Carte d'identité biométrique : vers une appli pour l'utiliser en ligne ?

28 avril 2022 à 10h30
31
Carte nationale d'identité 2021 © © Ministère de l'Intérieur

Le 26 avril dernier, le Premier Ministre Jean Castex et le Ministre de l'Intérieur Gérald Darmanin ont signé un nouveau décret. Celui-ci autorise la création d'un nouveau système d'identification et d'authentification via la carte d'identité biométrique, appelé Service de Garantie de l'Identité Numérique (SGIN).

Ce système permettra de passer par une application mobile pour justifier de son identité de manière plus sécurisée en ligne.

Une application à venir

La nouvelle carte d'identité biométrique a été mise en service sur tout le territoire français depuis l'année dernière. Cette carte plus petite, plus moderne et plus sécurisée veut s'inscrire dans un renforcement de la sécurité de l'identification et de l'authentification en ligne, des actions omniprésentes au quotidien.

L'objectif du décret est de créer et mettre à disposition une application mobile qui permettra aux usagers de s'identifier et s'authentifier auprès d'organismes publics et privés. Avec cette application, une personne pourra générer une attestation électronique « comportant les seuls attributs d'identité dont il estime la transmission nécessaire aux tiers de son choix ». Entendez par cela, une attestation comprenant le nom de famille, le ou les prénoms, une adresse postale ou encore une adresse mail. En revanche, il est bien spécifié que les images numérisées des empreintes digitales ne seront pas utilisées ou demandées.

Toutes ces données sont, de base, chiffrées sur les serveurs où elles sont stockées et ne seront déchiffrées que lorsque l'application est utilisée pour garantir un maximum de sécurité.

Une sécurité notamment pour les plus jeunes

Ce texte vient directement abroger le décret du 13 mai 2019 qui autorisait la création du moyen d'identification électronique baptisé « Authentification en ligne certifiée sur mobile » (Alicem). Celui-ci s'appuyait sur le passeport biométrique et autorisait, entre autres, l’utilisation polémique de la reconnaissance faciale pour une identification ou une authentification auprès d'organismes publics ou privés.

On ne sait pas encore à quelle échelle cette application pourra être utilisée ni pour quels genres de services mais ce nouveau décret affiche des objectifs clairs : simplifier et accélérer des démarches en ligne et renforcer la sécurité de l'identité des personnes. Il suffira simplement d'utiliser la puce NFC de notre smartphone pour scanner le document et profiter des services de l'application.

On peut comprendre dans ce décret l'utilité d'un tel système, notamment pour lutter de manière sécurisée contre l'exposition des mineurs à la pornographie. Pour prouver qu'une personne a plus de 18 ans, il sera possible d'émettre une attestation avec les seules informations nécessaires, sans avoir à partager un trop grand nombre de données personnelles pouvant être utilisées à mauvais escient par d'autres personnes.

