J'avais une démarche à faire auprès de l'INPI. Je me suis gaîment connecté au Guichet Unique à l'aide de FranceConnect, j'ai rempli le bon formulaire, j'ai joint une copie de ma carte d'identité… et là, j'ai été informé que pour signer le formulaire, il fallait que je me reconnecte à l'aide de FranceConnect Plus.
Il s'est rapidement avéré que pour me connecter avec FranceConnect Plus, il me fallait l'application Identité Numérique de la Poste sur mon smartphone. Bien sûr, cette application n'est installable que depuis le Google Play Store; or, mon smartphone tourne sous LineageOS, et n'y a donc pas accès. Après deux jours au téléphone avec les dames très gentilles du service client de l'INPI (« Je suis d'accord avec vous, nous aussi on aimerait pouvoir vous proposer de passer chez nous pour signer »), j'ai déterré un vieux smartphone sous Android 6 (même pas chiffré!), je l'ai reinitialisé, j'ai ouvert un compte Google, je suis passé à mon bureau de poste (la dame m'a fait comprendre qu'elle ne savait pas faire), je suis repassé au bureau de poste le lendemain (la dame s'était formée entre temps), j'ai installé l'application, j'ai choisi un code secret de 4 chiffres (!), j'ai « activé mon identité », et j'ai essayé de me connecter au Guichet Unique. Qui m'a répondu Erreur de connexion.
Pour me consoler un peu de cet échec, je suis allé lire les commentaires à propos de l'application sur le Play Store. J'ai trouvé le commentaire suivant (11 mars 2024) :
Bonjour Bruno, L'Identité Numérique La Poste est la 1ère identité électronique attestée conforme au niveau de garantie substantiel par l’ANSSI.
Un peu surpris, j'ai appelé un spécialiste. Il m'a répondu :
C'est la Poste qui ment […] Leur application a été qualifiée seulement au niveau "élémentaire" du Référentiel Général de Sécurité (RGS), avec un niveau de recommandation "moderate" et pour seulement 9 mois (jusqu'à fin septembre 2024).
Je suis allé voir la FAQ de l'ANSSI:
Modéré : Produits et services dont l'utilisation est acceptable s'ils sont déjà déployés mais dont l'acquisition et l'utilisation ne sont pas recommandées pour de nouveaux projets.
L'Identité Numérique de la Poste? Une application officiellement certifiée merdique, mais c'est pas grave, car de toute façon elle ne marche pas.
# Gee
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . Évalué à 10 (+12/-0).
Sur ce service, rappelons aussi cette excellente BD.
[^] # Re: Gee
Posté par BAud (site web personnel) . Évalué à 5 (+5/-2).
le bon lien intégrant la sémantique1 : une excellente BD sur FranceConnect+ ou GafamConnect+ ?
simplement rajouter du sens avant tout, indiquer ce sur quoi tu vas tomber en cliquant sur un lien, qui permet de comprendre à l'avance sur l'illustration proposée (toi tu la connais, tu l'as vue, pas celui qui doit cliquer sur ton lien ; moi je ne clique pas) ↩
# mais au moins elle ne marche pas
Posté par BAud (site web personnel) . Évalué à 2 (+0/-0). Dernière modification le 19 juillet 2024 à 19:14.
bin, elle n'a pas de jambes ! :D
mais oui, au moins l'ANSSI est réaliste (et devrait être plus souvent suivie)
Cela devrait valoir dans le public et mérite d'être suivi dans le privé… j'ai pas mal d'exemples, souvent une seule réponse : c'est compliqué o_O
[^] # L'ANSSI est réaliste ?
Posté par jch . Évalué à 3 (+2/-0).
Dans ce cas précis, je pense que c'est discutable. L'application a obtenu sa certification, et cela alors même que :
J'imagine que la certification a été faite sur des principes généraux (protocoles cryptographiques utilisés, procédure de vérification d'identité) et que personne n'a jamais regardé l'application elle-même.
[^] # Re: L'ANSSI est réaliste ?
Posté par BAud (site web personnel) . Évalué à 2 (+0/-0).
c'est un travail amont qui permet d'obtenir certification : le comité valide simplement d'aller plus avant pour prouver que les travaux démontrent ce qu'ils avancent, tomber en prod' en fait partie (et du risque évalué en amont)
ce n'est pas du ressort de l'ANSSI :/ mais des RSI ou RSSI (et j'en connais qui le font)
pour autant, ceux qui ont regardé ont systématiquement rejeté les 1ères versions (login voire mot de passe embarqué dans l'appli, trivial), les suivantes étaient à peine mieux
Bin appli sur mobile, validation 2FA requise, sur le même appareil, via navigateur web, via autre appli ? o_O ça date de 2010 cette analyse… (voire avant)
# Guichet unique de l'INPI
Posté par Astaoth . Évalué à 2 (+1/-1).
J'ai fait des démarches chez eux en début d'année … mais je ne suis pas passé par FranceConnect, j'ai directement fait un compte sur la plateforme. Je n'ai pas eu besoin de FranceConnect+ pour signer mes documents, tout a très bien marché comme on pourrait s'y attendre, et le tout depuis chez moi.
