Cela fait maintenant plus de cinq ans que la France cherche à se doter d'une solution d'identité numérique unifiée. Après une grosse perte de temps autour du projet IDéNum, celui-ci reprend du sens à travers l'initiative FranceConnect qui fait ses débuts. On vous explique tout.

Si cela n'a jamais été le cas et que l'on pensait l'idée presque abandonnée, un projet a redonné un intérêt à celui de La Poste : FranceConnect .

L'idée n'était pourtant pas mauvaise : créer une identité numérique avec vérification physique de la personne à la manière d'un certificat SSL/TLS de Classe 2 aurait pu permettre de signer ou de chiffrer des documents, des échanges, et être utilisé dans de nombreuses situation où s'assurer de l'identité d'une personne est nécessaire. Le tout, en proposant une alternative aux solutions des GAFA.

Résultat, quelques années plus tard, et malgré la mise à disposition d'une API , le projet désormais connu sous le nom d'IDentité Numérique ne sert que pour recevoir vos lettres recommandées en ligne ou pour se connecter à quelques sites.

Il faut dire que sa naissance s'est faite dans la douleur, entre problèmes de nom de domaine et naissance du doublon (payant) Identic avec MyID.is en 2011. Ainsi, aucun écosystème n'avait été créé autour de cette solution lors de sa mise en place ou de ses différentes évolutions.

Poussée depuis 2010 , l'idée d'une identité numérique unique s'est longtemps concentrée autour du groupe La Poste qui propose un service de connexion unifié : IDéNum. Relancé par Fleur Pellerin au FIC il y a trois ans , et soutenu par plusieurs acteurs français d'importance avec une levée de fonds de 2 millions d'euros, celui-ci n'a jamais vraiment trouvé son public.

Annoncé fin 2014, ce service de connexion unifié à différentes administrations aligné sur le règlement eIDAS (N° 910/2014) était prévu pour être déployé fin 2015. Son objectif était ainsi de permettre aux administrés (particuliers ou entreprises) de ne pas avoir à mémoriser de multiples identifiants et mots de passe pour accéder à différents services, tout en gardant une connexion simple et des comptes distincts.

On y retrouve ainsi trois types d'acteurs :

Les fournisseurs de services (FS)

Les fournisseurs d'identité (FI)

Les fournisseurs de données (FD)

Les premiers sont ceux qui utilisent FranceConnect sur leur site et l'exploitent pour simplifier la vie de leurs utilisateurs, alors que les second assurent la vérification de son identité et sa connexion, en lien avec le Répertoire national d’identification des personnes physiques (RNIPP) pour certaines informations. Les derniers permettent un accès à des données de l'usager sous réserve de son accord, comme on peut le voir dans cet exemple :

Si cela vous fait penser à OpenID, c'est tout à fait normal : FranceConnect se repose sur le protocole OpenID Connect et donc sur OAuth 2.0. Dans sa présentation technique, l'équipe précise ainsi que « les fournisseurs de service doivent être clients OpenID Connect, et les fournisseurs d'identité doivent être fournisseurs OpenID Connect. FranceConnect est une brique intermédiaire qui est à la fois fournisseur (du point de vue des FS) et client (du point de vue des FI) ».

Permettre un échange entre les administrations sous l'œil de la CNIL

La segmentation des informations et des comptes est nécessaire pour permettre à chaque administration de ne gérer que ses propres données, et éviter la création d'une base de données géante à la manière de SAFARI (qui avait mené à la création de la CNIL, comme nous avions pu l'évoquer avec Louis Joinet).

Pour autant, dans sa présentation officielle, il est précisé que FranceConnect « est également le composant qui rendra possible la circulation des données administratives entre les organismes publics, conformément à l’architecture de l’État plateforme. En pratique, il garantira la bonne identification de la personne à l’origine de la démarche, tout en encadrant la circulation de ses informations. Et uniquement celles nécessaires à sa demande. En ce sens, FranceConnect jouera un rôle de tiers de confiance entre les administrations qui fournissent des données et celles qui les exploitent pour rendre un service. »

Ainsi, FranceConnect ne stocke aucune information. Les différents éléments du compte de l'utilisateur récupérés auprès du fournisseur d'identité « sont seulement sauvés en session pendant une durée de 30 minutes et ne sont pas conservés. FranceConnect stocke uniquement une clé de hash unique garantissant l'unicité de l'identité. Cette clé est générée via les données pivot de l'usager. »

Les fournisseurs d'identité et de service travaillent donc de concert, mais sans savoir quel service veut accéder à une identité ou inversement. Un compte est ainsi représenté par une « identité pivot » qui contient un identifiant unique propre à chaque fournisseur de service, mais aussi différentes informations qui dépendent de la nature du compte (détaillées par ici). Tous les acteurs de l'écosystème répondent aussi à un cahier des charge en termes de sécurité et de qualité des données produites.

Le but ici est de permettre à terme d'éviter d'avoir à donner plusieurs fois certaines informations à une même administration, comme le veut le programme « Dites-le nous une fois », et de permettre un échange suite à un consentement de l'utilisateur. Cette pratique devrait néanmoins prendre son envol seulement une fois que le décret l'encadrant sera entré en vigueur, ce qui ne devrait pas être le cas avant 2017 (voir notre analyse).

Un système bien pensé, un écosystème qui s'étend

Autorisé par un arrêté publié l'été dernier, FranceConnect est entré en phase d'expérimentation début septembre sous l’égide de la Direction interministérielle au numérique (DINSIC, ex-DISIC). Une première convention était ainsi signée avec la Direction générale des Finances publiques (DGFiP) pour en faire un fournisseur d'identité.

