Test de France Identité : l’application prouve-t-elle son utilité au quotidien ?
Prouver son identité avec son smartphone, c’est maintenant possible grâce à France Identité. Quelles sont les fonctionnalités offertes par l’application du gouvernement ? Peut-on finalement laisser sa carte d’identité et son permis à la maison ? Après avoir détaillé la création de mon identité numérique dans un précédent article, voici ce que donne l’application à l’épreuve de la vie quotidienne.
Une application sous haute protection
Avant de tirer parti des fonctionnalités de France Identité, quelques mots sur l’application en elle-même. Celle-ci est bien réalisée : son interface est simple, sa navigation intuitive et il y a le souci du détail, en témoignent les retours haptiques lors de la saisie du code personnel et le mode sombre automatique. Ce soin pourrait être considéré comme une chose normale, mais l’affreuse application carte Vitale (encore en bêta) prouve que ça ne fait pas partie des priorités de tout le monde.
Les applications iOS et Android sont développées par le groupe Atos et elles exploitent les technologies natives de chaque plateforme. « Comme nous avons besoin de travailler avec les couches basses des téléphones, comme la NFC, nous avons choisi des technologies natives pour contrôler parfaitement les choses et bénéficier des meilleures performances », avait expliqué à iGeneration un cadre de l’équipe France Identité en 2022, au début du bêta test.
L’application pêche néanmoins dans un domaine : elle n’est que partiellement conforme aux normes d’accessibilité. Sur iOS, le lecteur d’écran VoiceOver est bien pris en charge… sauf sur le pavé numérique qui sert à composer son code personnel, pavé numérique dont l’ordre des chiffres change à chaque fois par mesure de sécurité. Or, la saisie du code est indispensable pour la plupart des fonctionnalités. Autrement dit, les personnes aveugles ou malvoyantes ne peuvent pas utiliser France Identité. Même si ce problème découle d'une complexité technique en matière de sécurité, il n'en reste pas moins inexcusable.
Concernant la sécurité et la confidentialité, l’ensemble du système France Identité se veut respectueux de la vie privée en laissant les données personnelles en local, sur le smartphone, et en minimisant les traitements indispensables sur un serveur dédié, en l’occurrence le serveur du Service de garantie de l’identité numérique (SGIN).
Pour des raisons de traçabilité, les principales actions dans l’application (création d’un justificatif, importation d’un nouveau titre…) font l’objet d’un enregistrement sur ce serveur. Mais l’authentification en tant que telle est réalisée exclusivement en local, entre le smartphone et la puce NFC de la CNIe, ce qui est décrit par les instigateurs du projet comme une « architecture décentralisée ». Si ces grands principes de protection des données sont rassurants, il faudra veiller à ce qu’ils restent ainsi sur la durée.
L’application a été auditée par l’Agence nationale de la sécurité des systèmes d’information (ANSSI), qui a délivré une certification de sécurité au niveau de garantie « élevée » selon le référentiel européen eIDAS. C’est la première identité numérique qui obtient une telle certification en France. En comparaison, l’Identité Numérique La Poste, qui sert notamment à utiliser ses droits sur le site Mon Compte Formation, a le niveau de garantie « substantiel » qui se situe un cran en dessous.
Cette certification de l’ANSSI est l’une des raisons pour lesquelles le gouvernement a choisi de développer sa propre application plutôt que de permettre aux Français de glisser leurs papiers dans Apple Cartes : c’est un gage important de confiance alors que le wallet d’Apple est une boîte noire. Une autre raison cruciale tient à la volonté de souveraineté nationale sur les titres d’identité.
Loin d’être vexée par ce choix, Apple a joué un rôle important dans le développement de France Identité. La Pomme a collaboré étroitement avec l’équipe dédiée sur l’aspect technique du projet. La directrice des affaires réglementaires d’Apple en France a d’ailleurs salué cet « effort conjoint » au moment du lancement officiel de l’application.
Pour en revenir à la sécurité, le code source de l’application doit être rendu public prochainement et un bug bounty a été mis en place afin d’encourager les chercheurs en sécurité à signaler les éventuelles failles au gouvernement plutôt qu’à de vilains pirates. Le risque zéro n’existe pas en informatique, mais la certification de l’ANSSI et le bug bounty montrent que la sécurité de France Identité est prise au sérieux.
