Identité numérique : Alicem c’est fini, bienvenue à la CNIe

Identité numérique : Alicem c’est fini, bienvenue à la CNIe

J’ai crié Alicem pour qu’elle revienne

Avatar de l'auteur
Pierre Januel

Publié dans

Droit

08/07/2020 12 minutes
35

Identité numérique : Alicem c’est fini, bienvenue à la CNIe

La mission d’information de l’Assemblée sur l’identité numérique a rendu cet après-midi son rapport. Celui-ci arrive alors que l'Agence nationale des titres sécurisés (ANTS) lance son marché public sur le futur système d’identité numérique et qu’un certain nombre de points doivent être tranchés rapidement. 

Tirant le bilan des nombreux échecs en la matière et des craintes entourant l’application Alicem, qui pourrait être abandonnée, les députés formulent une quarantaine de recommandations.

Un objectif : déployer massivement une solution d’identité numérique régalienne s’appuyant sur FranceConnect et la future carte nationale d’identité électronique. Avec un préalable : rassurer les citoyens. La mission, présidée par la députée socialiste Marietta Karamanli, avec comme rapporteurs les marcheurs Christine Hennion et Jean-Michel Mis, était conjointes aux commissions des affaires économiques et des Lois.

Elle rend ses conclusions quelques semaines après un autre rapport du CNNum sur le sujet, alors que des arbitrages gouvernementaux devront être rendus cet été. En introduction, les députés rappellent que l’identité numérique, vise à répondre au « besoin d’un moyen simple et sécurisé de prouver leur identité en ligne », tout comme, dans l’espace physique, la carte nationale d’identité permet de prouver son identité.

L’identité numérique doit garantir la confiance dans l’accès à certains services et lutter contre l’usurpation d’identité. Le rapport reprend d’ailleurs le chiffre de 200 000 victimes en France (en réalité issu d’un sondage 2015 pour Fellowes, une société qui commercialise des destructeurs de documents et des broyeuses à papier).

Pour le rapport, « la mise en place d’une solution d’identité numérique régalienne est un service proposé à la population […] En aucun cas, l’identité numérique ne doit conduire à une authentification obligatoire des internautes ». Les députés rejettent fermement l’idée de mettre fin à l’anonymat sur Internet.

L’identité numérique concernera des services publics comme les « demandes de procuration de vote, d’aides sociales, d’inscription sur les listes électorales, de dépôt de plainte, de téléconsultation médicale, de demande de passeport ». Des nouveaux usages qui « pourraient également s’étendre aux services privés, comme les services bancaires (ouverture d’un compte, demande de crédit, virement d’un montant élevé, …) ou assurantiels ».

Autre exemple : le déploiement du dossier médical partagé ou une signature électronique authentifiée. Une identité numérique également utile pour les élections professionnelles ou associatives, voire pour les élections consulaires des Français de l’étranger, mais que les députés souhaitent écarter pour les scrutins étatiques.

Alicem critiquée, abandonnée et recyclée ?

Le dernier exemple de tentative d’identité numérique est l’application Alicem. Elle a été contestée, notamment car basée sur de la reconnaissance faciale. Les députés tentent de rassurer : « l’emploi de la reconnaissance faciale est restreint à une étape du processus d’enrôlement » et « seule la photographie du titre d’identité est comparée aux vidéos « challenge » tournées par l’utilisateur, avant qu’elles ne soient immédiatement supprimées ». La reconnaissance faciale, utilisée dans un cadre d’authentification biométrique, « ne pose pas de difficulté particulière ».

Pour les députés, la généralisation d’Alicem, prévue avant fin 2020, pourrait ne pas avoir lieu. Elle est toujours en phase d'expérimentation. Toutefois « Alicem aura permis de développer des technologies innovantes – également appelées « briques technologiques » – qui pourront à l’avenir être réutilisées dans les futures solutions d’identité numérique régalienne, pourvu que les pouvoirs publics tirent pleinement les leçons de cette expérimentation ».

L’idée est de reprendre ces éléments, tout en suivant les recommandations de la CNIL : la reconnaissance faciale demeurerait donc possible « puisqu’elle constitue un gage de simplicité et de rapidité strictement encadré par les droits européen et français ». Mais, « une modalité alternative d’enrôlement devrait être proposée aux usagers lors de la récupération de leur future carte nationale d’identité électronique en mairie, voire a posteriori, auprès des maisons France-Services ».

