Depuis le 1er février, date de la présentation du label IDéNum, j’observe avec intérêt les nombreuses réactions que suscite ce projet sur la toile. Afin de recenser l’ensemble de vos questions, j’ai demandé à mon cabinet de mettre en place une veille de manière à répondre point par point à vos interpellations sur le sujet.
Au-delà des aspects positifs, qui ont d’ailleurs été largement soulignés, j’entends me concentrer sur les points qui font polémique ou qui sont l’objet d’ambiguïtés, voire de confusion.
En guise de préambule, il me semble utile de rappeler les principes clé de cette idée, assez neuve en France, d’identité numérique libre et certifiée. Et, je dis bien « neuve en France », car ce label repose sur un concept qui fonctionne déjà chez nos voisins européens.
L’objectif d’IDéNum est bien de faciliter la dématérialisation de nombreuses procédures, publiques comme privées, qui nécessitent une forte garantie de l’identité de l’internaute. Les avantages sont évidents tant pour les internautes, qui auront ainsi accès à toute une palette de nouveaux services et usages, que pour les partenaires qui pourront mutualiser les investissements et réaliser des économies sur les coûts.
Quant à tous ceux qui voient poindre la menace orwellienne dans IDéNum, je tiens juste à réaffirmer son caractère totalement facultatif.
Pour plus de clarté, j’ai regroupé les questions portant sur :
Dernière info, toute fraîche, que je vous livre en exclusivité : depuis le début de la semaine, les sociétés Sagem, Orange, Moneo et le Conseil Supérieur du Notariat, ont fait part de leur intérêt pour le projet.
J’espère que cette lecture vous donnera un éclairage pertinent sur ce qu’est vraiment IDéNum. Toutefois, loin de moi la prétention de faire le tour de toutes vos interrogations en une seule « séance ». J’invite donc tous ceux qui souhaiteraient des éclaircissements supplémentaires à me poster leurs commentaires.
Pourquoi inventer un nouveau concept alors que des systèmes comme OpenID ou, dans d’autres pays d’Europe, des cartes d’identité électronique (CIE) existent déjà ?
OpenID est conçu pour se simplifier la vie sur les sites communautaires, par exemple, en utilisant un seul fournisseur de mot de passe, mais il n’est pas accepté par les administrations ou les banques pour signer en ligne des documents. OpenID est donc bien comparable à IDéNum pour ce qui est de la simplification de la gestion des mots de passe, mais n’a pas vocation, pour l’instant, à permettre l’identification, car dans ce système personne ne se porte véritablement garant de l’identité de l’internaute.
Avec IDéNum, les fournisseurs sont « approuvés par le Gouvernement », sur la base d’un cahier des charges, qui donne de la valeur au certificat, en garantissant l’authentification. Grâce à ce niveau de sécurité, les administrations comme les organismes financiers pourront maintenant dématérialiser des procédures qui appellent une certitude sur l’identité.
J’ai lu quelques approximations sur les expériences conduites à l’étranger, et sur l’interopérabilité d’IDéNum. La conception du label IDéNum s’inspire précisément de ces initiatives. Mes équipes sont en contact étroit avec les différents responsables nationaux chargés de l’eID en Europe (voir par exemple le site du groupe de travail international auquel nous participons). Je confirme donc que quand je cite l’Autriche, la Norvège, l’Italie, etc., il s’agit bien de pays où existent des certificats utilisables sur les sites Web qui le souhaitent. Ces certificats sont parfois émis par des organismes non étatiques, et portés sur un support autre que la carte d’identité. C’est, d’ailleurs le cœur du concept d’IDéNum. Je m’empresse de préciser que certains de ces pays, comme la Suède, la Finlande, l’Estonie, l’Italie, ont aussi une carte d’identité électronique, attestant ainsi que les deux systèmes (carte d’identité électronique et certificats sur un autre support), peuvent pleinement coexister.
J’en profite pour rappeler que, contrairement à ce que j’ai pu lire, il n’existe aucun standard européen d’identité électronique, car il ne s’agit pas d’une compétence communautaire. Chaque pays est donc libre de choisir son standard, voire de ne rien faire du tout. En pratique, tous les pays qui utilisent l’eID ont choisi jusqu’à aujourd’hui une même technologie. C’est le certificat électronique, celui-là même que nous voulons promouvoir avec IDéNum. Cela n’empêche en rien que d’autres technologies, pour peu qu’elles soient testées et validées dans le cadre du référenciel général de sécurité, puissent être ensuite utilisées dans le cadre d’IDéNum
L’Agence européenne de sécurité informatique, l’ENISA, vient justement de publier cette semaine un rapport sur l’interopérabilité des systèmes nationaux d’eID. Ce rapport ne fait même pas mention d’OpenID. On remarquera aussi que le schéma générique d’un système d’authentification (Cf. pages 6-7) est justement celui d’IDéNum.
