Le déploiement du SSO « France Connect » officiellement autorisé par arrêté

Le déploiement du SSO « France Connect » officiellement autorisé par arrêté

Sso lonely

Avatar de l'auteur
Xavier Berne

Publié dans

Droit

06/08/2015 6 minutes
29

Le déploiement du SSO « France Connect » officiellement autorisé par arrêté

Le gouvernement vient de publier l’arrêté autorisant la mise en œuvre du dispositif « France Connect », développé depuis l’année dernière sous l’égide de la Direction interministérielle des systèmes d’information de l’État (DISIC). En passe d’être expérimentée, cette solution devrait permettre au citoyen de se connecter à partir de 2016 sur les principaux sites publics – impôts, CAF, Sécurité sociale... – grâce à un seul jeu d'identifiants.

Qui n’a jamais été agacé de devoir avoir un identifiant et un mot de passe pour chaque service en ligne, et notamment pour ceux proposés par l’administration française ? Les choses pourraient cependant être bien plus simples dans un avenir proche. Les pouvoirs publics travaillent en effet depuis plusieurs mois à la mise en place d’un dispositif qui permettra à terme de fédérer plusieurs comptes de son choix : France Connect.

Lorsqu’un internaute souhaitera se connecter à un site adhérant à ce programme (celui de la CAF par exemple), un bouton lui proposera de s’identifier à partir des codes lui ayant été fournis par un autre participant à France Connect, comme les impôts. L’avantage ? Il sera ainsi suffisant de connaître un seul sésame pour accéder à l’ensemble de ses comptes.

Le dispositif ne se limite par ailleurs pas à de l’authentification numérique, puisqu’il est couplé à un autre projet : « Dites-le nous une fois ». L’usager pourra aussi choisir de faire profiter une administration d’informations ayant déjà été fournies à une autre organisme public (RIB, extrait Kbis...).

Des données personnelles automatiquement croisées avec les fichiers de l’INSEE

Avant de mettre ce nouveau service en musique, les autorités ont dû acter sa création par un arrêté publié ce matin au Journal officiel. Celui-ci indique que France Connect « repose sur une fédération d'identités », et que son utilisation sera bien entendue « facultative » pour les internautes.

Il précise surtout les données à caractère personnel qui seront stockées par ce nouveau téléservice : nom, sexe, date de naissance, éventuel numéro de SIRET pour les entreprises, mais aussi – et surtout – « les clés de fédération ou « alias » générés par le système à la connexion de l'usager ». Toutes ces informations seront ensuite accessibles aux « autorités partenaires habilitées à traiter les démarches et formalités des usagers en vertu d'un texte législatif ou réglementaire ». L'INSEE en sera également destinataire « pour consultation du répertoire national d'identification des personnes physiques, à seule fin de certification dans le cas où l'autorité partenaire n'est pas en mesure de réaliser cette certification elle-même ».

Ces dispositions ont cependant fait tiquer la Commission nationale de l’informatique et des libertés (CNIL). « Les fournisseurs de services seront automatiquement rendus destinataires des données obligatoires composant l'identité pivot des usagers, alors même que certains téléservices peuvent ne pas nécessiter la collecte de l'ensemble de ces données » s’inquiète l’institution dans un avis afférent à cet arrêté. La gardienne des données personnelles a ainsi prévenu le gouvernement dès la mi-juillet que « tout mécanisme d'authentification ou d'identification doit limiter le traitement de données aux seules données nécessaires ».

La Commission a dès lors explicitement demandé à la DISIC de faire évoluer son dispositif, de telle sorte que les organismes destinataires des données de France Connect ne reçoivent « qu'un sous-ensemble de données d'identité en fonction des besoins du traitement considéré ». Cette évolution conditionne même selon la CNIL la conformité de la solution à la loi Informatique et Libertés. Il est cependant impossible en l’état de savoir si cette recommandation sera suivie par les développeurs du programme.

L’appel à la prudence de la CNIL

Si la CNIL se montre globalement favorable à la mise en œuvre de France Connect, elle en appelle néanmoins à la plus grande prudence. « Le développement de l'administration électronique ne passe pas nécessairement et ne doit pas conduire à la création d'un identifiant unique des administrés, au plan local comme au plan national » souligne ainsi l’institution. Avant de prévenir : « Les traitements de données mis en œuvre dans ce cadre ne doivent pas être utilisés à d'autres fins que l'accomplissement de certaines démarches administratives, et tout particulièrement aux fins d'alimenter d'autres fichiers ou de constituer un fichier de population. »

Certains se souviendront d’ailleurs que la CNIL a vu le jour au milieu des années 70, justement parce que le gouvernement prévoyait de mettre sur pied un fichier (dénommé SAFARI) rassemblant les informations nominatives détenues sur les citoyens par les différentes administrations... (voir notre émission 14h42 avec Louis Joinet).