D’autant que la Commission européenne, est rétive à l’utilisation des technologies biométriques lors de la phase d’authentification, comme l’indiquent des avis rendus par le réseau eIDAS sur les systèmes belge et letton.

Les députés reviennent aussi sur le débat concernant la sécurisation d’Alicem. Baptiste Robert (@fs0c131y) a affirmé aux députés être parvenu à accéder à Alicem en préproduction à partir des traces publiques laissées par l’expérimentation de l’application, via un lien accessible par erreur sur un site public. « Il se serait également introduit dans l’application et y aurait découvert l’existence de failles techniques, parmi lesquelles le fait qu’Android, seul système permettant l’exploitation d’Alicem à ce jour, permet de rooter un téléphone ».

Ces éléments ont toutefois été contredits par le directeur de l’ANTS « qui a assuré à la mission d’information que rien, ni dans les traces systèmes ou applicatifs, ni dans les publications de M. Baptiste Robert sur son site, n’indique que ce dernier aurait réussi à tromper l’application ». Pour mettre un terme à ces interrogations, le ministère de l’Intérieur et l’ANTS prévoient de recourir à des hackers éthiques, afin de vérifier la sécurité de son dispositif.

Dans l’hypothèse où elle ne serait pas abandonnée, Alicem devrait également faire l’objet d’une certification par l’ANSSI.

Rassurer en s’appuyant sur FranceConnect

Pour convaincre, il faudra créer de la confiance, faire preuve de pédagogie et « associer l’ensemble des acteurs, y compris en mobilisant l’expertise citoyenne et associative ». Les députés notent que le cadre juridique national et européen a évolué depuis une dizaine d’années, devenant plus protecteur et rassurant.

Autre changement : la France dispose maintenant d’un point d’appui solide avec FranceConnect. Le nombre d’utilisateurs uniques est passé de 1 million en 2017 à près de 15 millions en mars 2020, gagnant près de 500 000 utilisateurs par mois en moyenne en 2019. Une des clés de ce succès est la simplicité et le nombre de services en ligne (700).

Les députés ont interrogé d’autres pays ; les solutions d’identité numérique les plus ergonomiques, simples d’usage et rapides sont plébiscitées. Il faudra aussi prendre en compte la fracture numérique et s’appuyer sur les collectivités locales, gage de succès. Point important pour la confiance : les fournisseurs d’identité ne peuvent commercialiser les données ou les communiquer à des tiers, garantissant le respect des données.

Néanmoins, le rapport rappelle qu’un certain nombre d’informations, dites « traces techniques » (identifiants techniques non signifiants, actions réalisées avec les date et heure) sont conservées pendant sept ans par FranceConnect à des fins d’audit ou pour répondre à un besoin de saisine judiciaire.

Le déploiement de la carte nationale d’identité électronique

Ce rapport arrive alors qu'une « fenêtre d’opportunité » s'ouvre pour l’identité numérique : le déploiement pilote des premières cartes nationale d’identité électronique (CNIe), qui aura lieu à partir d’avril 2021.

Dans son rapport le CNNum en expliquait la raison : « en février 2020, quinze pays européens ont notifié leurs schémas d’identification électronique auprès de l’Union après un examen par les pairs des États membres. En plus d’aborder l’identité numérique par la reconnaissance mutuelle, l’Europe harmonise les différents titres d’identité à travers le règlement (UE) 2019/115729. C’est pour répondre à ce règlement que l’État français multiplie les efforts pour mettre en place un titre électronique répondant aux mêmes critères que le passeport d’ici août 2021. Ce titre apparaît comme un support possible de l’identité numérique régalienne ».

Le premier parcours d’activation et de gestion d’une identité numérique sera disponible sur mobile, d’abord sur Android (iOS arrivera fin 2021), avant qu’un parcours pour ordinateur soit mis à la disposition en 2022. « Le choix de la CNIe comme support de l’identité numérique régalienne s’explique, selon les responsables du programme France identité numérique, par le souhait de tirer profit du déploiement prochain de ce titre nouveau pour mutualiser les coûts de délivrance ».