Comme quoi, y a toujours une alternative.
Emacs le fait depuis 30 ans.
[^] # Re: Guichet unique de l'INPI
Posté par jch . Évalué à 4 (+3/-0).
Ça dépend des démarches. Tu peux faire une ouverture avec un compte de l'INPI, mais pour un changement d'adresse ou une fermeture d'activité, il te faut FranceConnect Plus.
(Quand j'écris que j'ai passé deux jours au téléphone avec le service clients, ce n'est pas une figure de style.)
[^] # Re: Guichet unique de l'INPI
Posté par Graveen . Évalué à 2 (+0/-0).
j'allais l'écrire ! :D
# France Identité
Posté par Glandos . Évalué à 6 (+4/-0). Dernière modification le 20 juillet 2024 à 15:15.
Depuis le 12 juillet, FranceConnect+ est également obligatoire sur MaPrim'Rénov.
Mais il y a une alternative (spoiler, c'est à peine mieux) : France Identité
Il faut :
- Avoir un smartphone Android ou iOS
- Avoir une carte d'identité avec NFC (la mienne ne l'a pas, et est valable encore 10 ans)
- Aller en mairie. Certaines mairies ne sont pas équipées ou formées.
Voilàààà. Bon, sur MaPrim'Rénov, j'ai pu me faire envoyer un code à 6 chiffres par courrier. Et ils vont me demander un code 2FA envoyé par email à chaque connexion au service.
Sinon : yavait les passkeys. C'est dommage, c'était pratique.
# Le titre de ce journal
Posté par antistress (site web personnel) . Évalué à 6 (+3/-0).
Quel régal, merci pour le sourire
# Niveau de garantie != niveau de recommandation
Posté par devnewton 🍺 (site web personnel) . Évalué à 6 (+3/-0).
Sur la page de l'ANSSI, on voit que l'ANSSI distingue le niveau de garantie et le niveau de recommandation.
L'Identité Numérique de La Poste au niveau de garantie substantiel et un niveau de recommandation modéré.
https://cyber.gouv.fr/produits-services-qualifies/identite-numerique-la-poste
Le niveau de compréhension de ce merdier doit être nul ?
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
[^] # Re: Niveau de garantie != niveau de recommandation
Posté par jch . Évalué à 2 (+1/-0).
Ça c'est la décision 119, qui qualifie le service. L'application mobile, par contre, est qualifiée par la décision 120, niveau de garantie élémentaire et niveau de recommandation modéré:
https://cyber.gouv.fr/produits-services-qualifies/application-mobile-identite-numerique-la-poste
[^] # Re: Niveau de garantie != niveau de recommandation
Posté par devnewton 🍺 (site web personnel) . Évalué à 3 (+0/-0).
Et l'appli mobile n'a pas de niveau de garantie ???
C'est bizarre de qualifier les deux séparément vu qu'on ne peut pas utiliser l'un sans l'autre.
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
[^] # Re: Niveau de garantie != niveau de recommandation
Posté par jch . Évalué à 2 (+1/-0).
Niveau de garantie élémentaire (le plus bas), c'est indiqué dans le PDF. « Le produit doit résister à un attaquant disposant de compétences techniques basiques et de ressources limitées. »
# Identité Numérique, GafamConnect+, même combat, rejet définitif
Posté par tkr (Mastodon) . Évalué à 5 (+6/-2).
personnellement, en ayant raz le bol de l'invasion identitéNumérique/ConnectGafam+ exigeant iChose/android, à l'exception des impots, j'ai décidé de tout repasser au papier.
jamais ils ne m'imposeront d'appli sur mobile, jamais.
j'ai pas d'iphone, pas d'android-*, et n'en possèderai jamais pour leurs beaux yeux.
le divorce avec les gafam, google en tête, a été à couteaux tirés mais très bénéfique.
hors de question d'avoir les rênes de ma vie numérique tenue par les gafam, ils sont exclus à vie.
[^] # Re: Identité Numérique, GafamConnect+, même combat, rejet définitif
Posté par Marcel4567 . Évalué à 1 (+0/-0).
C'est clair, ils ne peuvent pas nous obliger à avoir un smartphone truffé de spyware pour accéder au services publics.
J'ai le meme problème avec la banque, pour l'instant on peut encore utiliser le site web sans smartphone mais on n'a pas accès à toutes les fonctionnalités…
[^] # Re: Identité Numérique, GafamConnect+, même combat, rejet définitif
Posté par cpm . Évalué à 1 (+0/-0).
Sauf qu'il semble qu'une loi soit passée pour rendre obligatoire la dématérialisation de nombreuses démarches des entreprises (disparition des CFE…).
La signature électronique qualifiée, celle exigée de plus en plus sur le guichet unique, est possible sans ordiphone (clé USB, site web) mais le chemin semble super obscur et cher (> 300 € / an) :
https://cyber.gouv.fr/obtenir-un-certificat-de-signature-electronique
https://cyber.gouv.fr/la-liste-nationale-de-confiance
D'ailleurs, quelqu'un connaîtrait-il un fournisseur de QES pas trop cher et compatible GNU/Linux ?
Envoyer un commentaire
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.