La question de l’interopérabilité européenne d’IDéNum rejoint donc celle de l’interopérabilité des différents systèmes eID existants chez nos voisins. Tous les systèmes étant basés sur la même technologie, il n’y a pas d’obstacle technique à l’interopérabilité. L’obstacle est d’ordre organisationnel. Pour accepter un certificat, un site Web doit vérifier d’une part que son émetteur est homologué, et d’autre part que ce certificat ne fait pas l’objet d’une mise en opposition. Une interopérabilité internationale suppose de disposer d’une solution permettant aux sites Web d’un pays donné de pouvoir contacter les émetteurs d’un autre pays. A ce stade, la Commission européenne a lancé le développement de STORK, un système « traducteur », qui rend possible cette mise en relation. A cet égard, le label IDéNum s’insèrera naturellement dans ce dispositif européen dès qu’il sera opérationnel.
Certains commentaires font également allusion à des engagements européens qu’aurait pris la France de déployer une carte d’identité électronique pour 2010. Je suppose qu’ils se réfèrent à la déclaration de Manchester (2005) : « By 2010 European citizens and businesses shall be able to benefit from secure means of electronic identification that maximise user convenience while respecting data protection regulations. Such means shall be made available under the responsibility of the Member States but recognised across the EU ». La France s’est ainsi engagée avec ses partenaires européens à déployer d’ici 2010 des moyens d’identité électronique, et non obligatoirement sous forme de cartes. IDéNum est justement le moyen de répondre à cet engagement de la France.
La critique sur l’aspect « franco-français » d’IDéNum m’étonne puisqu’il utilise la même technologie que les eID des autres pays européens, IDéNum n’est pas plus franco-français que la CIE belge n’est belgo-belge, ou que le Documento Nacional de Identidad (DNI) n’est hispano-espagnol. D’ailleurs, je signale à ceux qui l’ignorent que Microsoft a adapté depuis longtemps ses produits à la CIE belge, ce qui montre que des multinationales américaines sont tout à fait réceptives aux projets nationaux.
IDéNum ne cible pas les réseaux sociaux du type Facebook. Facebook n’a pas besoin de garantie sur l’identité réelle de ses membres, il s’intéresse plutôt à leur profil. Par contre des sites du type d’eBay peuvent être intéressés par une technologie qui leur garantit l’identité des acheteurs et des vendeurs. Même si les vendeurs continuent à opérer sous pseudonyme, le fait que le site sache qui ils sont peut renforcer la confiance dans la plate-forme de vente. De même, un réseau social comme Viadeo peut être intéressé, car l’utilisation d’IDéNum lui permet d’éviter les usurpations d’identité, très dommageables dans un réseau dédié aux relations professionnelles.
Une autre question récurrente concerne le projet de carte nationale d’identité électronique (CNIE). Pourquoi lancer deux projets ayant apparemment le même objectif ?
Je dirai tout d’abord que les deux projets n’ont pas tout à fait le même objectif. La CNIE est avant tout un projet de titre d’identité et de voyage, même si elle peut servir sur Internet pour prouver son identité ou pour remplir et signer des formulaires à partir des informations qu’elle contient (nom, prénoms, date et lieu de naissance, adresse….). La seule fonction d’IDéNum est de garantir le nom et le prénom de l’internaute sur les sites Web publics et privés, et non de traverser les frontières.
Si la CNIE offre plus de possibilités à son titulaire qu’IDéNum, pourquoi avoir annoncé ce dernier projet ? Il y a plusieurs raisons. Tout d’abord, la CNIE elle-même n’est pas lancée. En outre, tout le monde ne détient pas de carte d’identité : moi par exemple je me contente de mon passeport. Pour ceux qui viennent d’obtenir une carte d’identité actuelle valable 10 ans, il faudra attendre la fin de validité de leur vieille carte pour obtenir une CNIE. Enfin certains internautes voudront avoir le choix des outils qu’ils utilisent sur le net, et voudront détenir d’autres certificats en plus de la CNIE. La CNIL de manière générale, et le Forum des Droits sur l’Internet (FDI) dans son Rapport 2005 sur le projet de CNIE, insistent sur l’importance d’avoir la liberté de pouvoir utiliser plusieurs outils identifiants. IDéNum constitue la réponse à tous ces points.
IDéNum utilise la même technologie que le projet de CNIE. Il y a donc compatibilité technique des deux projets. En revanche, IDéNum offre un plus grand choix de supports. Il pourra être proposé sur carte à puce comme la CNIE, ce qui nécessite un lecteur de carte. Il pourra également se décliner dans des clés USB ou dans des téléphones portables, permettant ainsi un usage plus nomade.