La Commission rappelle enfin que la mise en œuvre de France Connect « doit s'accompagner de mesures de sécurité appropriées ». L’institution a en ce sens salué les précisions introduites dans l’arrêté concernant le chiffrement des alias, qui devront faire l’objet d’un « hachage irréversible ». Si la copie du gouvernement prévoit en outre que chaque adhérant au dispositif doive préalablement effectuer une déclaration de conformité auprès de la CNIL, cette dernière conclut son avis en demandant à recevoir une évaluation du dispositif un an après son ouverture au public.

Le lancement officiel de France Connect n’est cependant pas prévu pour avant 2016. Des expérimentations doivent être menées dès cette année auprès d’institutions volontaires, à l’image de la Direction générale des finances publiques (DGFiP) et de la CAF. Aujourd’hui pensé pour des acteurs publics, le dispositif a toutefois été conçu pour fonctionner également avec des opérateurs privés. La Poste fait ainsi partie des entreprises intéressées pour disposer elles aussi du bouton France Connect. Quant à la connexion avec le programme « Dites-le nous une fois », l'ordonnance ayant autorisé ce partage d'information entre administrations ne devrait pas entrer en vigueur avant 2017 (voir notre article).  

Écrit par Xavier Berne

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Des données personnelles automatiquement croisées avec les fichiers de l’INSEE

L’appel à la prudence de la CNIL

Commentaires (29)


“France Connect” … pour une administration qui passe beaucoup de temps à franciser les noms anglais, ils ne pouvaient pas trouver un truc plus “français” ?


La prochaine étape, c’est le déploiement sur les sites Djihadiste pour connecter tout le monde.&nbsp;<img data-src=" />


J’imagine que la mise en œuvre technique est différente, mais ça existe déjà au sein du portail service-public.fr, non ? On peut accéder aux impôts/la sécu, par exemple, avec une seule combinaison login/pwd.


Ce n’est pas vraiment ça, tu te connecte avec ton compte d’impot.gouv.fr, ou de la poste ou d’ameli


Disons que tu gardes un identifiant par site, mais tu les regroupes sous le compte service-public.fr. Après connexion au portail SP, tu peux sans nouvelle saisie d’informations aller les autres sites. Cette solution qui existe a l’avantage d’être “à la demande” de l’utilisateur.


+1 avec xillibit : le résultat est que au final, on se connecte avec un seul compte.



Des programmes de SSO come Guardian ne font pas autre chose : on se connecte avec un compte unique, mais par exemple, le compte bureautique windows est connu de Guardian, même si l’opération d’acquisition peut être transparente à l’utilisateur.


Est-ce que le décret prevoit l’information des adhérents au bousin en cas de piratage ? Et la procédure de régénération+communication des indentifiants ?








sksbir a écrit :



+1 avec xillibit : le résultat est que au final, on se connecte avec un seul compte.



Des programmes de SSO come Guardian ne font pas autre chose : on se connecte avec un compte unique, mais par exemple, le compte bureautique windows est connu de Guardian, même si l’opération d’acquisition peut être transparente à l’utilisateur.







Vu le contenu du site, et vu qu’il est hébergé sur WordPress, j’aurais tendance à dire que ca sent l’arnaque à plein nez ^^



Oui.. France Connexion par exemple, avec un “X” comme quand on l’écrit correctement en français, ça aurait peut-être fait disparaitre tous les “connection” que je vois régulièrement parsemés dans des écrits en français….


Vu que tu utilise soit ton compte des impots soit d’Ameli, soit de la poste c’est chez eux qu’il faut aller voir pour régénérer le mot de passe








sksbir a écrit :



Oui.. France Connexion par exemple, avec un “X” comme quand on l’écrit correctement en français, ça aurait peut-être fait disparaitre tous les “connection” que je vois régulièrement parsemés dans des écrits en français….







En même temps il faut avouer que ce X est illogique, car presque tout les mots dérivé de connexion utilisent un T



“French Connexion”

&nbsp; :)


ils ont peut être eut peur de faire trop :

&nbsp;

&nbsp;french connection

&nbsp;

&nbsp;ou alors ils voulaient éviter la marque “france connection” qui est une boite en évenementiel&nbsp;<img data-src=" /><img data-src=" /><img data-src=" />


Xavier, pour voir jusqu’où on peut aller, le système danois NemID est vraiment pas mal (quand ca tombe en rade, c’est la merde mais sinon c’est génial) <img data-src=" />


Et ils voulaient pas faire un système “2-factors” moins sensible aux gags ?