Par ailleurs, « les caractéristiques matérielles de la future carte (composition en polycarbonate) et l’utilisation de procédés technologiques spécifiques rendent ce titre quasi infalsifiable ». Le coût du système de gestion de l’identité numérique (SGIN), en cours de conception, serait de l’ordre de 35 millions d’euros sur quatre ans, dont 13 millions d’euros sur les deux premières années. L’essentiel du financement serait supporté par l’agence nationale des titres sécurisés (ANTS).

Selon le site La Lettre A, le marché sera divisé en quatre lots, sur des prestations d'assistance à maîtrise d'ouvrage, de développement logiciel, d’infrastructure informatique, mais aussi un logiciel de comparaison de photos et d'authentification faciale. Cette carte inclura dans une même puce deux applications complémentaires, mais indépendantes. D’abord, une application « Voyage » stockant les données d’identité alphanumériques mentionnées sur la carte et les données biométriques (photo et empreintes digitales). Cette partie de la puce ne sera accessible qu’au personnel dûment autorisé des autorités nationales et européennes.

Ensuite, une application « Identité numérique » ne stockant que les seules données alphanumériques, accessible sur présentation d’un code PIN connu du seul usager, si ce dernier a téléchargé l’application correspondante et « volontairement finalisé la procédure de création de son identité numérique (ce qui suppose la vérification de son identité, soit en face à face au moment de la délivrance du titre, soit par reconnaissance faciale) ». Il ne s’agit donc pas de créer une base de données de reconnaissance faciale.

Une fois l’identité numérique créée, l’usager aura la capacité de s’authentifier en ligne pour accéder de façon sécurisée à un service via FranceConnect. Le plus couramment, il se contentera de saisir son code PIN sur le smartphone. Pour les démarches sensibles, « une lecture sans contact du titre d’identité, via la technologie NFC, permettra de vérifier le lien entre le détenteur du smartphone et le titre d’identité, via l’accès aux données d’identité pivot présentes au sein de la CNIe ».

La place des acteurs économiques

Dernier point sensible : la place des entreprises. Pour les députés, « le rôle de l’État et celui des entreprises privées associées au développement des solutions d’identité numérique doivent être clairement définis et transparents ». Plusieurs acteurs économiques français se positionnent d’ores et déjà comme fournisseurs d’identité numérique.

Il y a bien sûr des solutions de connexion des grandes plateformes. Mais La Poste, via sa branche Docaposte, a lancé le 26 mai une solution d’identité numérique de niveau substantiel certifiée par l’ANSSI. Grâce à l’utilisation d’un passeport/CNI et d’un smartphone, l’utilisateur crée son identité numérique en ligne, sans présentiel, qui lui donne un accès aux 700 sites reliés à FranceConnect. Auparavant, un facteur devait assurer le déplacement et la vérification. Le service, gratuit pour les utilisateurs finaux, est monétisé auprès du secteur privé qui utilise cette solution d'identification.

La mission conclut que des entreprises pourraient être associées à la construction et au fonctionnement de l’architecture des solutions d’identité numérique régalienne, sous réserve d’un encadrement strict, via par exemple une certification de l’ANSSI. Le « modèle économique doit permettre à l’utilisateur de conserver le choix entre un fournisseur d’identité public et des fournisseurs d’identité privés. Il s’agit là, en effet, d’un principe de confiance permettant de respecter les préférences de chacun. Afin de ne pas concurrencer l’offre privée, l’identité numérique régalienne doit être considérée comme une brique de niveau supérieur de FranceConnect ». L’authentification via la CNIe et de la solution étatique ne serait donc obligatoire que pour certains services sensibles.

Les députés se sont aussi interrogés sur la valorisation des données d’identité numérique, permettant aux fournisseurs d’identité de partager des données complémentaires (au-delà des six données pivot) avec des fournisseurs de services. Pour les députés, il faut que l’État tranche ce point et garantisse, dans tous les cas, le consentement de l’utilisateur.

S’il veut que les entreprises participent au projet, il va falloir clarifier les règles du jeu. Par ailleurs, la mission souhaite encourager les utilisations à titre expérimental de la solution développée « pour permettre aux acteurs privés de s’approprier cette nouvelle solution ». Il s’agit là d’une demande forte des acteurs économiques intéressés.

35

Écrit par Pierre Januel

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Alicem critiquée, abandonnée et recyclée ?

