager a la possibilité de se connecter sans créer de nouveau compte à une administration qui ne le connaît pas. À la condition toutefois qu’il s’enrôle sous France Connect avec un compte dont le niveau d’authentification (faible, substantiel et fort) est au moins équivalent à celui exigé par cette administration. »

Les pouvoirs publics précisent que d’un point de vue technique, « il n’y aura donc ni centralisation des comptes des usagers, ni système d’identité numérique unique imposé : l’usager choisira librement les comptes qu’il souhaite fédérer ». Ils n’hésitent d’ailleurs pas à affirmer que France Connect « repose sur les mêmes principes que Facebook Connect », lequel permet à un utilisateur de s’authentifier auprès de nombreuses applications.

Un déploiement qui débutera en 2015

Aujourd'hui, force est de constater que ce projet avance, puisque de premières expérimentations sont désormais prévues pour le mois de janvier. Le déploiement global devrait néanmoins se faire par étapes. Le SGMAP rappelle ainsi que dans un premier temps, ce sont les quelques trois millions d’internautes ayant ouvert un compte sur « mon.service-public.fr » qui verront celui-ci se transformer automatiquement en un compte France Connect, et ce dans le courant de l’année 2015. Pour mémoire, c’est à partir de ce site officiel qu’il est actuellement possible d’effectuer différentes démarches administratives en ligne, telles que les demandes d’actes d’état civil ou d’inscription sur les listes électorales, les déclarations de changement de nom ou de coordonnées, etc.

Dans un second temps, ce sont d’autres initiatives menées notamment par l’administration fiscale qui devraient avoir lieu, en 2016. Il avait ainsi été promis que Bercy proposerait, au moment des déclarations de revenus, de fédérer les comptes « impots.gouv.fr » avec France Connect. Le SGMAP ajoute désormais que « côté entreprises, les comptes d’organismes tels que TéléTVA et Net-Entreprises devraient également s’aligner sur France Connect », et que l’Assurance Maladie songe à en faire de même.

La liste se montre plutôt courte pour l’instant, mais les pouvoirs publics assurent qu’à terme, France Connect fonctionnera pour « tous les services publics numériques disponibles en France ».

Une rallonge budgétaire accordée à la DISIC pour ce projet

D’un point de vue financier, les autorités restent bien discrètes sur le coût de ce projet. Rappelons toutefois qu’à l’occasion des débats sur le projet de loi de finances pour 2015, le gouvernement a fait voter un amendement visant à accorder une rallonge budgétaire de huit millions d’euros en faveur de la Direction interministérielle des systèmes d'information et de communication de l’État (DISIC), qui pilote France Connect au sein du SGMAP.

Deux millions d’euros devaient tout particulièrement irriguer le projet France Connect, les six millions restants étant manifestement destinés à épauler d’autres programmes. L'on rappellera au passage que la DISIC prépare également l'initiative « Dites-le nous une seule fois », qui permettra (à partir de 2017) aux particuliers et aux entreprises de stocker sur un espace en ligne accessible à l’administration de nombreuses pièces justificatives, afin qu’il ne soit plus nécessaire de redonner plusieurs fois la même information.

23

Écrit par Xavier Berne

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Fédérer ses différents comptes, sur le modèle de Facebook Connect

Un déploiement qui débutera en 2015

Une rallonge budgétaire accordée à la DISIC pour ce projet

Commentaires (23)


Une bonne chose :)



Pas de possibilité d’accès pour les sites privés ? (Avec un accès limité voir quasi nul aux informations personnelles)


Attention à la sécurité d’un tel système. J’espère que cela ne reposera pas sur du “closed source” …


Bonne initiative, par comparaison, au Luxembourg nous avons Luxtrust, une joint-venture entre l’Etat et les principales banque de details du pays. Du coup avec le meme certificat ou token on peut se connect er sur les sites des banques ou des administrations. D’ailleurs en terme de transparence sur le portail public luxembourgeois, une fois authenfier on peut voir quel sont les administrations qui ont accédé a nos données personnelles dans les 6 derniers mois.