Certains commentaires s’alarment des atteintes possibles à la vie privée causées par l’utilisation d’IDéNum. Qu’en est-il ?
Le certificat IDéNum comporte très peu de données personnelles. Il n’est envisagé de mettre comme données personnelles dans le certificat que le nom et le prénom de l’internaute, un numéro de certificat, et rien d’autre. En utilisant IDéNum pour prouver son identité, on ne fait que confirmer ce que le site web sait déjà. En cas d’homonymie, le numéro de certificat permet de différencier les identités.
Par ailleurs, si un site Web souhaite conserver d’autres données personnelles sur l’internaute, pour permettre par exemple des remplissages automatiques de formulaires (comme le fait mon.service-public), cela doit d’une part être indispensable au service qu’il rend, et d’autre part recevoir le consentement de l’internaute. Ce sont les principes de base de la loi Informatique et Libertés de 1978.
Certains s’inquiètent des risques de généralisation insidieuse de l’emploi des certificats d’identité, au-delà des accès à un dossier personnel, et craignent que les blogs, forums et autres sites ne se mettent tous à vérifier les identités réelles des internautes. Une telle évolution a peu de chance de se produire. De nombreuses études menées, notamment par l’universitaire Caroline Lancelot-Miltgen, (mention spéciale de la CNIL pour ses derniers travaux) montrent que les sites n’ont pas intérêt à demander trop d’informations personnelles injustifiées car cela fait fuir les internautes.
L’État pourra-t-il se servir d’IDéNum pour surveiller les internautes ? Dans le système IDéNum, l’État se borne à définir le cahier des charges portant sur la sécurité et la qualité des certificats, et à vérifier la conformité des émetteurs de certificats. Ensuite, les internautes se procurent des certificats chez le fournisseur de leur choix, et les utilisent « en direct » sur les sites qu’ils souhaitent. L’État n’a ni le moyen de savoir quel internaute se procure un certificat, ni celui de tracer les navigations ou les différentes utilisations du certificat.
S’il le souhaite, l’internaute peut en outre détenir plusieurs certificats de plusieurs fournisseurs. Il multiplie ainsi ses identifiants, comme recommandé par la CNIL et par le FDI.
Plusieurs articles s’interrogent sur le modèle économique d’IDéNum et ironisent sur l’éventualité de le faire payer, alors qu’OpenID est gratuit.
J’ai expliqué plus haut pourquoi OpenID ne constitue pas l’outil attendu par les services Web partenaires d’IDéNum. Il y a d’ailleurs un lien entre la gratuité d’OpenID et le fait qu’il ne soit pas accepté par nos partenaires (administration, banques, assurances…). En effet, OpenID ne prend pas la responsabilité juridique de garantir véritablement l’identité de l’internaute. Or, ce dont nos partenaires ont besoin pour dématérialiser des procédures nouvelles (voir les exemples dans la FAQ sur www.idenum.fr), c’est justement qu’on leur fournisse cette garantie sur l’identité de l’internaute. Pour cela, quelqu’un doit d’une part vérifier qui est l’internaute, et d’autre part prendre la responsabilité de garantir cette identité. Cette vérification et cette responsabilité, qu’OpenID n’assure pas, ont un coût. Ce coût peut être par exemple être supporté par l’internaute lorsqu’il achète un certificat. Autre solution, il peut être supporté par le service web qui accepte ce certificat et qui profite de la garantie. La Suède, notamment, utilise ce deuxième modèle. Avec tous les partenaires IDéNum, nous allons travailler à monter un modèle économique qui soit le plus attractif possible, car nous sommes conscients que le coût sera un élément clé de la réussite.
Je précise que le rôle de l’État se borne à la rédaction du cahier des charges et au contrôle du mécanisme d’audit des émetteurs de certificats. De ce fait, les coûts opérationnels du projet ne seront pas supportés par l’État, mais par les différents partenaires, en fonction de leur implication.
Enfin, plusieurs questions portent sur la sécurité du système.
De manière générale, la sécurité du système sera déterminée et contrôlée par l’Agence nationale de la sécurité des systèmes d’information (ANSSI), organisme officiel qui constitue la plus haute référence française en la matière.
De même, à l’argument « Si les données sont centralisées, elles sont d’autant plus piratables puisque toutes réunies au même endroit. Avec un tel système, un pirate peut récupérer tous les mots de passe d’un seul coup, aussi bien les mots de passe pour carte bancaire que pour Internet. » , je réponds qu’IDéNum offre une double protection : support physique +code secret. Son vol suppose donc l’improblable combinaison : pickpocket + pirate du Web.