Rassurer en s’appuyant sur FranceConnect

Le déploiement de la carte nationale d’identité électronique

La place des acteurs économiques

Commentaires (35)


Identité pivot ? Kesako ?

Un nouveau concept Fouriériste ? <img data-src=" />




Les députés rejettent fermement l’idée de mettre fin&nbsp;à l’anonymat sur Internet.





Bisous Dupond-Moretti&nbsp;<img data-src=" />


Multipass.:)




L’identité numérique doit garantir la confiance dans l’accès à certains services et lutter contre l’usurpation d’identité. Le rapport reprend d’ailleurs le chiffre de 200 000 victimes en France (en réalité issu d’un sondage 2015 pour Fellowes, une société qui commercialise des destructeurs de documents et des broyeuses à papier).

Le même sondage qui a vu Fr2 se poser des questions sur la véracité des chiffres …



Sinon cette fameuse carte, avec stockage sur la CNI, c’est pas celle qu’on plébiscite depuis le début ?


fais chier, je refais ma carte cet été. j’aurais bien voulu attendre la nouvelle CNI mais un an de plus avec une carte périmée depuis 2015, ça va faire beaucoup.


Dis que tu l’as perdu et demande un nouveau permis :)

En plus ils sont petits.


Fait le composter à un animal.<img data-src=" />


Si tu ne perds pas ton emploi ou que tu ne compte pas sortir du pays, ça ne pose aucun problème particulier.


Bientôt le nouvel encart sur PronHub “veuillez rentrer vos identifiant CNIe pour vérifié votre age.”…


Plus besoin ! il suffit que pr0nhub passe par France Connect !








jpaul a écrit :



Dis que tu l’as perdu et demande un nouveau permis :)

En plus ils sont petits.





le permis n’est pas officiellement reconnu comme pièce d’identité (notamment par une banque)

et perdue, il te font repayer la CNI alors que renouvellement pour carte périmée, non.



choukky a écrit :



Si tu ne perds pas ton emploi ou que tu ne compte pas sortir du pays, ça ne pose aucun problème particulier.





ou prêt dans un banque, ce qui arrive quand on veut acheter une maison! <img data-src=" />



Dépend pour quoi.

Il y a suffisamment de raisons qui poussent à croire qu’un serveur d’identité, même pour du pseudonymat, devrait être géré par l’état. A minima par des règles de bonne pratique (au delà de la simple déclaration CNIL).

Le seul gros problème c’est qu’après avoir encarté tout le monde deux fois : titre physique et immatériel, on fera tout avec ce dernier sans voir les dérives qui vont avec alors que le premier est bien maîtrisé dès le primaire… Bref.


Et pourquoi pas un passport ?


Pourtant



“Depuis le 1er janvier 2014, la durée de validité des cartes nationales d’identité (CNI) délivrées aux personnes majeures est passée de 10 à 15 ans.



Pour les cartes délivrées entre le 2 janvier 2004 et le 31 décembre 2013, la date d’expiration ne correspond donc pas à la date qui est inscrite sur la carte.”



Source: MinInt


Ben c’est ce qu’il dit : périmée en 2015 donc utilisable jusqu’en 2020. Il doit donc la refaire cette année.


L’identité pivot, ce sont les informations minimales nécessaires à la reconnaissance de ton identité. De mémoire, sur FranceConnect, il doit y avoir nom, prénoms, date et lieu de naissance. Ce sont ces infos qui sont transmises entre les services.








Idiogène a écrit :



Identité pivot ? Kesako ?

Un nouveau concept Fouriériste ? <img data-src=" />









pelotio a écrit :



L’identité pivot, ce sont les informations minimales nécessaires à la reconnaissance de ton identité. De mémoire, sur FranceConnect, il doit y avoir nom, prénoms, date et lieu de naissance. Ce sont ces infos qui sont transmises entre les services.





J’ai trouvé ça : L’identité pivot.









pelotio a écrit :



L’identité pivot, ce sont les informations minimales nécessaires à la reconnaissance de ton identité. De mémoire, sur FranceConnect, il doit y avoir nom, prénoms, date et lieu de naissance. Ce sont ces infos qui sont transmises entre les services.









Mihashi a écrit :



J’ai trouvé ça : L’identité pivot.