Ce serait intéressant de connaître sur quelle solution technique ce service SSO a été conçu.








eres a écrit :



Ce serait intéressant de connaître sur quelle solution technique ce service SSO a été conçu.





Peut être LemonLDAP (NG) vue que c’est fait et maintenu par la gendarmerie national :

http://fr.wikipedia.org/wiki/LemonLDAP

http://fr.wikipedia.org/wiki/LemonLDAP::NG









Gilbert_Gosseyn a écrit :



Attention à la sécurité d’un tel système. J’espère que cela ne reposera pas sur du “closed source” …





Quel que soit le niveau de sécurité il y aura forcément des failles et des fuites.



Donc la question n’est pas tant celle du niveau de sécurité que de savoir quelles seront les possibilités offertes aux imposteurs et les données qui finiront dans la nature.



Si un serveur permet de transférer des fonds, des fonds seront indûment transférés. Si un serveur stocke des données de santé, celles-ci finiront publiques ou aux mains de personnes malintentionnées. Il en a toujours été ainsi et ce sera toujours le cas, au mieux on peut rendre ça peu fréquent et faciliter le travail de la police a posteriori.









Gilbert_Gosseyn a écrit :



Attention à la sécurité d’un tel système. J’espère que cela ne reposera pas sur du “closed source” …





Après heartbleed et shellshock, faut avoir des parasols en guise d’oeillères pour continuer à croire que l’open source est par nature invulnérable…



Donc l’intérêt par rapport à mon.service-public c’est de pouvoir aller directement sur le site de l’administration pour se connecter au lieu d’aller d’abord sur service-public puis de choisir l’administration voulue ? C’est léger comme truc.


France Connect ? On ne pouvait pas avoir un nom français au moins vu qu’on nous demande de tout franciser, voilà le gouvernement qui nous sort un nom franco anglais XD

Pourtant c’est pas compliqué là: France Connex et le tour était joué… AuthentiFrance sinon <img data-src=" /> , bref on a encore perdu le moyen d’être original ou de rester français un peu.









The F0x a écrit :



Bonne initiative, par comparaison, au Luxembourg nous avons Luxtrust, une joint-venture entre l’Etat et les principales banque de details du pays. Du coup avec le meme certificat ou token on peut se connect er sur les sites des banques ou des administrations. D’ailleurs en terme de transparence sur le portail public luxembourgeois, une fois authenfier on peut voir quel sont les administrations qui ont accédé a nos données personnelles dans les 6 derniers mois.







Pas mal çà.



En partie. Je pense que l’intérêt (c’est en tous cas ce qui ressort pas mal lorsque le sujet est évoqué) c’est surtout de généraliser bien plus que la dizaine de services gérés par MSP. On devrait sans doute être plus dans la logique de l’OAuth à savoir la possibilité de s’interfacer simplement avec France Connect pour n’importe quel service public plutôt que de devoir tout faire valider au point de n’avoir finalement que peu de services exploitables (même si les principaux sont là).



C’est aussi pour ça qu’ils vont migrer les comptes MSP au départ, pour ensuite étendre les possibilités sans doute, mais on aura l’occasion d’en reparler plus en détails l’année prochaine.


Ca sera, je l’espère, basé sur SAMLv2. FranceConnect serait vu comme un Identity Provider.

http://fr.wikipedia.org/wiki/Security_assertion_markup_language








Nathan1138 a écrit :



Après heartbleed et shellshock, faut avoir des parasols en guise d’oeillères pour continuer à croire que l’open source est par nature invulnérable…





Sauf que ta solution “closed source”, ben si l’éditeur décide du jour au lendemain de ne plus la maintenir, tu fais comment ?



Certes Microsoft (pour citer ce dernier) a évolué dans la prise en compte des soucis de sécurité mais …



Parce que tu pense que ce sont des logiciels du commerce ?

Non ce genre de besoins c’est une prestation sur mesure.


French Connection ?








Nathan1138 a écrit :



Après heartbleed et shellshock, faut avoir des parasols en guise d’oeillères pour continuer à croire que l’open source est par nature invulnérable…





This escalated quickly.









Yangzebul a écrit :



Parce que tu pense que ce sont des logiciels du commerce ?