C’est ce qui fait le charme de la langue française <img data-src=" />



Et puis, ta logique est celle de l’écrit. La logique de l’oral est à l’inverse : connection, connecter… T dans les 2 cas, mais un qui se prononce X, et l’autre T ?









sksbir a écrit :



C’est ce qui fait le charme de la langue française <img data-src=" />



Et puis, ta logique est celle de l’écrit. La logique de l’oral est à l’inverse : connection, connecter… T dans les 2 cas, mais un qui se prononce X, et l’autre T ?







Et inversement, c’est ce qui poussent les gens à utiliser l’anglais <img data-src=" />









sksbir a écrit :



C’est ce qui fait le charme de la langue française <img data-src=" />



Et puis, ta logique est celle de l’écrit. La logique de l’oral est à l’inverse : connection, connecter… T dans les 2 cas, mais un qui se prononce X, et l’autre T ?



révolution, pollution: ce T est bien prononcé comme connection/connexion



Plusieurs idée d’implémentation ont été proposé autour de “FranceConnect” lors

d’un Hackathon&nbsp; “EtatPlateforme”. Cependant, il faut que l’ensemble des

ministères jouent le jeu et mettent à disposition leurs données, pour que

“FranceConnect” ne soit pas juste le SSO des services l’état et que le

“Dites nous une fois” puissent réellement fonctionner.


Après les collectivités territoriales (communes, intercommunalités, départements…) peuvent aussi fournir l’authentification via france connect peur les services sur leurs sites


L’anglais n’est pas un bon exemple, il y a pas mal de syllabes dans un mot ou un autre qui s’écrivent pareil mais se prononcent différemment aussi. “Read” (/rid/) et “Read” (/red/), par exemple. :P


Sauf que connexion vient de connexe (du latin conexus) et que connecter vient du latin “conectere” !

&nbsp;



&nbsp;A savoir que connection vient d’un usage US alors que connexion était plus usité chez nos voisins d’outre tunnel !


Perso pour les impôts, je suis jamais arriver a m’y connecter avec la procédure standard ces 3 dernières années. Il manque toujours une info/ID impossible a trouver sur la paperasse, c’est marquer noir sur blanc ou elle se trouve mais quand je regarde ma feuille il y à rien à l’emplacement décrit&nbsp;<img data-src=" />

J’ai toujours du passer par un vieu lien officieux tout pourri pecho sur le net est qui demandes moins d’infos pour arriver a s’authentifier&nbsp;


C’est un bon projet, mais que va-t-il se passer si on a déjà plusieurs identifiants sur ces sites ? Il va falloir en créer un autre ?


Si t’as des comptes sur les sites des impôts, la CAF, ou la Sécurité sociale pourquoi tu devrais en re-créer d’autres ?


Pour avoir les identifiants uniques ?


Justement si l’on souhaite sortir d’un simple SSO qui fournirai le nom / prénom / date de naissance et lieu de naissance d’une personnes.

&nbsp;

Il faut que les différentes entité propose des éléments, des données. L’objectif derrière FranceConnect est le principe du “Dites nous une fois” surtout. Le SSO n’apporte pas la partie ayant le plus de plus-value, hormis un identifiant unique possible entre les différents SI public.

&nbsp;

&nbsp;Hors pour le principe du “Dites nous une fois”, il faut que les différents ministères, collectivité territoriales ne soit pas que fournisseur de service, mais également fournisseur de donnée. Hors le gros du travail est bien là. Qu’est-ce que la collectivité / le ministère / le service doit proposer comme données.



&nbsp;Par exemple si tu souhaite te présenter à un concours de l’administration, plutôt que de fournir les X éléments demandé en PJ ou par courrier. Tu te connecte sur le formulaire d’inscription, tu accepte que celui-ci accède aux données de “ta collectivité”, de la DGFIP, etc (tu n’aura qu’à accepter les différentes administrations vers laquelle ton inscription souhaite y accéder), pour rapatrier les donnée issues de leur SI. Les entités se faisant confiance, ou effectuant les vérification, entre elle sur les éléments, tu n’aura pas de pièce justificative à fournir.&nbsp;

&nbsp;Autre exemple : Pourquoi devrais-je fournir une attestation de domicile à ma mairie alors que la DGFIP (la déclaration d’impôt étant un justificatif) là.

&nbsp;



&nbsp;&gt;&gt; La plus-value de FranceConnect est là. Dans les échanges entre collectivité / ministères / service / etc pour éviter de fournir des papiers que l’état a déjà entre ces mains. Et pour cela il faut que les différentes entités soit aussi fournisseur de données. (Et ce point là n’est pas encore gagné).

&nbsp;

&nbsp;








Bae a écrit :



“France Connect” … pour une administration qui passe beaucoup de temps à franciser les noms anglais, ils ne pouvaient pas trouver un truc plus “français” ?





C’est pour faire plus “jeune”.



Il sera ainsi suffisant de connaître un seul sésame pour accéder à l’ensemble de ses comptes.

&nbsp;

&nbsp;ça facilitera la tâche aux hackers