Pour ma part la poste a a refusé cette appli arguant que la poste avait créé sa propre identité numérique .
Récemment lors d’une demande de justification d’identité pour refaire une carte vitale, il faut de nouveau scanner le NFC de la carte pour créer un QR code … bref je suppose comme souvent que le problème vient de moi et pas des l’app mais pour le moment c’est inutile
@Arnaud33
Effectivement l’application n’est pas reconnue par La Poste, la SNCF. Et l’idée numérique ne sert pour des raisons juridiques que pour les retraits de colis.
Elle est refusée en aéroport meme pour les vols intérieurs, elle est refusée par la sncf en cas de contrôle, elle est refusée par les agences de location ( avis en tt cas) donc à ce jour elle n’est pas tres utile.
@Povcul
Il suffirait de mettre une amende aux entreprises pour chaque refus et la d'un seul coup ce sera accepté.
@fousfous
Rappel : c'est Macron donc tout ce qui peut embêter les entreprises c'est NIET...
Et évidemment sans 'punition' il n'y aura pas d'usage... 😭
La genèse de la modernité pour l'identité individuelle est lente et laborieuse.
Mais ça commence !
En tout cas, j'ai adopté l'appli, et pour le moment, j'ai pu l'utiliser 2-3 fois avec succès.
Lors d'un contrôle d'accès (il fallait une pièce d'identité), lors d'un retrait de colis et une ou deux autres fois sans doute équivalentes que je n'ai plus en mémoire.
De toute manière je n'ai strictement jamais mes papiers d'identité sur moi. Cette appli est indéniablement un plus pour moi ! 😁
Le code a 6 chiffres ça montre qu'on a quand même des guignols niveau sécurité...
@fousfous
Pas vraiment. Ça veut dire qu’en possédant ton iPhone et ta carte d’identité, je ne peux pas générer de justificatif.
@Jymini
… et même sa binette.
1. Non ça prouve juste que vous en connaissez pas le code en question
2. Pour ce dont vous parlez, il y a la biométrie, intégrée dans l'iPhone avec Touch/Face ID
@fousfous
Comme ma banque et mon assurance…
@Patrick_C
C'est pas vraiment des références justement.
@fousfous
Mouaip, rien que ma carte bleue n’a qu’un code à 4 chiffres. A un moment, il faut voir où se situe ce code: s’il sert à l’accès à un site sur internet, oui c’est léger. S’il sert à l’accès à une application sur mon téléphone, c’est suffisant.
C'est pas pire que de mettre ses papiers dans la poche arrière de son pantalon, ou dans son sac ouvert porté d'un seul côté ...
@Spinaker
Ah oui mais la c'est que tu cherches les problèmes...
Comment se passe le transfert vers un nouvel iPhone ? Faut-il repartir de zéro ?
L’idéal serait de transférer en NFC de l’un à l’autre par exemple ou mieux via le transfert des data de l’app lors de la migration vers le nouvel iPhone.
Le problème principal, il me semble, c’est qu’il faut maintenant équiper les organismes qui demandent un justificatif d’identité du dispositif permettant de vérifier que l’information vient bien de France Identité et est donc fiable.
Quand le risque de fraude a peu de conséquences, ça passe mais dans la plupart des cas c’est insuffisant de s’en remettre à « regardez » avec un sourire en présentant l’écran de son smartphone. Au delà du manque d’habitude, cela me paraît un peu léger sans dispositif capable d’interpréter de façon sûre la provenance de l’information.
Le numérique pour le numérique !!!
@clapouli
Pas forcément. L’un des avantage est le filtrage des informations communiquées au tiers. Ce dernier peut s’assurer que tu es majeur sans pour autant que tu donnes le détail de ta date de naissance par exemple. Et ce n’est qu’un exemple. Une carte d’identité, un permis de conduire, sont pleins d’informations qui la plupart sont inutiles pour l’opération à réaliser mais que tu vas fournir en présentant ou pire en diffusant le document (photocopie etc). Tu peux toujours caviarder le document avant scan ou photocopie, en fonction des besoins, mais pas en présentation directe et puis il y a plus pratique et au final l’identité numérique peut, paradoxalement fournir un moyen de réguler de meilleure manière la confidentialité des informations personnelles, en les réduisant au strict minimum (pas de stockage, données filtrées etc).