Je pensais plus aux amants pivotaux du Nouveau monde amoureux. Vu la possibilité, politiquement défendue… de s’identifier auprès d’un partenaire d’étreinte ! <img data-src=" />



Cela ressemble quand même à du bloubiboulga technique… va donc expliquer à ton gosse que papa ou maman pivote sur pornhub. <img data-src=" />









ecatomb a écrit :



Et pourquoi pas un passport ?





parce que je compte pas aller en Angleterre. <img data-src=" />





tifounon a écrit :



Pourtant



“Depuis le 1er janvier 2014, la durée de validité des cartes nationales d’identité (CNI) délivrées aux personnes majeures est passée de 10 à 15 ans.





bah oui. délivré en janvier 2005 donc +15 ça fait janvier 2020. la date sur la carte c’est périmée en janvier 2015.



en vrai je suis déjà quasi sans papier. <img data-src=" />


Mettez le dehors&nbsp;<img data-src=" />








ecatomb a écrit :



Mettez le quasi dehors <img data-src=" />



<img data-src=" />



France Connect, cette bonne idée…



Comme pour toutes les solutions du genre (se connecter via FB, via Google…) c’est très pratique pour se faire pwn tous les comptes affiliés si jamais on se fait voler l’identifiant France Connect ou que le service est compromis <img data-src=" />



Ca te permet de te connecter au site A en entrant les identifiants du site B.

Donc il suffirait qu’un des services A (impots.gouv.fr, ameli.fr, l’Identité Numérique La Poste, MobileConnect et moi, msa.fr et Alicem) soit compromis pour compromettre tous tes comptes accessibles via France Connect.



Enfin, aucune raison que ça arrive, ces sites A sont évidemment très bien sécurisés.

Par exemple, ils ont tous A+ sur https://observatory.mozilla.org/







Ah zut. https://observatory.mozilla.org/analyze/fc.assure.ameli.fr



L’Etat français, zéro crédibilité dans le numérique. Il serait peut-être temps d’y consacrer un ministère, ça fait peur pour la suite tout ça.


Bonjour,

Je trouve que vous avez lu le rapport avec un prisme déformant au sujet d’Alicem. Rien ne permet de dire aujourd’hui&nbsp;que cette solution va être abadnonnée,&nbsp; car personne ne connait le futur marché public, rien dans le rapport préconise son abandon (au contraire à ma lecture) et la certification à venir est en fait en cours.



Pour le reste, je vous remercie d’avoir fait l’analyse. Je l’ai trouvé intéressante.


NXI n’est pas mieux, mais c’est moins critique qu’un site gouvernemental d’identification…


Ah ça… La quasi totalité des sites ont F, c’est pas jojo.

Mais NXI ne prétend en effet pas fournir un service d’authentification gouvernemental sécurisé et centralisé…



Cela dit c’est malgré tout un peu la honte pour un site d’informatique <img data-src=" />


Je ne connaissais pas. Ça me “rassure” pour ma SSII qui a F. <img data-src=" />


Mais que font les quasi modos<img data-src=" />


Si c’est seulement un site vitrine ce n’est pas “trop” grave.

Par contre dès lors qu’il y a possibilité de se connecter et/ou que le site traite des données personnelles, ne pas avoir A+ est un signe d’une sécurité insuffisante pour protéger les utilisateurs et leurs données.


D’autant que ça demande assez peu de travail d’avoir A+. Donc ne pas mettre en place ce qu’il faut signifie soit :




  • jemenfoutisme absolu, on sait que les technos évaluées dans ce test existent mais on a choisi de ne pas les mettre en place pour économiser 1h de travail (et encore je suis très large)

  • ignorance de l’existence même de ces technos, ce qui traduit une maîtrise insuffisante de la sécurité web. En général ça se voit chez les développeurs juniors mais aussi chez les vieux de la vieille, qui ont tendance à être plus dev réseau que dev web et n’approchent donc la sécurité que côté serveur, en oubliant le côté client.

    J’ai même vu des audits de sécurité passer à côté…


:chinoix: Merci,



Pour le coup c’est le site public et l’intranet (qui est codé pour certaines parties par des personnes en intercontrat je pense notamment à la saisie des congés).


Ali a semé. Ali récolte.


C’est fortement sous entendu par les députés. Mais le dispositif va être repris et recyclé (en permettant une identification en mairie, comme le suggéré la CNIL).

Donc c’est loin d’être un véritable abandon.