J’espère avoir répondu à toutes les questions posées ces derniers jours.
Le sujet suscite visiblement des débats passionnés. Je continuerai à vous tenir informés des évolutions du projet et à répondre à vos remarques.
Publié par nkm dans Libre cours
Tags : authentification, carte d'identité électronique, dématérialisation, données personnelles, identification, IDéNum, Internet, label, mot de passe, OpenID, sécurité, vie privée
Benoit
8 février 2010, 19:30OpenID est complétement orthogonal à IDéNum: on peut très bien imaginer un fournisseur OpenID qui utiliserait IDéNum pour l’authentification (plutôt qu’un mot de passe le certificat serait utilisé).
Ce que je ne comprends pas, c’est pourquoi, en dehors des sites ayant un relation contractuelle avec l’État (impots, caf, etc.) l’utilisation serait justifié.
Ni les banques, ni viadeo n’ont de raison de certifier le vrai nom d’une personne. La banque peut contacter facilement hors-ligne ses clients pour valider telle ou telle méthode d’authentification. Nulle besoin de certificat, OpenID est largement suffisant pour ces cas.
Dans tous les cas en dehors de cas particuliers (les impots, où la fonction de chiffrement offerte par la présence d’un certificat) il faut que d’autres méthodes d’authentification restent disponibles.
Eric Lalitte
8 février 2010, 20:45Bonjour,
Une petite question en passant.
Si j’ai bien compris, le système proposé permet d’embarquer une clef privée sur clef USB, sur laquelle il y a un processeur. On envoie les calculs à la clef qui ne donne que les résultats, ainsi la machine n’accède jamais à la clef privée.
Aura-t-on la possibilité de créer nous-même notre clef privée embarquée et de faire signer le certificat (identité + clef publique) Car dans le cas contraire, comment garantir:
1- La sûreté de la clef privée ?
2- Que personne d’autre n’usurpera notre identité ?
3- Que personne n’aura accès aux informations chiffrées à partir de la clef ?
Ce point me semble très important car la sécurité de la clef privée est un des piliers de la cryptographie asymétrique. Dans le cas contraire, il me semblera difficile de faire admettre l’utilisation de cette clef au grand public.
Merci !
Stéphane
8 février 2010, 21:48Excellente idée – ceci renforcera la confiance des usagers dans les sites officiels en leur simplifiant la vie. C’est de toutes façons inéluctable et il est normal qu’un gouvernement s’en occupe. Aucune raison de polémiquer.
Fabrice Epeboin
8 février 2010, 23:07Bel exercice de communication ;-)
Pour ma part, j’ai deux sujets connexes à IDéNum qui me posent question. Pas sûr que cela soit bien utile d’en faire un billet. Plus une table ronde ou quelque chose dans le genre.
La confiance.
Un élément essentiel dans la construction d’une marque qui ambitionne de gérer l’identité d’un individu. Un problème classique pour beaucoup de startups . Microsoft s’est cassé les dents avec Passeport™ il y a quelques années : comment IDéNum (qui sera perçu comme l’Etat) va faire pour s’en sortir ?
La transparence.
Parmi les acteurs qui soutiennent activement IDéNum, beaucoup ont un intérêt financier dans l’histoire, et il serait sain de mettre les choses sur la table.
La signature électronique pour l’achat d’un crédit, de produits financiers, ou d’assurance, c’est une excellente nouvelle pour les sites qui vendent ce genre de chose. Cela ne doit-il pas s’accompagner de droits nouveaux ? Destinés à protéger le consommateur ? Allons nous laisser Internet devenir une zone de non droit !? (je m’emporte)
Sinon, intégrer OpenID d’une façon ou d’une autre, ça doit encore pouvoir être envisageable, d’un point de vue com’, ce serait top ;-)
Antoine
8 février 2010, 23:56Je serais curieux de savoir qui de vos conseillers a écrit ce billet.
Sur le fond, l’argumentation n’est pas convaincante que ce soit à propos de l’interopérabilité et surtout de la sécurité.
Si ce type de certificat peut à la limite se concevoir comme un outil fourni gratuitement pour les relations avec l’Administration, son utilité pour des sites d’e-commerce comme eBay (vous pensiez à PriceMinister ?) n’est pas si manifeste. Et en tout état de cause l’utilité réelle d’IDéNum est faible, en tout cas pour les particuliers.
A la vérité, nous sommes ici dans le schéma classique selon lequel L’OFFRE CRÉÉE SA PROPRE DEMANDE. CQFD.