@clapouli
Le commentaire pour le commentaire !
@clapouli
C’est plus sécurisé et ça évite qu’on perde ses papiers, donc non ce n’est pas du numérique pour du numérique
@Mageekmomo
Le jour où la base de donnée et les clefs privées de chiffrement seront poutrée par les chinois … on viendra pleurer
@clapouli
Les données sont en local. La base de données est une base d’authentification, pas d’identification.
J’attends aussi que la carte vitale soit aussi stockée dans « France Identité » et non plus dans l’appli « carte vitale » (il me semble que MacG avait fait un article à ce sujet il y a quelques temps)
@stephmouss
Merci, je ne retrouvais plus l’article qui en parlait 👍
Bonjour
Est-ce que quelqu’un peut m’expliquer l’intérêt de ses codes numériques au clavier aléatoire ?
OK cela limite le risque pour ceux qui regarde ou film la procédure d’identification, il ne pourraient pas reproduire/deduire le code juste par la gestuelle… mais s’il y a film ou regard indiscret, il n’est pas bien difficile de cadrer correctement pour avoir les chiffres.
Cela, d’autant plus qu’on tape le code bien plus lentement car on cherche chaque chiffre…
Autre point, j’ai l’impression qu’on finit par utiliser le même code sur tous les sites utilisant ce système, car il est impossible d’utiliser un gestionnaire de mot de passe qui garantit un peu de variabilité et/ou autre système qui permet dans la pratique d’avoir des mots de passe fort (alphanumérique, symboles, casse, moyen mémo technique…) . Quoi qu’il en soit, cette tentation est forte, même si j’essaye de ne pas y céder personnellement.
Et l’autre risque si on crée un mdp unique dans un gestionnaire : on doit l’ouvrir pour lire le code en clair, donc il est d’autant plus simple pour quelqu’un regardant au-dessus de l’épaule de le retenir…
Y a-t-il un autre intérêt que celui d’embêter l’univers ?
@snake626
Aucun intérêt en effet, et comme tu le dis c’est même une solution pire en termes de sécurité qu’un clavier fixe ou qu’un mot de passe généré pr un gestionnaire.
Mais je n’ai eu à m’en servir qu’une fois : maintenant c’est Face ID.
@Oliviou
Ensuite, dans l’application tout peut se faire avec Face ID ?
J’avoue, ne pas avoir essayé l’app pour le moment.
Dans ce cas là, ça peut être jouable avec un gestionnaire de mdp 🙂
@snake626
Je viens de tester : NON, on doit entrer ce code pour faire un justif.
🤦♂️
@Oliviou
Comme tu dis 🤦♂️
@Oliviou
Ta réponse est largement incomplète... Il faut le code ET la CNIe car à ce jour cette application ne gère que du niveau élevé et donc c'est obligé d'avoir ce type de sécurité avec dispositif physique ici la CNIe.
Le code à 6 chiffres est envoyé à la CNIe qui va vérifier que c'est celui de l'enrôlement et renvoyer les données signées pour générer cette attestation.
C'est donc très bien niveau sécurité (rappel seul Lenovo avec un modèle smartphone Motorola à fait valider sa secure enclave par les critères commun de l'Anssi.... Apple jamais voulu 🙄), mais bien trop excessif pour la majorité des usages ==> il faut rajouter un niveau substantiel pour les attestations ET l'authentification France Connect, après cela sera une vraie application utile...
@snake626
C’est une protection contre les keylogger (enregistreurs de touches), uniquement je pense. Et ça fait « sécurisé » à peu de frais.
J’en ai vue des plus complexes qui se basent sur un motif à retenir sur une grille alphanumérique qui change aléatoirement à chaque connexion. Ce n’est pas un code choisi au départ que tu tapes sur la grille elle même, mais tu reproduis dans un champ annexe, les caractères affichés par la grille dans les cases du motif choisi au départ.
