Prouver son identité avec son smartphone, c’est maintenant possible grâce à France Identité. Quelles sont les fonctionnalités offertes par l’application du gouvernement ? Peut-on finalement laisser sa carte d’identité et son permis à la maison ? Après avoir détaillé la création de mon identité numérique dans un précédent article, voici ce que donne l’application à l’épreuve de la vie quotidienne.
Une application sous haute protection
Avant de tirer parti des fonctionnalités de France Identité, quelques mots sur l’application en elle-même. Celle-ci est bien réalisée : son interface est simple, sa navigation intuitive et il y a le souci du détail, en témoignent les retours haptiques lors de la saisie du code personnel et le mode sombre automatique. Ce soin pourrait être considéré comme une chose normale, mais l’affreuse application carte Vitale (encore en bêta) prouve que ça ne fait pas partie des priorités de tout le monde.
Les applications iOS et Android sont développées par le groupe Atos et elles exploitent les technologies natives de chaque plateforme. « Comme nous avons besoin de travailler avec les couches basses des téléphones, comme la NFC, nous avons choisi des technologies natives pour contrôler parfaitement les choses et bénéficier des meilleures performances », avait expliqué à iGeneration un cadre de l’équipe France Identité en 2022, au début du bêta test.
L’application pêche néanmoins dans un domaine : elle n’est que partiellement conforme aux normes d’accessibilité. Sur iOS, le lecteur d’écran VoiceOver est bien pris en charge… sauf sur le pavé numérique qui sert à composer son code personnel, pavé numérique dont l’ordre des chiffres change à chaque fois par mesure de sécurité. Or, la saisie du code est indispensable pour la plupart des fonctionnalités. Autrement dit, les personnes aveugles ou malvoyantes ne peuvent pas utiliser France Identité. Même si ce problème découle d'une complexité technique en matière de sécurité, il n'en reste pas moins inexcusable.
Concernant la sécurité et la confidentialité, l’ensemble du système France Identité se veut respectueux de la vie privée en laissant les données personnelles en local, sur le smartphone, et en minimisant les traitements indispensables sur un serveur dédié, en l’occurrence le serveur du Service de garantie de l’identité numérique (SGIN).
Pour des raisons de traçabilité, les principales actions dans l’application (création d’un justificatif, importation d’un nouveau titre…) font l’objet d’un enregistrement sur ce serveur. Mais l’authentification en tant que telle est réalisée exclusivement en local, entre le smartphone et la puce NFC de la CNIe, ce qui est décrit par les instigateurs du projet comme une « architecture décentralisée ». Si ces grands principes de protection des données sont rassurants, il faudra veiller à ce qu’ils restent ainsi sur la durée.
L’application a été auditée par l’Agence nationale de la sécurité des systèmes d’information (ANSSI), qui a délivré une certification de sécurité au niveau de garantie « élevée » selon le référentiel européen eIDAS. C’est la première identité numérique qui obtient une telle certification en France. En comparaison, l’Identité Numérique La Poste, qui sert notamment à utiliser ses droits sur le site Mon Compte Formation, a le niveau de garantie « substantiel » qui se situe un cran en dessous.
Cette certification de l’ANSSI est l’une des raisons pour lesquelles le gouvernement a choisi de développer sa propre application plutôt que de permettre aux Français de glisser leurs papiers dans Apple Cartes : c’est un gage important de confiance alors que le wallet d’Apple est une boîte noire. Une autre raison cruciale tient à la volonté de souveraineté nationale sur les titres d’identité.
Loin d’être vexée par ce choix, Apple a joué un rôle important dans le développement de France Identité. La Pomme a collaboré étroitement avec l’équipe dédiée sur l’aspect technique du projet. La directrice des affaires réglementaires d’Apple en France a d’ailleurs salué cet « effort conjoint » au moment du lancement officiel de l’application.
Pour en revenir à la sécurité, le code source de l’application doit être rendu public prochainement et un bug bounty a été mis en place afin d’encourager les chercheurs en sécurité à signaler les éventuelles failles au gouvernement plutôt qu’à de vilains pirates. Le risque zéro n’existe pas en informatique, mais la certification de l’ANSSI et le bug bounty montrent que la sécurité de France Identité est prise au sérieux.