Enfin, l’auteur de ce billet rejette le risque d’extension insidieuse vers un système d’identification systématique sans vraiment argumenter. Or les exemples coréens ou italiens (concernant le nouveau système d’autorisation administrative préalable de publication de vidéos sur Internet) laissent penser que de nombreux décideurs politiques, souvent animés d’un sentiment de toute puissance, envisagent d’étendre leurs pouvoirs de contrôle (censure, traçabilité, etc) sur Internet. La méfiance des internautes est légitime, surtout lorsqu’on anticipe la combinaison de différentes technologies.
Peut-être que sous la Vème République un tel système n’aurait pas été accueilli avec scepticisme, reste que sous le régime actuel (un no man’s land institutionnel) la méfiance et le défiance sont légitimes.
En aparté, pour ma part, c’est la première fois que je ne fais absolument pas confiance au gouvernement, et je trouve cela assez grave finalement. Comme le sous-entend Fabrice, il y a un gros problème de confiance vis-à-vis des gouvernants actuels à propos d’Internet. Leurs intentions ne sont pas sincères et leur parole ne vaut rien (vous y compris).
yves
9 février 2010, 00:57Pour le Dod Us, un « système ou composant de confiance » est défini comme « celui qui a la capacité de violer les règles de sécurité ».
Quel est l’avantage de créer un système d’authentification avec des risques (le risque 0 n’existe pas), alors que la version papier par exemple des télé-déclarations semble très bien fonctionner: il suffit de rentrer une suite de chiffres envoyés par la poste, pour s’authentifier sur le site Web des impots.
Pourquoi un code type INSEE avec code secret n’est-t-il pas envisageable ?
(à cause des virus: des enregistreurs de frappes clavier par ex? Oui mais si un ordinateur est corrompu, pourquoi le système IdéNum lui restera fiable et non-compromis et non-copiable, etc.. : la sécurité informatique étant principalement une course de vitesse. )
Avantages supplémentaires d’IdéNum ?
- la possibilité de vendre cette authentification forte à des marchands sur Internet ou même réels ? (j’ai droit à une réduction, non ? mince … ;) )
- déplacer le coût de l’authentification (ou de la vérification de l’identité) vers le demandeur:
avoir un connection internet et un ordinateur, imprimer soi-même des relevés (le papier ne tombe pas en panne, il se garde des dizaines d’années),
faire le travail des agents de mairie (sans réduction d’impots..)
- vitrine du modernisme français (bon, on fera tous de la promo alors …)
Je salue votre ouverture d’esprit dans ce billet qui permet un échange,
mais: est-ce seulement de la communication ? (dont le but est de convaincre, d’adhérer, mais .. c’est tout),
PS: dites moi le contraire, je préfère :)
yves
9 février 2010, 01:00Arfe, je suis très étonné de voir que la modération de ce blog se fait à posteriori, enfin un peu d’humanité :-) (humour, désolé )
TALBOT Jean-Francois
9 février 2010, 01:24Bonsoir Nathalie,
C’est vraiment très claire, sur le fond, bravo.
Enfin pour moi,
Belle continuation dans votre action,
Jean-François.
Greg
9 février 2010, 08:55Pour le cote securite, j’ai envie de suggérer le systeme qu’utilise Bloomberg, pour ses connexions « anywhere »‘ une carte qui lit les empreintes digitales, et avec un capteur de lumiere qui va lire un affichage clignotant a l’ecran, et le traduire sous forme de password a 4 caracteres. Si on ajoute que l’utilisateur doit avant toute chose se connecter avec un login/password avant de faire la reconnaissance digitale, on arrive a un systeme super fiable et quasi impossible a utiliser sans votre accord ni votre presence devant l’ecran.
Olyvyer
9 février 2010, 13:51Merci pour ces clarifications très intéressantes et certainement nécessaires tant les problématiques associées à l’identité numérique sont complexes.
Deux petites questions complémentaires:
- vous dites qu’une ID certifiée correspondant à aux exigences du label IDéNum est totalement facultative: au sens non obligatoire, mais il se peut que certaines personnes en soient exclues du fait du coût par exemple (selon le modèle économique retenu). N’y a t’il pas un risque de création d’une nouvelle fracture ou d’un effet de club ?
- aussi, la fondation OpenID a annoncé le lendemain de la conférence de presse IDéNum une initiative visant à certifier les fournisseurs d’identité OpenID: http://openidentityexchange.org/ on n’en sait guère plus pour le moment… mais suivez-vous ce mouvement ?
politoblog
9 février 2010, 13:57Bonjour,
Bien évidemment utilisé à mauvais escient pourrait être dangereux pour les libertés individuelles.
Mais je pense qu’il va dans le sens de la modernisation de l’Etat. Et il va de soi que cet outil permettra de moderniser l’Etat, de fluidifier les procédures administratives. Dans un futur où l’objectif principal sera de réduire l’endettement de l’Etat, je pense qu’un tel instrument pourrait y contribuer. Il va de soi qu’une informatisation et une automatisation des procédures administratives permettrait de se passer d’un grand nombre de fonctionnaires, charge principale de l’endettement.
