Le déploiement de France Connect s’amplifie. La Poste devient le second « fournisseur d’identité » du dispositif mis en place par les pouvoirs publics, ce qui signifie qu’il devrait bientôt être possible de s’authentifier sur un grand nombre de sites publics grâce aux identifiants et mots de passe fournis par l’entreprise, via son système d’identité numérique vérifié par les facteurs.
Qui n’a jamais été exaspéré d’avoir à mémoriser un identifiant et un mot de passe pour chaque site public (impôts, CAF, Sécurité sociale...) ? C’est justement pour répondre à ce problème que les pouvoirs publics ont commencé à développer l’année dernière France Connect. Le principe est assez simple : lorsqu’un internaute souhaite s’identifier auprès d’un acteur adhérant à ce programme – une mairie par exemple, un bouton « France Connect » lui propose de s’authentifier à partir des codes lui ayant été fournis par un autre participant, tel que les impôts. Il s’agit en ce sens d’un outil de fédération, puisque les mots de passe « originaux » fonctionneront quoi qu’il arrive.
La Poste devient fournisseur d’identité
Le mois dernier, la Direction générale des finances publiques (DGFiP) a été le premier acteur à entrer dans la danse, puisque les identifiants et mots de passe utilisés pour « impots.gouv.fr » peuvent dorénavant servir à se connecter sur les sites disposant du bouton France Connect. Ceux-ci sont pour l’instant très peu nombreux, puisque seuls « faire-simple.gouv.fr » et le site du département des Alpes Maritimes le proposent – mais cette liste a bien entendu vocation à s’allonger...
Pour les internautes qui n’auraient pas de compte sur le site des impôts, il existe désormais une nouvelle option. La Poste devient en effet le second fournisseur d’identité de France Connect. Pour cela, il faut disposer d’une « identité numérique » proposée – gratuitement – par la célèbre entreprise (ça se passe par ici).
L’inscription commence sur Internet, de manière très traditionnelle, avant d’être suivie par un passage du facteur au domicile de l’internaute. L’intérêt ? Vérifier son identité. L’agent, équipé d’un smartphone, validera en effet l’inscription après avoir pu consulter la carte d’identité de l’utilisateur. « Courant 2016, ce processus d’enrôlement s’effectuera également au sein des bureaux de poste » affirme le Secrétariat général de modernisation de l’action publique (SGMAP), qui chapeaute France Connect.
Ce choix est loin d’être anodin : La Poste est une entreprise connue de tous et jouissant « d’un capital confiance très élevé », dixit le SGMAP. En contrepartie, la société peut espérer attirer de nombreux utilisateurs, son service d’identité numérique permettant (entre autres) d’envoyer des recommandés électroniques.
Le prochain fournisseur d’identité de France Connect sera Ameli.fr, le site de la Sécurité sociale, dont la participation est attendue pour janvier 2016.
Commentaires (66)
#1
Fear facteur
" />
#2
C’était pas deja la promesse du site service-public.fr ?
#3
J’utilisais mon.service-public qui me faisait la même chose.
Sinon c’est une bonne chose.
#4
#5
Ça va pas être sacrément dangereux de se faire pirater son compte France Connect ? L’État assure t’il les usagers contre l’usurpation d’identité France Connect ?
Si je me fais voler ma carte bancaire aujourd’hui, et qu’on fait des achats avec, je suis remboursé. Si je me fais voler mon compte France Connect et que quelqu’un modifie mes déclarations de revenus, mon adresse, etc … que va t-il se passer ? " />
En dehors de ça, sur l’aspect purement pratique, c’est un bon pas en avant pour la communication avec les divers services de l’état :)
#6
Moi aussi mais j’ai l’impression que le truc est quasiment en phase d’abandon (connexion avec AMELI ne fonctionne plus, liste des partenaires qui se réduit…).
#7
La poste ? la poste ? ha ….. laposte (en un seul mot) !
La boite impliqué dans les fichiers markéting qui fait du fric avec nos données personnelles .
J’ai 2 boites courriel chez laposte.fr , l’une avec mes vrai données perso , complètement inondée de pubs .
La seconde boite courriel avec adresse et nom bidon , aucune pub .
Conclusion , quand laposte (en un seul mot) fait le lien avec des fichiers acheté chez ses partenaires , c’est l’inondation de pub assurée .
