| Identité Numérique
FranceConnect+, futur de l’identité numérique Français ?
Depuis ces dernières années, le nombre de comptes numériques a considérablement augmenté, ainsi que le nombre de services utilisés. Le besoin d’une identité centralisée et sécurisée n’a donc jamais été aussi fort. A l’échelle nationale, la DINUM (Direction Interministérielle du Numérique) a essayé de répondre à ce besoin grâce à FranceConnect, et plus récemment avec FranceConnect+ – lancé en septembre 2021.
De quoi s’agit-il ?
FranceConnect est un fournisseur d’identité à destination des citoyens français, pour accéder à des services publics comme les impôts, son compte Ameli, comme des services privés (Engie, Ramsay Santé, etc.).
Malgré son statut de fournisseur d’identité, France Connect ne demande pas d’authentification directe, mais la délègue à des services qui lui sont raccordés. FranceConnect se chargera de relier l’utilisateur à mesure qu’il s’enregistre sur les différents services, afin que chaque personne possède une identité numérique unique. Autrement dit, un seul compte permet d’accéder à plusieurs fournisseurs de services via plusieurs fournisseurs d’identités. Parmi les différents fournisseurs de services, on retrouve : les impôts, l’assurance maladie, l’Identité Numérique La Poste, MSA, Yris ou encore France Identité.
De son côté, FranceConnect+ est une nouvelle itération à FranceConnect, et se veut plus sécurisée que sa prédécesseure, grâce à de l’authentification forte. Là où FranceConnect se suffit du niveau « faible » de garantie eIDAS (le plus bas niveau de garantie parmi les 3 existants : faible, substantiel et élevé), FranceConnect+ recherche au minimum le niveau de garantie substantiel. Cette nouvelle version est donc destinée aux démarches d’administration, considérées comme sensibles, pour éviter les fraudes et les usurpations d’identités – comme par exemple pour l’utilisation de son compte CPF.
Sécurité des systèmes d'information
Nos experts Identité Numériquerépondent à vos questions
Quelles sont les différences techniques entre FranceConnect et FranceConnect+ ?
La différence technique entre FranceConnect et FranceConnect+ est légère d’après les documentations (FranceConnect et FranceConnect+).
Le changement le plus significatif concerne la signature des jetons JWT. FranceConnect utilise l’algorithme HS256 (HMAC + RSA 256) pour la signature des tokens. Cet algorithme étant symétrique, il ne pouvait pas être repris pour FranceConnect+. Le choix a donc été fait de passer à une combinaison de l’algorithme asymétrique ES256 (EC + SHA256) pour la signature, ce qui est bien plus standard, le rendant plus simple à intégrer.
Un chiffrement du jeton vient désormais en plus de la signature, et est basé sur JWE (RSA-OEAP + AES-256-GCM) et JWS (ECDH-ES + AES256-GCM).
FranceConnect+ offre également la possibilité de demander des données provenant de la RNIPP (Répertoire National d’Identification des Personnes Physiques), à travers de nouveaux scopes et claims. Ces derniers ont pour but de faciliter la réconciliation entre les données provenant de FranceConnect+, et celles présentes dans le référentiel d’identité du fournisseur de service. Évidemment, FranceConnect+ n’autorisant pas le niveau eIDAS1 (correspondant au niveau eIDAS faible), la valeur, alors acceptée par FranceConnect, n’est plus acceptée dans le claim acr_values. Ce claim permet de définir le niveau minimum eIDAS demandé lors de la demande d’authentification à l’endpoint authorize.
Quid de l’Identité Numérique La Poste, seul fournisseur d’identité à ce jour ?
Aujourd’hui, le seul fournisseur d’identité proposé lorsque l’on souhaite utiliser FranceConnect+ est le compte Identité Numérique La Poste.
Pour accéder au service, l’utilisateur commence par des étapes standards comme renseigner son adresse e-mail, la valider après la réception d’un e-mail de validation ; puis il doit saisir son mot de passe.
La suite est un peu moins classique. La Poste procède à la vérification de l’identité via une pièce d’identité. Pour cela, deux choix s’offrent à l’utilisateur : un contrôle en physique (avec le facteur ou au bureau de poste) ou alors en ligne.
Dans le cas de la vérification en physique, il suffit de se rendre au bureau de poste le plus proche, avec sa carte d’identité, ou d’attendre l’arrivée du facteur. Pour la vérification en ligne, l’utilisateur passe par une lettre AR numérique (AR24) qu’il reçoit par e-mail, après quelques minutes.
Il est ensuite demandé à l’utilisateur de filmer sa carte d’identité sous plusieurs angles, puis de filmer son visage. Une fois terminé, l’utilisateur est notifié de la soumission de sa demande à un agent de La Poste pour vérification. Dès qu’elle est réalisée, l’utilisateur est notifié par e-mail de la validation de sa demande d’activation.
Pour finaliser l’activation de son compte, l’utilisateur est invité à télécharger l’application mobile « L’Identité Numérique », s’y connecter et définir son code PIN, afin de pouvoir l’utiliser comme facteur d’authentification.