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
31
18
Popoulo
« il est bien spécifié que les images numérisées des empreintes digitales ne seront pas utilisées ou demandées. » : on notera le « ne seront pas ». Et y a des gens qui y croient ?
max6
et pourquoi ce ne serait pas vrai ?<br /> D’autant plus que des dizaines d’indépendants (citons par exemple parmi bien d’autres la quadrature du net), des hacker blanc et des spécialiste SSI freelance se chargerons de scruter le comportement de cette application pour dénoncer tout comportement douteux.<br /> Même si je ne fait pas confiance complètement à aucun gouvernement (les élections peuvent tout changer à chaque fois) ces gens et ces organisation ont déjà prouvées largement par le passé leur implication et leurs compétences dans ces domaines.
Neustrie
Le numérique à outrance menace la démocratie.
melcky
Il y a des gens qui ne voient pas des complots partout ?
MattS32
+1. Et on peut ajouter aussi que dans le contexte qui est décrit ici, ça serait de toute façon totalement inutile d’inclure les images des empreintes dans les données échangées avec le tiers.<br /> Le but est ici d’avoir un système simple et efficace pour attester d’une identité auprès d’un service en ligne. Donc par exemple de remplacer le besoin de scanner sa pièce d’identité pour valider la première commande sur un site de VPC.<br /> Avoir l’image de l’empreinte digitale n’apporte strictement rien d’utile au tiers, pour lui ce qui compte c’est de vérifier que l’identité que tu as saisi est bien la vraie, et pour ça une attestation certifiée avec ton nom et tes coordonnées c’est déjà largement suffisant, il n’y a besoin de rien de plus.
Plop2
Une usine à gaz… Il aurait été plus simple et moins intrusif de demander à l’ANTS de délivrer des certificats ne contenant que l’information nécessaire à savoir l’age
Octocat
C’est une bonne nouvelle, comme d’hab les vieux boomers complotistes râlent, car ils sont incapables de vivre avec leur temp.<br /> C’est fini la carte grise, le vieux permis cartonné, la carte d’identité qui prends tout le portefeuille, même la monnaie c’est dépassé.<br /> Va falloir vous y faire, c’est une très bonne nouvelle.
MattS32
Octocat:<br /> C’est fini la carte grise<br /> Pour le coup, hélas non, la carte grise n’a toujours pas été remplacée par quelque chose dans un format plus pratique…
Werehog
Beaucoup de monde a encore « l’ancienne » carte, on fait comment ? Changement massif de carte ?
MattS32
Pour les sites tiers, ce moyen d’identification sera sans doute un moyen proposé parmi d’autres, pour justement ne pas se priver d’une large part des clients potentiels tant que la CNI biométrique n’est pas généralisée.<br /> D’ailleurs même une fois que quasiment tout le monde en aura une, y a des chances que des alternatives soient proposées (genre le bon vieil envoi d’un scan de la CNI).
MisterDams
Si l’on considère la fonctionnalité uniquement pour le contrôle de l’âge oui, mais c’est pas le seul sujet.<br /> On peut imaginer demain de souscrire à un contrat avec vérification de certaines infos, là où certains services demandent parfois de prendre en photo ou filmer en direct sa pièce d’identité. Par exemple, pour souscrire un compte bancaire chez N26 ou Aumax.<br /> L’idée ici est de pouvoir moduler ce que tu mets à dispo selon le besoin, à la manière des autorisations Facebook/Google pour les applications tierces quand tu utilises leur SSO, qui précisent « Vous allez transmettre : nom, âge, email, etc. » ou parfois juste l’email.<br /> Du coup, si tu veux visiter un site qui parle d’alcool (bien entendu), tu valides de ne transmettre que l’âge. Si tu veux signer un contrat, tu valides de diffuser d’autres infos persos.
max6
J’espère qu’on va y venir parce que cela fait plus de 40 ans que ces bout de cartons pourrissent dans mon porte feuille et c’est d’un c…
max6
En aucun , je ne vois pas ce qui vous permet une telle affirmation. D’autant plus que la loi impose de conserver un moyen papier qui doit rester accessible à ceux qui ne peuvent avoir accès au numérique.
Palou
MattS32:<br /> Donc par exemple de remplacer le besoin de scanner sa pièce d’identité pour valider la première commande sur un site de VPC<br /> Il existe le site Identité Numérique pour ça (https://lidentitenumerique.laposte.fr/)
MattS32