Des justificatifs d’identité à usage unique
Mais à quoi sert cette application ? On y vient. Après avoir créé son identité numérique en important sa carte d’identité électronique (CNIe), deux fonctionnalités sont disponibles immédiatement. La première, c’est la création de justificatifs d’identité à usage unique. L'idée est d'éviter d'envoyer des copies de sa carte d'identité pour telle ou telle démarche, le risque étant que ces copies servent à des usurpations si elles tombent entre de mauvaises mains.
Escroquerie en ligne : comment éviter l’usurpation d’identité et comment réagir ?
Pour générer un justificatif, on commence par saisir le nom de la personne ou de l’organisation à qui il est destiné. Dans mon exemple fictif, c’est « Agence immobilière lyonnaise ». On choisit ensuite sa durée de validité, d’une semaine à trois mois, puis on précise le motif d’utilisation.
On entre ensuite son code personnel à six chiffres avant de lire en NFC sa CNIe. Même si les données de la CNIe sont enregistrées dans l’iPhone, la carte reste en effet indispensable pour valider l’opération. Après la saisie du code, le justificatif est créé. L’application propose de le partager via le menu de partage d’iOS ou bien de l’enregistrer dans Fichier (il n’y a pas d’espace de stockage dans France Identité).
Le justificatif prend la forme d’un fichier PDF qui comprend donc le cadre d’utilisation que l’on a défini, ses données personnelles (nom, prénom, sexe, date de naissance, lieu de naissance), une signature électronique du ministère de l’Intérieur et un QR code. Le nom du fichier est composé de la date de création, des premières lettres du nom du destinataire et de son propre nom de famille.
Le destinataire peut vérifier le justificatif en scannant le QR code à l’aide de l’application France Identité (pas besoin de compte, un mode vérifieur est disponible) ou bien en important le PDF sur un site web.
Cette fonctionnalité résout une vraie contrariété : il est absurde de devoir envoyer une copie de sa carte d’identité pour prouver son identité. Non seulement cela ne prouve pas que l’expéditeur est bien celui qu’il prétend être, mais en plus la copie peut être détournée à des fins malveillantes.
Le justificatif généré par France Identité est une bonne réponse à ce problème… à condition que les organismes l’acceptent. Je n’ai pas encore eu l’occasion de m’en servir en conditions réelles, mais plusieurs utilisateurs rapportent des refus avec des assurances et des banques, y compris depuis la généralisation de l’application.
Ces entreprises ont-elles le droit de refuser le justificatif ? « La loi permet de prouver son identité par tout moyen (article 1, loi du 27/03/12) », répond en préambule France Titres à iGeneration. Sauf que dans la pratique, c’est plus compliqué. « L’acceptation du justificatif d’identité est soumise à la volonté de l’entité qui en est destinataire. Nous travaillons activement à la reconnaissance et la valorisation de l’application autant dans le secteur privé que public », poursuit l’agence.
Ce travail d’évangélisation s’annonce de longue haleine quand on voit que sévit toujours dans le secteur des paiements une discrimination à l’IBAN étranger, et ce dix ans après l’entrée en vigueur d’une loi européenne interdisant cette pratique. Dans l’administration, le justificatif de France Identité est en tout cas utilisable depuis peu pour s’inscrire sur les listes électorales.
L’authentification sur FranceConnect
La deuxième fonctionnalité de départ de France Identité est l’authentification sur FranceConnect, la passerelle qui sert à se connecter sur de nombreux sites du service public. Par exemple, pour déclarer ses revenus sur le site des impôts — c’est le moment ! —, on commence par cliquer sur le bouton « S’identifier avec FranceConnect », puis sur « France Identité ». Apparaît alors à l’écran un QR code à scanner avec France Identité.
S’ensuit la procédure de validation habituelle avec France Identité, c’est-à-dire la saisie du code personnel puis la lecture de la CNIe en NFC.