Je suis pas prêt de m’identifier chez eux .
#8
Le “capital confiance” pour perdre les colis surtout.
Autant mon facteur personnel est top, autant le centre dont dépend ma société est juste calamiteux.
#9
Je me pose exactement les mêmes questions et je ne suis pas certain que ça soit une bonne nouvelle.
#10
Et standards ouverts type OpenID, c’est tintin ?
Ou c’est basé sur un truc similaire ?
#11
Fais gaffe, il sonne toujours deux fois
" />
#12
La question que je me pose, est-ce qu’une collectivité locale peur utiliser ce service mais en tant que simple ‘client’ sans être fournisseur d’ID ?
#13
Il me semblait aussi. J’ai un compte là bas. mais je m’en suis pas encore servi j’utilise toujours mes anciens identifiants.
Je trouve la démarche mal foutu. Il faut se connecter sur internet pour activer compte par compte.
Pourquoi ne pas envoyer un courrier et donner un identifiant universelle directement pour tous les sites du gouvernement. Sinon personne ne le fera à part les geeks et encore…
#14
Parfois, il entre sans prévenir…
#15
Chacun son ID " />
#16
Bon je me réponds à moi-même. On peut être simple Fournisseur de service (FS) sans être fournisseur d’identité (FI) .https://doc.integ01.dev-franceconnect.fr
#17
surhttps://doc.integ01.dev-franceconnect.fr/openid-connect
“Le protocole OpenID Connect est au coeur du fonctionnement de FC. C’est une surcouche d’identification au protocole OAuth 2.0. Il permet à des Clients (ici, les FS) d’accéder à l’identité des Utilisateurs finaux (les internautes) par l’intermédiaire d’un serveur d’autorisation (ici, les FIs).”
#18
Est-ce qu’ils gèrent l’authentification à deux facteurs ?
#19
#20
Je sais pas, mais si il est prévu de la faire fonctionner aussi bien que celle de monservicepublic.fr, autant ne pas la gérer " />
Edit : " /> pour la vanne
#21
OK, merci " />
Vu le nom de domaine, c’est encore de l’info super intuitive à trouver " />
#22
tsss … tssss… bon c’est vrai que le DN est pas très intuitif, mais ils ont fait des efforts sur le SEO.
une petite recherche “France Connect” et le portail dev arrive en 2nd " />
#23
Ah oui, le SEO sur les serveurs de test. Un grand classique " />
#24
certes, ça pourrait être bien utile et pratique, mais il faut fournir un n°
de téléphone portable ( et si je n’en avais pas ? ) et une adresse mail…
comment être sûr de ne pas être spammé et/ou harcelé de pubs ?
@+
#25
#26
#27
#28
#29
#30
Le protocole OpenID Connect définit 3 appels REST faits par le client, et 4 endpoints (un du côté client, et trois du côté provider).
En amont, le client s’inscrit (en général manuellement) auprès du provider. Il lui fournit une URL de callback (l’URL du client vers lequel l’internaute est redirigé une fois authentifié), aussi appelée “callback endpoint”. En retour le provider donne au client un client ID et un client secret.
Lorsque l’internaute clique sur le bouton d’authentification du client, le flux est le suivant :
source : France Connect, le lien au-dessus
Ben bravo, il est beau le français " />
#31
Ouais enfin depuis le petit interview de Cash investigation avec la nana du marketing de la poste où elle lui montre un ppt où il est écrit clairement que chaque facteur doit pomper le plus d’infos persos lors de ces tournées pour les revendre ensuite… le facteur, fort sympathique au demeurant et très arrangeant, …. ben tu le vois d’un autre oeil tout de même (d’ailleurs les facteurs ne doivent pas trop apprécier cette situation).
Alors que la poste possède en plus mes identifiants à tous les services de l’Etat… je dois être parano bien sûr, c’est totalement impossible, complètement idiot de pouvoir penser qu’ils s’en servent pour pomper tes infos sur les sites de l’Etat… totalement impensable, ce serait totalement immoral et on sait bien que la morale est respectée dans le business (on empoisonne jamais personne en tout connaissance de cause, on ne détruit pas l’environnement, on ne triche pas avec les normes antipollution, on ne prend tes données perso que quand tu as donné ton accord etc… etc…) : ce qui montre bien que je suis un intégriste parano à la limite de la folie.