Depuis, d'autres partenariats ont été annoncés. Le site de la ville de Nîmes, du Conseil départemental des Alpes-Maritimes (06) ou Faire simple utilisent FranceConnect en tant que fournisseurs de service. Cette année, d'autres devraient suivre. Nous avons déjà évoqué le cas du nouveau site permettant de récupérer simplement le solde de votre permis à point. Le portail Mon Service Public l'utililisera pour remplacer son service de connexion.

Mais ce sera aussi le cas de la Caisse nationale d'assurance vieillesse (CNAV), de l'Agence pour l'informatique financière de l'État (AIFE) ou encore de Guichet-Entreprises.fr. De son côté, la DGFiP devrait aussi devenir fournisseur de données alors qu'Ameli.fr (Assurance maladie) deviendra un fournisseur d'identité. De quoi assurer une masse d'utilisateurs connectables très importante et attirer les services potentiels, puisque la DGFIP possède 14 millions de comptes contre 18 millions pour Ameli.fr.

Le but est ainsi de renforcer l'écosystème notamment avec les collectivités locales qui pourront à leur tour intégrer le dispositif, le mécanisme leur étant fourni clefs en main. Une manière de leur proposer une solution sécurisée sans avoir à recourrir à des équipes spécialisées ou à déployer d'efforts importants.

Le tout sera accompagné d'une communication auprès du grand public. Viendra alors le début d'une phase expérimentale avec des fournisseurs de services issus du privé, un site dédié aux développeurs étant déjà mis en place avec des démonstrations de services pensés pour les usagers, qu'ils s'agisse de particuliers ou d'entreprises. Un groupe a aussi été créé sur Meetup.

IDentité Numérique prend place au sein de LOGGIN et se lie à FranceConnect

Avant de s'ouvrir au monde du privé pour ce qui est des services, FranceConnect a décidé d'intégrer le groupe La Poste dans sa liste des fournisseurs d'identité à travers IDentité Numérique. Celui-ci retrouve donc sa place dans un dispositif d'identification unifié, mais en tant que simple maillon d'une chaîne bien plus large et standardisée.

Ainsi, l'entreprise dont l'État et la Caisse des dépôts sont les actionnaires propose elle-aussi de simplifier la connexion aux différents sites exploitant FranceConnect pour ceux qui n'ont pas de compte sur le site des impôts ou qui ne veulent pas l'utiliser dans ce but (un numéro de télédéclarant étant plus complexe à retenir qu'une simple adresse email) :

Cela avait été confirmé en octobre dernier et La Poste entretenait à l'époque un certain flou en n'évoquant plus vraiment IDentité Numérique dans sa communication mais plutôt son offre LOGGIN.

Celle-ci fait partie de la nouvelle impulsion que le groupe veut se donner dans le numérique. Prévue pour débarquer au premier semestre 2016, elle permettra d'unifier au sein d'une même application IDentité Numérique, son coffre-fort électronique Digiposte (qui exploite IDentité Numérique), et la gestion des objets et services connectés à travers le « Hub numérique » maison.

Reste à voir si cette évolution se traduira aussi par une évolution du nom du service. Dans tous les cas, il est pour le moment possible de créer simplement un compte IDentité Numérique, un facteur s'assurant physiquement de votre identité. D'autres composantes comme votre email ou votre numéro de téléphone mobile étant vérifiés à travers des éléments de confirmation (code ou lien).

Dès le 28 janvier, vous pourrez aussi procéder directement dans un bureau de poste. Seuls onze participent au programme pour le moment, mais cela devrait rapidement s'étendre.

De la théorie à la pratique, il reste parfois quelques ajustements

Une fois votre compte créé, vous pourrez ainsi vous connecter à n'importe quel site d'un fournisseur de service. Il vous suffit de taper votre adresse email et un mot de passe, malheureusement sans possibilité de pouvoir ajouter une phase de double authentification (code fourni par SMS, une application, clef FIDO, etc.) pour le moment. Ceci est pourtant compatible avec FranceConnect avec le niveau eIDAS 2. Dommage.

Vous serez alors invités à autoriser « la communication de vos informations pré-enregistrées dans IDN avec le site FranceConnect », mais sans plus de précision sur la nature de ce qui sera transmis exactement. Dans le cas d'un site comme Faire-simple, cela a récupéré le nom et les prénoms du compte afin de permettre la création d'un profil de base.

Néanmoins, c'était assez incomplet puisque le pseudo proposé était le nom, l'adresse email n'était pas utilisée, pas plus que la ville ou le code postal, pourtant nécessaires à la modification du profil créé. Cela est pourtant possible selon la documentation de FranceConnect. Il s'agit donc sans doute un problème dans l'implémentation par Faire-Simple.

Il faudra aussi sans doute proposer aux utilisateurs de pouvoir gérer les fournisseurs de services qui utilisent leur compte afin de couper un lien par exemple, comme c'est le cas avec des dispositifs SSO comme ceux proposés par Facebook, Google ou Twitter par exemple.

Le service de connexion unifié n'en étant qu'à ses débuts, gageons que cela sera corrigé ou mieux intégré avec le temps et l'arrivée de nouveaux acteurs. Comme évoqué précédemment, la liste est pour le moment assez limitée, mais l'on devrait rapidement voir leur nombre augmenter, notamment une fois l'accès ouvert aux entreprises qui voudront devenir fournisseur de service.