L’authentification sur FranceConnect avec France Identité a fonctionné lors de tous mes essais, cependant elle est moins rapide que de taper son identifiant et son mot de passe, puisqu’elle demande de sortir sa CNIe. Elle est d’autant moins rapide que j’ai souvent dû m’y reprendre à deux fois pour lire ma CNIe avec mon iPhone 15 Pro parce que j’ai eu le malheur de bouger un peu.
Dès lors, pourquoi s’authentifier avec France Identité plutôt qu’avec la méthode traditionnelle ? Pour éviter d’avoir un mot de passe qui risque d’être oublié ou compromis par une fuite. Si cette solution présente un véritable intérêt en matière de sécurité, ses contraintes sont sûrement trop fortes pour qu’elle soit privilégiée par de nombreux utilisateurs. Une simplification de la procédure est justement dans les tuyaux. À terme, on devrait pouvoir s’authentifier sur FranceConnect avec France Identité sans avoir à lire sa CNIe.
Une vraie carte d’identité dans son smartphone ?
Les justificatifs à usage unique et la connexion sur FranceConnect, c’est bien sympa, mais la première chose à laquelle pensent beaucoup de personnes en voyant l’application France Identité, c’est la possibilité de s’en servir comme d’une véritable carte d’identité dans la vie courante. Est-ce seulement possible ?
J’ai fait l’essai à chaque occasion propice au cours de ces deux dernières semaines. J’ai pu retirer sans souci trois commandes dans des boutiques (Fnac et commerces de quartier) en présentant ma carte enregistrée dans France Identité. Les vendeurs n’ont jamais bronché. À vrai dire, si j’avais montré une simple photo de ma carte physique, le résultat aurait peut-être été le même.
J’ai également pu retirer à la Poste un recommandé avec avis de réception. Avant de tendre mon iPhone, j’ai simplement demandé à la postière si cette carte dématérialisée était suffisante, laquelle m’a répondu par la question « c’est l’identité numérique ? » Après avoir acquiescé, l’échange n’est pas allé plus loin et j’ai retiré le recommandé.
Si ma poignée d’essais a été couronnée de succès, ça ne se passe pas toujours aussi bien. De nombreuses personnes témoignent de refus lors de contrôles d’identité dans un train. L’année dernière, en réponse à un tweet de la SNCF, l’équipe de France Identité avait indiqué que l’application faisait partie des moyens valables pour justifier son identité. Mais depuis, il semble y avoir eu un retournement de veste puisque la mise en place d’une expérimentation avec la SNCF a été annoncée.
« Il n'y a aucun revirement : s'agissant de l'utilisation de l'application dans les trains, nous avons en accord avec la SNCF privilégié une approche progressive fondée sur l'expérimentation », se défend France Titres auprès d’iGeneration. Et de poursuivre :
Pour la SNCF, il était important de s'assurer d'une bonne appropriation des gestes métier — notamment pour la vérification de l'application — par les contrôleurs. Ce sera l'un des objectifs de l'expérimentation. Au vu des réactions que cela a suscité sur les réseaux sociaux, nous savons que la possibilité d'utiliser la carte d'identité sur son téléphone pour prouver son identité dans le train est très attendue !
Un peu qu’elle est attendue ! Cette fameuse expérimentation, dont on ne connait pas encore les détails, débutera au second semestre. En attendant, pour prouver son identité auprès d’un contrôleur ferroviaire, il faut toujours présenter une pièce d’identité physique.
Mais pourquoi l’application France Identité est-elle refusée au juste par la SNCF ? En l’état, exhiber la carte stockée dans cette app n’apporte pas beaucoup de garanties supplémentaires par rapport à la présentation d’une simple photo susceptible d’être trafiquée. Qu’est-ce qui assure au contrôleur que l’application France Identité qu’il a sous le nez n’est pas une version piratée dans laquelle est enregistrée une fausse carte ? Avec une carte physique, il a des moyens de vérifier que le titre est authentique.