Non ce genre de besoins c’est une prestation sur mesure.





Ah bon, c’est pas Manuel Valls qui va à la Fnac ? <img data-src=" />









The F0x a écrit :



Bonne initiative, par comparaison, au Luxembourg nous avons Luxtrust, une joint-venture entre l’Etat et les principales banque de details du pays. Du coup avec le meme certificat ou token on peut se connect er sur les sites des banques ou des administrations. D’ailleurs en terme de transparence sur le portail public luxembourgeois, une fois authenfier on peut voir quel sont les administrations qui ont accédé a nos données personnelles dans les 6 derniers mois.





J’adore le Luxembourg ! <img data-src=" />



J’ai peut-être raté l’info mais quelle société a gagné ce marché ? (ou lesquelles ?)

MSP c’est hébergé par Bull… et là ?


Un SSO sera toujours bien plus sécurisé que diverses système éparses d’authentification.



Quand tu penses SSO, tu penses bien évidement à la partie applicative, mais surtout à la partie sécurité.



Si c’est bien implémenté, pas trop de failles à l’horizon autour de LDAP, SAML et consorts.


Il faut simplement espérer que le code ne sera pas écrit par une équipe de pieds nickelés comme il en existe encore trop dans les SCII qui bossent pour l’état, ces dernières ayant eu (et pour certaines ont encore) la fâcheuse tendance à considérer les administrations comme des vaches à lait, et ne délivrant que le “strict nécessaire”, sans véritable conseil au niveau de l’établissement du cahier des charges, particulièrement sur le plan sécurité. J’espère donc que mon expérience passée n’est plus valide, mais je révise tout de même mes prières les plus élémentaires pour que ce super outil ne devienne pas un formidable réservoir pour le piratage d’identité, la catégorie “pieds nickelés” étant très peu représentées chez les pirates (mafieux ou non…)!…

Joyeux Noël à tou(te)s!


L’Open-Source n’est pas invulnérable mais la ou le fix pour HeartBleed a été pondu en quelques jours dans du closed source il aurait pu rester caché bien plus longtemps et peut-être jamais corrigé ou au bout de plusieurs mois.



&nbsp;







dgfu6578 a écrit :



Il faut simplement espérer que le code ne sera pas écrit par une équipe de pieds nickelés comme il en existe encore trop dans les SCII qui bossent pour l’état, ces dernières ayant eu (et pour certaines ont encore) la fâcheuse tendance à considérer les administrations comme des vaches à lait, et ne délivrant que le “strict nécessaire”, sans véritable conseil au niveau de l’établissement du cahier des charges, particulièrement sur le plan sécurité. J’espère donc que mon expérience passée n’est plus valide, mais je révise tout de même mes prières les plus élémentaires pour que ce super outil ne devienne pas un formidable réservoir pour le piratage d’identité, la catégorie “pieds nickelés” étant très peu représentées chez les pirates (mafieux ou non…)!…

Joyeux Noël à tou(te)s!





Le problème c’est souvent qu’ils font eux même appel a une SSII qui leur envoie des stagiaires vendus comme ingénieurs diplômés et c’est un beau bordel après. Sans compter que a leur appel d’offres c’est souvent la solution la moins cher qui est selectionée vu qu’ils ne pensent jamais a la perenitée de la solution.



Une personne d’Etalab m’a dit que France Connect était basé sur OpenID Connect.



Pour ceux qui cherchent plus d’éléments techniques sur France Connect:

http://doc.integ01.dev-franceconnect.fr/



Et le repo github doit être trouvable par votre moteur de recherche favori <img data-src=" />


En effet c’est bien OpenID Connect qui est utilisé.

Quant à ceux qui s’inquiètent pour la SSII (Octo) qui aide à développer ce composant, qu’ils se rassurent, il y a une bonne intégration avec le SGMAP (même si on peut mieux faire).



Le site mes-aides.gouv.fr devrait expérimenter France Connect courant janvier, sous réserve qu’on ait des sources de données pertinentes à déployer dans l’outil (par exemple l’avis d’imposition N-2, ou la situation CAF).