FranceConnect+ et France Identité : pour des authentifications plus sécurisées

Le Gouvernement continue d'améliorer ses systèmes d'identification numérique avec France Identité, l'équivalent en appli de la carte d'identité, et FranceConnect+, une version plus sécurisée de l'outil d'authentification à des services en ligne.

Comme il l'avait promis, le Gouvernement poursuit la numérisation des services publics avec France Identité. Associée au SGIN, le Service de garantie de l'identité numérique, cette application mobile a vocation à terme à remplacer la carte d'identité physique par un équivalent numérique, stocké sur smartphone. Actuellement, elle est disponible uniquement en version bêta sur Android et iOS pour une poignée d'usagers, mais le Gouvernement a annoncé sur Twitter que l'application s'ouvrait à davantage d'utilisateurs. Un moyen de commencer son déploiement à grande échelle, avant un lancement définitif prévu en septembre prochain – s'il n'y a pas de retard, comme c'est souvent le cas. Aussi, des milliers de bêta-testeurs vont pouvoir profiter en avant-première des services de sécurité en ligne offerts.

Notons que France Identité a rejoint, en novembre dernier, FranceConnect, la plateforme qui permet à tout citoyen de s'identifier facilement à plus d'un millier de services en ligne, publics ou privés (Ameli, Impôts, La Poste, MaPrimeRénov', CAF, Pôle emploi, Yris, MSA…), afin de renforcer la sécurité de la connexion (voir notre article). L'identité numérique comporte de nombreux enjeux. L'un des plus importants est incontestablement celui de la sécurité. Aussi, le Gouvernement a mis au point une version plus sécurisée de la plateforme, baptisée FranceConnect+. Et celle-ci semble avoir de plus en plus de succès puisque, selon une annonce du 6 juillet,, elle a atteint plus d'un million d'utilisateurs et va faire l'objet d'une généralisation progressive à d'autres démarches.

France Identité : la version bêta s'ouvre aux utilisateurs

Capable de stocker plusieurs informations, comme les noms et prénoms, mais aussi la date de naissance, les photos et les adresses mail et postale, l'application France Identité permet de prendre connaissance des données contenues dans sa CNIe, d'éviter de porter sa carte d'identité sur soi et de confirmer son identité sur les plateformes publiques comme FranceConnect. Et autant dire qu'avec la menace d'un blocage des sites pornographiques aux mineurs, l'application pourrait s'avérer particulièrement utile. C'est un moyen plus sécurisé de se connecter car elle ne possède pas d'identifiant, ce qui limite les risques de piratage et d'attaque par phishing – qui consiste à dérober les identifiants par la ruse, le plus souvent via un mail, un SMS ou une fausse page de connexion. Après trois tentatives de connexion infructueuses, la carte numérique est bloquée et il faut de nouveau procéder à une vérification d'identité pour la débloquer. Enfin, pour ceux qui le souhaitent, il est possible d'activer un double facteur d'authentification via la carte d'identité et un code de sécurité à double facteur.

France Identité dispose de nouvelles places disponibles depuis ce mercredi 5 juillet. La base de bêta-testeurs a en effet été élargie, ce qui permet de profiter en avant-première de ce service en ligne. Attention, seules les personnes majeures, équipées d'un smartphone Android compatible NFC et d'une nouvelle carte d'identité peuvent y accéder pour l'instant, mais de nouvelles places devraient être ouvertes durant l'été. Sur le Play Store, la limite maximale de téléchargements pour une application bêta est de 100 000, tandis qu'elle est de 10 000 places sur l'App Store. Pour la version iOS, les développeurs ont indiqué que "des travaux sont actuellement en cours pour optimiser l'application". N'hésitez pas à vous inscrire !

FranceConnect+ : une sécurité renforcée pour le portail d'identification numérique

Toutefois, ce genre de service n'est pas sans risques, d'autant plus que France Identité est utilisée par FranceConnect. Et le problème avec ce système, c'est que si l'on se fait pirater, ce n'est pas un compte qui est compromis, mais l'ensemble de ses comptes pour les services publics. Le préjudice potentiel est par conséquent bien plus important, surtout que certaines démarches et informations des 40 millions d'utilisateurs sont particulièrement sensibles. Et FranceConnect est parfois victime de piratage. En août 2022, Ameli suspendait temporairement son accès via ce système suite à une intensification des fraudes, les cybercriminels utilisant les identifiants de l'Assurance maladie pour se connecter aux impôts via FranceConnect. À cette même période, des failles ont permis à des pirates de dérober plusieurs milliers d'euros via le site de la Direction générale des Finances publiques, "impots.gouv.fr". La Direction interministérielle du numérique avait confirmé une "recrudescence des signalements passant par FranceConnect" durant les derniers mois. Enfin, en mai, plus de 1 400 comptes de la Mutualité sociale agricole (MSA) ont été piratés via le portail d'identification numérique (voir notre article).

Face aux nombreuses tentatives – et réussites – de piratage, le Gouvernement a lancé en 2021 FranceConnect+, une version plus sécurisée pour les démarches les plus sensibles, comme ouvrir un compte bancaire, accéder à son dossier médical, recevoir des lettres recommandées électroniques, s'inscrire à une formation CPF... Cette version du service d'identification intègre une authentification forte, comme l'obligation d'entrer un code ou une information supplémentaire après avoir entré ses identifiants – un peu comme ce que proposent les banques en ligne. Aussi, Stanislas Guerini, le ministre de la Transformation et de la Fonction publiques, annonce sa généralisation progressive de "l'usage de FranceConnect+ pour garantir la sécurité des démarches publiques les plus sensibles". "Plus d'un million de Français utilisent FranceConnect+ au quotidien. Ce dispositif mis en place par le Gouvernement pour protéger les démarches des Français avec leurs services publics porte ses fruits et renforce d'ores et déjà la confiance numérique", se félicite-t-il.

L'utilisation de FranceConnect+ s'appuie pour le moment sur l'Identité Numérique de La Poste, qui est le partenaire du dispositif depuis sa création. Lorsqu'il se connecte, l'utilisateur s'identifie avec son numéro de téléphone, reçoit une notification via l'application et n'a plus qu'à saisir le code secret qu'il a choisi. Le Gouvernement annonce que d'autres identités numériques, en cours de qualification par l'Agence nationale de la sécurité des systèmes d'information (ANSSI), seront proposées via FranceConnect+ prochainement.