Le contrôle du permis de conduire par NFC
Cette question de la validité de l’application France Identité est en fait d’ores et déjà réglée, mais seulement dans un cadre pour le moment, celui des contrôles routiers. On peut dès à présent se servir de France Identité pour présenter son permis de conduire aux forces de l’ordre (l’importation du permis dans l’app nécessite celle de la CNIe au préalable).
Désormais, France Identité vous permet de présenter votre permis de conduire numérique lors d'un contrôle routier. Bientôt, il sera possible d'intégrer les données du permis de conduire dans un justificatif de droit à conduire pour vos démarches en ligne. pic.twitter.com/NGG62uXh1A
— France Titres - ANTS (@FranceTitres) February 16, 2024
Lors d’un contrôle, on lance le partage de données depuis l’écran d’accueil ou la vue détaillée du permis. Après avoir validé le partage, on met en contact son smartphone avec le terminal mobile de l’agent. Le smartphone va alors partager en NFC les données au terminal de l’agent, qui pourra les examiner de manière sûre. C’est cet échange de données sécurisé qui fait toute la différence ; le contrôle n’est pas seulement visuel, il est cryptographique. Une fausse application France Identité ne peut théoriquement pas passer cette étape de validation.
Ne prenant que très occasionnellement la voiture, je n’ai pas encore eu la chance de me faire arrêter pour tester cette procédure. Mais en théorie, après une expérimentation dans quelques départements, le permis de conduire numérique est maintenant accepté partout en France. D’ici à la fin de l’année, on pourra ajouter dans l’application le second document indispensable lors d’un contrôle routier, la carte grise.
Des fonctionnalités supplémentaires avec l’identité numérique certifiée
France Identité peut également servir à prouver son identité lors d’une demande de procuration de vote et ainsi éviter de se déplacer dans une gendarmerie ou un commissariat. En réalité, un premier déplacement est indispensable car il faut une identité numérique certifiée, or la certification s’obtient lors d’un face-à-face avec un agent en mairie (tous les détails dans le précédent article).
Cette identité numérique certifiée va ouvrir la voie à d’autres démarches sensibles, comme la connexion avec FranceConnect+, une version plus sécurisée du service de connexion. À l’heure actuelle, si vous voulez utiliser vos droits sur le site Mon Compte Formation, vous n’avez d’autre choix que de créer une Identité Numérique La Poste. À terme, cette fonction sera accessible en vous connectant avec votre identité numérique certifiée. Le dépôt de plainte en ligne est une autre nouveauté liée au compte certifié qui est prévue.
Une identité numérique en devenir
Au bout du compte, l’application France Identité permet-elle d’oublier son portefeuille chez soi ? Pas encore, ou du moins pas tout le temps. La justification de son identité avec la CNIe dématérialisée est l’usage le plus évident, mais c’est aussi celui au résultat le plus aléatoire. C’est d’ailleurs la raison pour laquelle il n’est pas mis en avant pour l’instant.
Le gouvernement doit encore faire d’importants efforts techniques, juridiques et en quelque sorte marketings pour que la CNIe dématérialisée soit reconnue au même titre que la version physique. Idem pour les justificatifs d’identité à usage unique, une bonne idée qui doit gagner en légitimité. France Identité devrait en fait avoir d’ici la fin de l’année un système de cartes permettant de prouver son identité en face-à-face sans transmettre de données personnelles. Ces cartes pourront servir aussi bien avec des professionnels qu’entre particuliers.
À ce jour, plus de 500 000 personnes ont créé leur identité numérique avec France Identité. Pour que l’adoption dépasse le public des technophiles désireux de tout faire avec leur iPhone, il va falloir que le gouvernement ouvre les vannes du renouvellement de la carte d’identité (c’est prévu), mais aussi que l’application soit irréprochable en matière de sécurité, de confidentialité et d'accessibilité, et que son utilité soit renforcée sans pour autant agrandir la fracture numérique. Un sacré défi.
La phase suivante sera l’interopérabilité avec les autres pays. France Identité s’inscrit à ce titre dans le projet de portefeuille numérique personnel voulu par la Commission européenne. Mais ne mettons pas la charrue avant les bœufs : on voudrait déjà pouvoir justifier son identité avec l’application dans les trains français.