L’utilisateur passe donc par un système de vérification de l’identité pour la création de son compte, bel et bien sécurisé. Ce système permet d’éviter la fraude et l’usurpation d’identité à travers la vérification de l’adresse email, du numéro de téléphone, mais surtout de la pièce d’identité qui est un objet personnel, très difficile à usurper ou à reproduire – grâce à l’hologramme et au numéro de série unique de la carte. Cette sécurité est même renforcée par la nouvelle carte d’identité intégrant des mécanismes de sécurité supplémentaires, comme la nouvelle puce contenant des informations personnelles et biométriques protégées respectivement par le protocole PACE et EAC.
Pour utiliser le service, la première étape est de renseigner son identifiant – qui est, ici, son numéro de téléphone portable. Éventuellement, il arrive qu’un Captcha à image soit demandé, puis l’utilisateur reçoit une notification sur son téléphone qui indique le service sur lequel il cherche à s’authentifier (FranceConnect+ en l’occurrence) et s’il souhaite valider l’authentification.
En appuyant sur « Confirmer », il est demandé à l’utilisateur de fournir son PIN pour finaliser l’authentification.
L’authentification proposée par l’Identité Numérique La Poste fournit une authentification passwordless, ce qui est une avancée majeure en termes de cybersécurité. Cette authentification est en effet considérée comme forte car elle combine le téléphone, qui est un facteur de possession, et un PIN, facteur de connaissance.
Un service disponible, mais peu déployé
FranceConnect+ est un service lancé en septembre 2021. Pour autant, FranceConnect+ a des difficultés à être adopté par les fournisseurs de services. Bien qu’il soit recommandé pour les services de santé, les flux financiers sans contrôle et les flux de données/fichiers sensibles, on peine à trouver des boutons FranceConnect+ en parcourant les services FranceConnect.
On trouve quelques exceptions, comme mon.aphp.fr et www.moncompteformation.gouv.fr. L’APHP propose également, en plus de FranceConnect+, son prédécesseur FranceConnect.
La réticence des fournisseurs de service à adopter FranceConnect+ pourrait s’expliquer par le fait que ces fournisseurs proposent déjà le service d’Identité Numérique La Poste, via FranceConnect. On peut donc penser qu’intégrer FranceConnect+, en complément, reviendrait à faire doublon et ne serait pas pertinent.
Cependant, intégrer FranceConnect+ à ses services permettrait à minima – si la solution n’est pas plus généralement adoptée par les utilisateurs – de les sensibiliser à la sécurité de leurs comptes, en particulier pour les démarches sensibles. Dans le cas contraire, FranceConnect+ se vaudrait d’être le pionnier dans l’adoption d’une solution d’authentification fortement sécurisée, ayant l’objectif d’un internet plus sûr pour les Français.
France Identité, futur de l’identité numérique française ?
Suite à ce décryptage, il est intéressant d’aborder France Identité. Certains l’ont peut-être remarqué, cette option est disponible via FranceConnect (et FranceConnect+ dans un second temps).
Il s’agit d’un fournisseur d’identité présentant un niveau de sécurité plus élevé, et qui a pour ambition d’être utilisé pour presque toutes les démarches requérant la validation de son identité. Que la démarche soit sensible ou non, pour les services publics comme privés.
Se basant sur la combinaison de trois facteurs : son téléphone (possession), son PIN (connaissance) et sa carte d’identité (possession), et, en plus de s’affranchir du mot de passe, ici, la saisie de l’identifiant n’est plus requise.
Le citoyen, utilisant son application, doit scanner un QR Code puis confirmer sa demande d’accès avant de renseigner son PIN à six chiffres, et doit ensuite scanner sa carte d’identité nationale via NFC.
Malgré l’absence du facteur biométrique optionnel, la présence de la vérification de l’identité grâce à la nouvelle carte nationale est incontestablement un dispositif de sécurité efficace, permettant d’avoir une authentification forte et de mitiger les risques d’usurpation d’identité de manière substantielle.
Outre la nécessité d’avoir un smartphone avec lecteur NFC et la nouvelle version de la carte d’identité nationale, qui est délivrée depuis 2021, France Identité semble vouloir devenir LE fournisseur d’identité de référence de l’État.
Dans cette perspective d’ambition, on trouve des équivalents efficaces dans d’autres pays comme Itsme en Belgique, créé en 2017 et utilisé, aujourd’hui, par plus de la moitié des Belges. Bien que l’initiative de ce projet fut initiée par un consortium de banques et opérateurs téléphoniques, le gouvernement belge et l’Europe ont reconnu officiellement l’application d’identité numérique. Ce fournisseur d’identité comporte, entre autres, le niveau eIDAS de fiabilité élevée.
FranceConnect+ est une solution qui ne demande qu’à être adoptée, elle est plus sécurisée, avec une signature des tokens plus standard, faisant d’elle une solution plus simple à implémenter que son homologue FranceConnect. Elle s’est trouvée, en L’Identité Numérique La Poste, un partenaire fiable avec son fournisseur d’identité innovant, sécurisé et facile d’utilisation pour le grand public.
Enfin, son offre devrait bientôt s’élargir, aux côtés de France Identité, nouveau fournisseur qui a une vision claire sur les moyens de parfaire l’identité numérique à la française, dans les années à venir.
Alexandre Guenault
Consultant Identité Numérique.