Oui, mais pour prouver ton identité auprès de ce site, c’est une galère… Ma mère m’a récemment raconté comment elle a essayé de le faire pour pouvoir accéder ensuite à Amélie via France Connect avec Identité Numérique comme fournisseur d’identité… Elle a dû leur envoyer une vidéo d’elle, puis attendre un courrier postal, et l’activation n’a finalement jamais marché…<br /> Avoir un truc où on peut arriver à s’authentifier en quelques secondes en lisant la puce NFC de sa carte d’identité, ça serait un sacré progrès…
dimebag
Les boomers auraient donc n’importe quel âge…
Nymoi
Je l’ai refaite il y a une quinzaine de jours, ça change, c’est sûr, de l’ancien modèle qui avait plus de 15 ans ! Mais par contre, ma nouvelle carte ne ressemble pas du tout à la photo montrée en haut de cet article ! Au lieu d’une femme, on me voit moi ! Alors je ne comprends pas…
Palou
@MattS32 Pour moi et mon entourage, cela a été très simple. Une demande sur la page de l’Identité Numérique, un RV avec le facteur qui a contrôlé ma CNI, et ma demande a été validée, aucune vidéo fournie. Aucun problème depuis plusieurs années.
max_971
Bon j’espère quand il y aura des cyber attaques, on ne va pas trop souffrir.
zoup01
Pourquoi faire compliqué quand on peut faire simple…<br /> Avec tes identifiants impôts ( quasi obligatoire), ou tes identifiants ameli, tu va partout avec France Connect…<br /> Je me sers de mes identifiants impôts partout avec France Connect, je n’ai jamais eu besoin de créer une identité numérique (ce qui m’a semblé , il est vrai, assez compliqué)…<br /> Et mon épouse utilise son compte ameli, rien de plus.
MattS32
Il y a des cas particuliers.<br /> Ma mère n’est pas affiliée directement à la sécurité sociale (caisse spécifique à son ancienne profession), donc n’a pas de compte Amélie.<br /> Elle n’a pas non plus d’identifiant des impôts, puisque mariée en communauté de bien à mon père, donc un seul identifiant fiscal pour les deux, au nom de mon père.<br /> Mais elle avait besoin de se connecter à Amélie pour récupérer ses certificats covid (service accessible via France Connect sans avoir besoin d’un compte Amélie).
MattS32
Palou:<br /> Pour moi et mon entourage, cela a été très simple. Une demande sur la page de l’Identité Numérique, un RV avec le facteur qui a contrôlé ma CNI, et ma demande a été validée, aucune vidéo fournie. Aucun problème depuis plusieurs années.<br /> Je vois mal un site de VPC adopter un système d’identification qui, quand on n’a pas encore de compte, nécessite un rendez-vous avec le facteur (ce qui, au passage, n’est possible que pour les résidents français, alors qu’un truc basé sur la carte d’identité est aussi accessible aux français de l’étranger)… Quand on voit déjà à quel point le simple fait d’avoir la double authentification sur la transaction bancaire fait perdre des ventes, un truc où tu as un tel délai, c’est une vente de perdue…<br /> Un truc basé sur la carte d’identité, c’est quasi instantané, le temps de lancer l’app et de scanner la carte… Donc moins de pertes de ventes.<br /> Alors bien sûr, on pourrait envisager qu’à long terme quasiment tout le monde ait créé son compte Idénum, mais on en est trèèèèès loin (en janvier 2020, 5 ans après le lancement, il y avait à peine 260 000 comptes… ça c’est peut être accéléré depuis, mais ça doit probablement pas dépasser 10% de la population…), et on se retrouve face à un cercle vicieux : à cause de la lourdeur de la procédure de création de compte, peu de services tiers veulent utiliser Idénum, de peur de décourager leurs clients, et du coup, comme peu de services l’utilisent, ça incite pas les gens à se créer un compte… Un truc basé sur la nouvelle carte d’identité, c’est de l’ordre de 4.5 millions de nouveaux utilisateurs potentiels chaque année (1/15ème de la population), sans compter les renouvellement anticipés de CNI.
Blackalf
MattS32:<br /> Elle n’a pas non plus d’identifiant des impôts, puisque mariée en communauté de bien à mon père, donc un seul identifiant fiscal pour les deux, au nom de mon père.<br /> C’est curieux, ça. En Belgique, deux conjoints doivent faire des déclarations séparées (ce qui n’est que logique si chacun a ses revenus propres).<br /> Ou plus exactement, nous avons une déclaration comportant une colonne pour chacun des conjoints. N’importe lequel des deux peut la remplir sur notre site officiel Tax-on-web, mais la déclaration doit être validée avec les deux cartes d’identité et le lecteur de carte dédié.