Je vous invite a prendre exemple sur l’Estonie qui a mis en place depuis 2002, une carte ID.
Je joins en lien le clip de promotion diffusé par l’Etat estonien pour la carte ID, je pense que ca peut vous intéresser. Rassurez vous il est en anglais ;
http://www.youtube.com/watch?v=XbaUTzD8iC0&feature=player_embedded#
Seaton
9 février 2010, 15:41Ce n’est pas une « carte d’identité électronique » mais « les organismes financiers pourront maintenant dématérialiser des procédures qui appellent une certitude sur l’identité »…
Huh?
JF
9 février 2010, 17:05Bonjour,
Je viens de lire plusieurs billets de ce blog.
Les sujets sont intéressants, mais une chose m’étonne au plus haut point : puisque nous parlons de blog, pourquoi NKM ne répond-elle quasiment jamais aux commentaires (ou alors, j’ai vraiment pas eu de bol en lisant les seuls billets sans réaction de sa part, mouais…) ?
Il est bien évident que cela s’adresse à NKM et son équipe, puisque je me doute bien qu’elle ne rédige pas tout toute seule.
Allez, messieurs/dames les conseillers, on prend la peine de répondre, sinon, ce n’est rien d’autre qu’un énième site web d’info descendante.
Merci d’avance
Jany
9 février 2010, 19:09Il me paraît qu’on met la charrue avant les boeufs dans cette histoire.
L ‘administration française est censée respecter l’accentuation des patronymes. C’est la loi. Ne vaudrait-il pas mieux s’assurer que l’identité patronymique de chacun est respectée avant de la certifier ?
Jany
9 février 2010, 19:11Pourquoi mes messages sont systématiquement non publiés ?
boby6kila
9 février 2010, 20:48Bonjour,
Je suis très étonné de voir une photo avec copyright en illustration de votre article, sans même en citer l’auteur.
De votre part, ça ne fait pas sérieux !
Capitaine Commerce
9 février 2010, 23:04C’est quand même dommage qu’on ne puisse pas aussi avoir une adresse en plus du nom et du prénom. Pour les ecommerçants, ça épargnerait des quantités astronomiques d’erreurs de saisie et des tonnes de commandes abandonnées.
gilles Mioni
10 février 2010, 11:29Si Idénum est un dispositif utile dans le cadre de l’économie numérique et de l’usage des sites des administrations nationales et locales, j’ai le regret de d’annoncer ce que personne n’ose dire habituellement :
L’état français n’est as un tiers de confiance dans l’économie. Singulièrement depuis 1986 et jusqu’à maintenant où le volontarisme des différents gouvernements n’ a pas fait la preuve, loin de là, d’une quelconque efficacité dans la modernisation et la compétitivité de l’économie française.
En particulier lorsque l’état doit labelliser directement des entreprises productrices de biens ou de services.
Nous sommes nombreux à préférer que l’état se contente d’agréer un ou plusieurs organismes aptes à produire un cahier des charges pour un bien ou un service et à organiser la procédure de délivrance du label.
Cette organisation fonctionne bien dans le secteur de l’agriculture biologique. Un organisme agréé, indépendant, ECOCERT a établi des cahiers des charges concernant la production agricole biologique et a un label AB (Agriculture Biologique) reconnu par les consommateurs et les professionnels.
Il serait souhaitable que dans un secteur aussi particulier que l’économie numérique, l’un des très rares secteurs en France où des jeunes personnes ont la possibilité de créer et de développer leurs propres entreprises, l’état, qui a jusqu’à présent outrageusement favorisé quelques filiales de grands groupes, ne soit pas partie prenante d’un service qu’on peut qualifier de service stratégique.
Et donc, il serait souhaitable que l’état se borne à agréer des instances de labélisation indépendantes. Il en va de la crédibilité de ce projet.
laurent
10 février 2010, 11:36Je suis d’accord pour l’utilisation pour les sites administratifs français, c’est pratique.
Par contre parlons e-commerce. Une authentification supplémentaire est mal perçue par l’internaute (voir le taux d’abandon panier avec le 3D secure), par contre si elle permet un service supplémentaire (auto remplissage de formulaire comme l’indiquait capitaine commerce), ça apporte un service supplémentaire, c’est bien.
Concernant la piratabilité, je rappelle la manière dont certains se font voler leur carte bleu au guichet automatique, et comment le malfaiteur arrive à avoir le code de la carte bleu (mini caméra sur la borne ou complice qui regarde pendant que l’utilisateur tape son code, on voit la procédure à la télé dans les reportages) et en étant dans un environnement étudié (la borne à un renfoncement censé cacher des regards indiscret).