#32
#33
Et d’un autre coté on a l’europe qui met en place une plateforme globale …
www.ozwillo.com
J’ai juste l’impression qu’il y aura doublon a terme … a moins que ça fusionne
#34
#35
#36
Est-ce que France Connect n’est pas une manière de faire du Big Data pour l’administration Française en créant un identifiant unique entre les différentes bases de données des services de l’état ?
#37
#38
#39
Cela serait intéressant de savoir si c’est pas la conséquence du reportage de Cash Investigation sur le sujet:
https://www.youtube.com/watch?v=dMgh1UAfn7A (38ème minute environ).
#40
Je ne pense pas, ça fait des années qu’ils vendent ce types de prestations et qu’ils les présentent comme cela.
#41
Dans le reportage, la responsable Médiapost avait l’air de découvrir de 2-3 trucs qui sont présents dans cette page.
#42
#43
#44
Haha se connecter avec la Poste !
Franchement, après avoir vu le Cash Investigation qui traite du marketing, je ne risque pas d’aller chez eux pour m’y connecter. La Poste (via sa filiale Mediapost) est le plus gros organisme de tracking publicitaire de France (40 millions de personnes pistées). Ils profitent de la confiance qu’on leur accorde pour collecter nos données perso (parfois sans noter accord) et les revendre aux publicitaires.
Et mieux que ça, avec leur réseau sur le terrain (le facteur), ils font une carte très détaillée de la population : untel habite un immeuble dans une ville pauvre, untel a un pavillon dans un quartier huppé,… et ainsi affinent les profils qu’ils revendent. J’attends de pied ferme le facteur avec son smartphone " />
Bref c’est tout sauf une bonne nouvelle pour moi, hors de question d’avoir un compte chez eux. Je vous conseille de regarder l’émission si le sujet vous intéresse.
Edit : bon multi-grillé (pas le temps de lire tous les commentaires " />) mais je suis content de ne pas être le seul à avoir été alerté par le reportage
#45
#46
#47
+1
Mais quelle mauvaise idée d’avoir permis que les identifiants des impots puissent être utilisés sur d’autres sites !
Rappelez-vous la règle d’or : plus vous utilisez un identifiant et un mot de passe, un cookie, ou autre, moins ils sont sécurisés. Parce que risque d’interception/vol de l’info, parce que plus on s’en sert plus on a besoin de le simplifier pour le rendre moins pénible, … Et ça, tous les protocoles du monde n’y changeront rien.
#48
#49
Euh…Pour tout dire c’est basé sur openID.
https://doc.integ01.dev-franceconnect.fr/openid-connect
#50
#51
#52
L’authentification à un seul facteur, c’est quand même mieux sécurisé quand il viennent en double.." />
#53
C’est bien mignon les services publics “tout connecté” mais je serais plus enclin à utiliser un système d’auth matériel (une carte et un lecteur). Il me semble que c’est ce qui se fait en Belgique ? (pas lu tous les comm).
#54
#55
Raté, je n’ai ni l’un ni l’autre. Tu as raté une occasion d’éviter de dire une connerie " />
#56
#57
#58
#59
Je me rappelle qu’à l’époque, j’avais créé le compte parce qu’une autre adresse mail était pleine de spam et que ayant donné l’adresse de mes parents j’ai du attendre 15 jours/3 semaines, le temps de rentrer un weekend.
#60
#61
Exactement. Super pratique. Dans l’air du temps mais quelle sécurité?
#62
pour le coup, Facebook et Google sont plus transparents actuellement que La Poste et sa filiale Mediapost.
Si seulement les médias s’intéressaient un peu plus aux cartes de fidélité des magazins et aux collectes de données des opérateurs historiques, souvent anciens monopoles d’Etat (les banques françaises, les opérateurs postaux, les opérateurs télécom, les opérateurs énergétiques, etc).
De toute manière en France, lorsqu’il y a la certification “approuvé par l’Etat”, ça sonne tout de suite la confiance, et après on ira râler sur l’action du Président de la République qui ne fait pas son boulot. Je trouve ça pathétique pour un Peuple qui a soit-disant inventé les Droits de l’Homme et la séparation des pouvoirs (Montesquieu).
#63
#64
#65
#66