@Labsyb
Je ne connaissais pas ce type de sécurisation :-) on en apprend tout les jours et ça a l’air un peu plus safe aussi sauf à tjrs choisir le même motif sur toutes les app… à la toute fin, c’est tjrs la faute de l’interface chaise/clavier
@snake626
Oui à mon sens il ne faut pas que ce machin se généralise parce que va retenir tous les motifs différents d’une connexion à l’autre :)
Déjà lors de l’enregistrement du motif, à l’inscription, la première fois, tu flippes un peu sur le moyen de le retenir et tu t’y prends à plusieurs fois avant de le valider. D’ailleurs, j’ai constaté l’existence de copies d’écran barbouillées avec paint ou autre pour surligner le motif à retenir. 🤪
Il y a eu pas mal de reset aussi car les personnes avaient oublié leur motif dès la seconde utilisation, ou n’avaient pas compris le principe (ils avaient retenu la suite de caractères de la grille ayant servi à l’enregistrement et non le motif) . Bref…
@Labsyb
C'est le truc de Thales nan ? Une vrai m**de ce truc ! J'ai du m'y reprendre 2 fois lors de la création de mon premier compte, parce que c'est tellement inhabituel comme solution de mots de passe, mal expliqué, et souvent mal configuré aussi j'ai l'impression...
@Link1993
Je pense oui. J’ai cherché des illustrations et il semble bien que ce soit GrIDsure en effet. Dans l’utilisation que j’ai vue, ils avaient couplé ça à un code « permanent » à 4 chiffres, (préfixe) qu’il fallait compléter par la suite de caractères unique issue du pattern/motif… jamais vraiment compris l’utilité du code à 4 chiffres permanent. Sinon que ça ajoute une sécurité complémentaire si le motif est découvert mais bon…
C’est sûr que l’ « enrolment » est un brin casse gueule et les explications assez obscures de mémoire.
@snake626
« Autre point, j’ai l’impression qu’on finit par utiliser le même code sur tous les sites utilisant ce système, car il est impossible d’utiliser un gestionnaire de mot de passe
[…]
Quoi qu’il en soit, cette tentation est forte, même si j’essaye de ne pas y céder personnellement. »
Utilisateur de 1Password avec plus de 300 identifiants, je reconnais que ce type d’identification est pénible. Et malheureusement j’ai cédé à la tentation en utilisant plusieurs fois le même code à 4 ou 6 chiffres. Le pire c’est que c’est très répandu dans les applications bancaires, celles qui devrait être les plus sécurisées.
@lepoulpebaleine
Je suis exactement dans le même cas que toi, même gestionnaire et problématiques bancaires
@snake626
Si une application espion suit les mouvements de ta souris et les clics, elle ne peut pas en déduire les chiffres du code composé.
@DahuLArthropode
Mais je suppose que par la même occasion si une application malveillante est installée sur l’ordinateur ou le téléphone elle sera également en mesure de capturer les informations affichées à l’écran ?
Mais oui, ça fait au moins un cas plausible de points positifs à ce truc
Je l’ai installé depuis les premières phases de test, mais je ne m’en suis jamais servi…
À suivre.
Le mot de passe de X chiffres ne fonctionne qu’en complément d’un hardware, à savoir la CNIe. En terme de sécurité, c’est globalement correct : si on a volé la CNIe de qqun, son tel ET son code. Ça fait beaucoup, d’autant que l’annulation du compte France Identité est très rapide, en ligne.
Pour mon utilisation, j’ai eu de tout : OK (souvent le commerçant de proximité), du Oui après discussion (la poste, agent RATP), du non mais on connaît (SNCF, la poste) et du non et on ne connait pas (SNCF, la poste encore).
Je betatest depuis le début, j’ai certifié des que c’était possible, mais oui pour l’instant il faut éduquer. C’est embêtant mais en même temps, si ça se généralise…
De mon côté, j’ai CNIe et permis, compte certifié et bientôt la Carte Grise. Je vais pouvoir conduire qu’avec mon téléphone (car plus de vignette d’assurance).
Pour celui qui demande en cas de changement de tel : on reconnecte son compte avec sa carte et son code déjà entré et c’est fini. Il faut réimporter son permis en revanche.
On reconnaît tim malgré les pixels 😬
@stephmouss
J’ai gagné quoi ? 😬
@Flyingbike
C’est parce que Tim EST pixelisé.
Pages