Je suis sur mon ordi portable dans un cybercafé, ma clé IDéNum pluggée, je décide de faire un achat sur internet. Avec un simple téléphone portable et en toute discrétion, on peut filmer ce que je suis en train de taper.
Je termine mon achat ou le remplissage de mon formulaire. « Monsieur vous avez l’heure ? », sans m’en rendre compte, on m’as volé ma clé. Le pirate dispose de ma clé, et de mon code qui accède à tous mes autres codes, et le pire, c’est que le pirate, n’est pas un génie de l’informatique.
La consultation en est à ses débuts, donc le support matériel, pour moi n’est pas viable sécuritairement.
devillers
10 février 2010, 17:54Au sujet de la CNIE.
Ce que je vois surtout d’intéressant dans Idénum est qu’il signifie l’abandon du projet d’une CNIE a « tout faire » servant a la fois a passer la frontière/ à prouver son identité (sa vocation) et en même temps a s’identifier sur un site de e-commerce ou sur celui de sa banque. Ce mélange des genres (avec éventuellement une privatisation d’une partie de la puce de la CNIE) avait été dénoncé par la CNIL et les associations de défense des droits de l’homme en 2006. Et a raison ! ideNum pour le eCommerce/ la banque/ le compte famille de sa ville : très bien. La CNIE doit rester un titre d’identité classique, avec éventuellement une signature électronique pour authentifier des documents transmis par internet mais si possible, évitons le mélange des genres.
Phil
14 février 2010, 10:03Bonjour,
Je suis vraiment perplexe devant l’utilisation Idenum pour le Ecommerce, cela permetta t il a une societe comme FIA-Net qui trace tout les achats de consommateur sur l’internet d’avoir une plus grosse base de donnée bien fiable car validé par idnun (j’ai demandé, il y a quelque années en arrière, les informations conservés: nom prénom adresse téléphone émail et tous les achats effectués sur les sites affiliés sur une durée importante, depuis je fuis tous les sites affiliés FIA-Net ou j’achete a l’exterieur de la France)
ou simplement du fait de la création d’idenum cette base de donnée va t elle disparaitre?
Qui nous dis que la prochaine loi de votre président n’est pas d’obliger, en France, pour tout blog ou forum de valider les utilisateurs par Idemun.
Je n’ai qu’un exemple, la loi sur le fichier ADN au début les crimes sexuelles aujourd’hui tout et n’importe quoi,
aujourd’hui le filtrage des sites pédophiles, et les jeux d’argent demain……
IDenum c’est la confiance pour le Ecommerce, l’identification avec les services de l’État….. demain l’obligation de s’identifier sur le net pour laisser un commentaire sur un blog une video sur youtube
nkm
16 février 2010, 14:49@Benoit Il est techniquement envisageable d’utiliser IDéNum pour activer OpenID, mais cela rajoute un intermédiaire qui n’est pas indispensable. IDéNum est conçu pour être directement lu par le service Web final, sans passer par un serveur central qu’il s’agisse d’OpenID ou d’un autre. Contrairement à ce que vous écrivez, de nombreux organismes privés, dont les banques, ont l’obligation de vérifier l’identité de leurs clients pour certaines opérations. Ce sont d’ailleurs ces organismes qui sont demandeurs d’un partenariat avec IDéNum.
@Eric Lalitte C’est techniquement envisageable, mais en pratique le grand public préfèrera sans doute qu’on lui livre sa clef prête à l’emploi. Les règles de sécurité permettant de garantir la sécurité de la clef générée par l’émetteur feront partie du cahier des charges d’IDéNum. Je rappelle que le mécanisme de clef privée dans une puce est celui de la carte bancaire ou d’une carte SIM de téléphone portable. Je n’ai jamais vu une banque ou un opérateur mobile proposer à ses clients de générer leur propre clef privée, je n’ai jamais entendu aucun client s’en plaindre, et je n’ai jamais entendu parler non plus de violation de la sécurité de ces clefs, ce qui montre que les mesures de sécurité sont suffisantes.
@Greg Merci pour votre suggestion, il n’est toutefois pas prévu d’utiliser de la biométrie dans IDéNum.
@Olyvyer IDéNum présente de l’intérêt pour des gens qui ont un ordinateur, une connexion Internet, et qui veulent les utiliser pour des démarches en ligne exigeant un haut niveau de sécurité. La fracture numérique se trouve donc plutôt avant IDéNum, dans l’équipement et la connexion. Sur Open identity exchange : comme vous le dites, on n’en sait guère plus. Nous suivons néanmoins cela de près et attendons plus d’informations.
