Avec la numérisation très rapide des services administratifs français est arrivé le besoin d’authentifier et certifier à distance une personne faisant une démarche avec des outils numériques officiels.

La certification à distance est un problème déjà traité depuis longtemps sur internet. Que ce soit sur LinuxFr.org ou sur un site marchand, « s’enregistrer en ligne » est un acte banal pour beaucoup de monde, effectué machinalement pour certains, ou consciemment et mûrement réfléchi pour d’autres. Lorsqu’il s’agit d’élargir cette certification d’identité à l’ensemble de la population, afin qu’elle puisse accéder à des services auxquels tout à chacun à droit, on peut s’interroger sur les moyens mis en œuvre pour cela.

Puisqu’il s’agit de l’administration publique et non d’un service privé, ils devraient reposer sur des outils ouverts et auditables par la société civile, accessibles à toutes et à tous en termes de moyens et sans dépendances exagérées envers des tierces parties.

Sommaire

• Authentifier une personne vis-à-vis de l’administration publique
• Les problèmes posés
• Les solutions officielles
• Des solutions standard, accessibles et ouvertes !
• Des démarches pour alerter

Authentifier une personne vis-à-vis de l’administration publique

Pour valider certaines démarches le choix a été fait d’utiliser une application mobile : France Connect + à ne pas confondre avec « France Connect ». Le service « France Connect » quant à lui, permet l’authentification basique pour des sites administratifs que ce soit sur application mobile ou sur le web. Cette authentification par « France Connect » permet aux personnes d’accéder à des données sensibles le concernant : imposition, patrimoine, santé, etc.

L’application France Connect + est aujourd’hui obligatoire pour les démarches suivantes :

• CPF : Compte personnel de formation, formation ou certains permis ;
• ANTS : l'Agence Nationale des titres Sécurisé, procuration de vote… ;
• INPI : Institut national de la propriété industrielle, guichet unique… ;
• MaPrim'Renov

et exige d’avoir le dernier modèle de Carte Nationale d’Identité, comportant des données biométriques.

La facilité de mise en œuvre d’une application mobile pour l’authentification forte ne va pas sans contreparties qui n’ont pas toutes été prises en compte.

Les problèmes posés

Une application mobile imposée par l’administration aux usagers, devrait être développée pour tous les OS mobiles existants. Aujourd’hui, seuls les OS majoritaires, Android de Google et iOS d’Apple, parfois exclusivement dans leurs dernières versions, sont prises en compte, pour des raisons de coût et de temps.

Ceci exclut toutes les personnes ayant fait un choix différent, volontairement ou par contrainte personnelle : pas de smartphone, smartphone (système et matériel) spécifique adapté à un handicap, smartphone ancien toujours fonctionnel et pas envie d’y consacrer plus d’argent pour obtenir la dernière version du système, OS alternatif, etc.

Ces deux systèmes d’exploitation mobiles majoritaires étant américains, cela remet donc l’authentification pour des démarches officielles entre les mains et les CGV d’entreprises privées, hors d’Europe.

Entreprises dont vous pouvez vouloir ne pas dépendre parce que leurs conditions d’utilisation ne vous conviennent pas :

• obligation de créer un compte sur leur plateforme ;
• obligation de donner des informations personnelles à associer au compte (numéro de téléphone, e-mail de secours…) ;
• elles ont droit de vie et de mort sur vos données hébergées, sur votre compte qu’elles peuvent supprimer pour toute raison qu’elles estiment valable sans aucun recours possible [8] ;
• elles sont connues pour contourner régulièrement les lois sur la vie privée.

Cela pose aussi des problèmes techniques et de sécurité avec une identité validée qui se promène sur un appareil mobile qui peut être volé, perdu ou simplement hors d’usage.

On retrouve dans cette limitation les mêmes problèmes qu’à l’époque des applications PC liées à du matériel et développées uniquement pour le système commercial le plus connu, Windows. Parfois, pour le deuxième plus connu, MacOS, mais pas les autres ; de même que pour la certification DSP2 des banques qui oblige la double authentification forte ; ces dernières ayant choisi de développer chacune une application mobile privée, souvent indiscrète, au lieu d’utiliser les standards existants.

Ainsi, à ce jour, les applications bancaires ne sont disponibles que sur les deux plateformes mobiles déjà citées et leurs versions les plus récentes, laissant de côté de nombreuses personnes.

Les solutions officielles

Certains dossiers CPF peuvent apparemment être transmis par courrier, avec un délai élevé pour leur prise en compte. [2]

L’INPI suggère d’utiliser les services de sociétés tierces [4], payants et difficiles à utiliser [9], parfois hors Europe et demandant aussi l’utilisation d’un smartphone pour certaines.

Cela ne résout donc rien et les sommes demandées peuvent être importantes pour une signature électronique certifiée eiDAS alors que l’application mobile officielle et son utilisation sont gratuites.

Comme le racontent les journaux en lien certaines démarches proposent des alternatives hors France Connect + mais qui demandent quand même un smartphone Android / iOS !

L’identité numérique de La Poste demande aussi un smartphone dans les mêmes conditions, la validation en bureau de poste ou à domicile se fait avec leur application, encore une fois Android et iOS puis l’application France Connect + ; les agents ne sont pas formés pour répondre à des demandes de solutions alternatives hélas.

Des solutions standard, accessibles et ouvertes !

Comme souvent, tout ce que nous souhaitons c’est la possibilité d’utiliser tous ces services officiels et publics avec nos logiciels de choix, accessibles à toutes et tous ; avec tout autant de sécurité et de praticité que les autres solutions.

Il existe déjà des standards pour la double authentification, pas toujours pris en charge hélas. La même chose devrait pouvoir être faite pour l’authentification forte.

L’idéal serait une plateforme standardisée, publique, auditable, qui permettrait d’utiliser des protocoles standards et sécurisés avec le logiciel/matériel de notre choix.

Des démarches pour alerter

Voici un état des lieux assez rapide pour intéresser au sujet et regrouper les témoignages éventuels, des solutions qui fonctionnent ou ne fonctionnent pas.

L’objectif maintenant, en plus d’avoir pour chacune des personnes concernées une solution qui fonctionne rapidement, d’alerter sur cette fracture numérique créée par des décisions politiques ; ce n’est pas une fracture naturelle liée à une différence de générations : celles nées avec le numérique et celles qui ne le sont pas. Il faut la traiter aussi mais ce n’est pas la même chose.

Si vous avez des suggestions pour attirer l’attention sur ce sujet, n’hésitez pas à vous exprimer :)

Vidéo (en français ne pas se fier au titre) sur l'humour français, initialement à destination des personnes dont la langue maternelle n'est pas le Français, mais finalement très instructive pour un Français (notamment sur l'aspect historique).

La blague sur Carrefour m'a fait marrer. Celle sur le chat tout-terrain également. :D