@Capitaine Commerce IDéNum vise à fournir aux services Web qui en ont besoin des informations vérifiées et garanties. Or l’adresse ne peut être garantie très longtemps, et c’est pourquoi les organismes exigent d’habitude des justificatifs récents de domicile. Pour faire de l’adresse une donnée garantie, il faudrait que l’internaute renvoie périodiquement des justificatifs et refasse faire à chaque fois son certificat, ce qui implique un mécanisme assez compliqué.
@gilles Mioni Justement, l’expérience montre qu’au bout de 10 ans, ce « service stratégique » n’a pas démarré spontanément pour le grand public, faute d’un minimum d’organisation du marché. C’est pourquoi l’État vise avec IDéNum à fixer un cadre commun pour tous. Libre aux jeunes entreprises d’y proposer des services innovants, en profitant tout de suite de larges débouchés.
nkm
22 février 2010, 15:21@laurent
Le dispositif IDéNum est un outil de sécurité, cela signifie que l’on ne le laisse pas traîner, que l’on ne tape pas son code secret devant tout le monde, et que l’on ne l’écrit pas non plus sur un post-it. En fait, IDéNum appelle les mêmes précautions d’utilisation qu’une carte bancaire. Je suppose que Laurent ou mediacrea rangent méthodiquement leur CB dans leur portefeuille après utilisation et qu’ils composent leur code à l’abri des regards indiscrets, et ce même au distributeur de billets.
laurent
22 février 2010, 16:42Oui vous avez tout à fait raison, mon propos n’est pas de dénoncer le système, il est nécessaire sur le fond et je salue l’initiative. Mais sur le mode opératoire.
Autant lorsque je suis devant une borne je vais etre très attentif, autant si je suis dans un environnement neutre, mes habitudes vont me trahir car je n’ai pas ces repères qui me permettent d’etre dans ce meme état de précaution.
Je voulais juste interpeller sur le fait que ma description (extraite d’un reportage TV) n’est pas un piratage technique, et que c’est malheureusement un scénario plausible et auquel le système peut etre confronté, et qu’il faut l’intégrer dans la réflexion.
S’il y avait une orientation à choisir entre l’utilisation d’une clé usb ou une carte sim, je préfèrerais largement une carte sim qui serait plus discret que de voir une clé usb estampillée idénum facilement repérable (j’ai mal employé « support matériel » dans mon post précédent, désolé).
viknet
3 mars 2010, 23:29@Eric Lalitte : ayant travaillé dans ce domaine précis je confirme qu’il est techniquement facile (voir trivial) de proposer au client de générer lui même ca propre clef, plusieurs standard ne permette d’ailleurs pas d’importer de clef privé (java keystore par exemple). Je pense que ce point mérite clairement d’être proposé si IDéNum doit avoir un avenir.
Malheureusement le point noir (pb de standardisation pas pb technique ) ne concerne pas le certificat (techno archi standard merci RSA dispo sur mac PC et windows) mais le stockage de ce certificat (sur l’ordinateur, une carte a puce, clef usb, telephone, tablette en granite, code barre) chaque techno à son driver diffèrent (propriétaire et souvent un seul driver est possible a la fois par PC (driver pkcs#11)), son connecteur diffèrent (carte a puce ou usb globalement) et même son mapping (la façon dont les données sont stocké sur la carte cf norme pkcs#15). Cette problématique ‘technique’ rejoint d’ailleurs celui de la carte d’identité numérique.
L’avenir sera peut être du coté d’opensc (un ‘driver’ standard et opensource supportant plusieurs support de stockage de marques différentes).
Sans cette interopérabilité, vouloir utilisé son IDéNum sur un autre ordinateur relèvera du domaine du geek habitué a désinstaller et re-installer un driver.
de même, vouloir utiliser 2 IDéNum de 2 fournisseur matériel diffèrent sur un seul ordinateur.
@nkm l’idée me parais bonne mais j’ai peur que nous autres informaticien n’ayons pas encore réussi a accorder nos violon: préserverez IDéNum sera peut être la bonne occasion !!! n’hésitez pas a me contacter pour plus de détail technique…
Pour finir ceux qui cherche un certificats gratuit peuvent aller sur http://cacert.org fournisseur de certificats ‘libre’ contenant même leurs nom et prénom.
nkm
8 mars 2010, 12:03@ viknet Nous sommes tout à fait conscients des différences possibles d’implémentation qui risquent d’empêcher l’interopérabilité des systèmes de certificats en général, c’est bien pour cela que nous réunissons tous les partenaires autour de la table pour définir un standard commun. L’expérience des autres pays européens montre qu’il est parfaitement possible de trouver des solutions.