MattS32
Blackalf:<br /> C’est curieux, ça. En Belgique, deux conjoints doivent faire des déclarations séparées (ce qui n’est que logique si chacun a ses revenus propres).<br /> Pas en France. Il y a bien les deux noms sur le formulaire (« Déclarant 1 » et « Déclarant 2 ») et le détail des revenus de chacun (et encore, seulement en partie… par exemple les salaires sont bien déclarés séparément, mais s’il y a des revenus locatifs, c’est le total des deux qui est déclaré…), mais l’identifiant fiscal est unique et correspond au foyer fiscal. C’est le cas aussi dans d’autres régimes matrimoniaux, par défaut ou sur option (on peut notamment faire déclaration commune aussi quand on est pacsé). Et quand on utilise le SSO basé sur l’identifiant fiscal, on est identifié avec les coordonnées du « Déclarant 1 ».<br /> Du coup forcément, un système de SSO basé sur l’identifiant fiscal atteint vite ses limites quand bon nombre d’identifiants fiscaux correspondent à deux personnes (ou même plus, c’est tout le foyer, donc y compris les enfants et autres personnes à charge…).<br /> Ce qui est ballot, c’est qu’on a tous bien un identifiant unique, notre numéro INSEE (ou numéro de sécurité sociale, mais en fait on en a un aussi si on n’est pas affilié à la sécurité sociale), attribué d’office à la naissance (ou sur demande pour les français nés à l’étranger ou pour les étrangers résidents en France) mais on n’a pas encore été capable de mettre en place un SSO national basé sur ça… L’utilisation du compte Ameli comme SSO est ce qui s’en approche le plus (l’identifiant du compte Ameli est le numéro INSEE), mais ce n’est valable que pour ceux qui sont affiliés au régime général de l’Assurance maladie, ce qui exclu les non résidents, mais aussi la plupart des mineurs (remarque, ça en fait un bon SSO pour contrôler l’accès aux sites pour adultes ^^), rattachés à l’AM de leurs parents et certaines professions ayant un régime spécial (enseignants et agriculteurs). Et jusqu’à peu ça excluait tous les indépendants/libéraux.
zoup01
Pour les impôts, c’est faux…<br /> Même mariés sous le régime de la communauté, chacun a son propre numéro fiscal.<br /> Si vous êtes en marié ou pacsé, chaque conjoint a un numéro fiscal (déclarant 1 ou déclarant 2).<br /> cmibrest.fr<br /> creer_espace_particulier.pdf<br /> 1367.06 KB<br />
MattS32
En effet. Je t’avoue qu’à l’époque où ma mère m’a raconté ses déboires avec Idénum, j’ai pas cherché plus loin. Elle ne devait pas savoir qu’elle a son propre numéro fiscal et qu’elle pouvait donc créer un compte, vu qu’elle ne s’est jamais occupée de ça.<br /> Mais du coup si le numéro fiscal identifie bien une personne et pas un foyer fiscal, pourquoi on s’est encore emm*** à faire un numéro spécifique au lieu de reprendre le numéro INSEE (quitte à en attribuer un à des gens qui auraient besoin d’un numéro fiscal mais n’ont pas encore de numéro INSEE, situation qui ne doit pas courir les rues)… On a l’art de se compliquer la vie quand même.
Palou
zoup01:<br /> Pour les impôts, c’est faux…<br /> Même mariés sous le régime de la communauté, chacun a son propre numéro fiscal.<br /> Exact, je viens de vérifier car j’ai eu un doute
Palou
MattS32:<br /> pourquoi on s’est encore emm*** à faire un numéro spécifique au lieu de reprendre le numéro INSEE<br /> parce que c’est beaucoup trop facile de deviner le code INSEE d’un particulier (sauf le dernier chiffre), …<br /> sexe.année naissance.mois naissance.dépt naissance.n° de la commune. n° d’ordre à 3 chiffres<br /> SI tu connais tous le début, il n’y a que le n° d’ordre à trouver (de 1 à 999)
MattS32
Mais l’identification ne se baserait pas que sur le numéro INSEE…<br /> Tu sais, il y a plein de services en ligne où on se connecte avec des identifiants tout aussi faciles à trouver que le numéro INSEE, voir encore plus… Entre les sites où l’identifiant est l’adresse mail, ceux où l’identifiant est un pseudo qui est accessible publiquement, ceux où l’identifiant est un SIRET ou un SIREN (URSSAF par exemple), et ceux où l’identifiant est bel et bien déjà le numéro INSEE (Ameli par exemple, mais aussi les sites de certaines caisses de retraites, de bon nombres de mutuelles… et de fait aujourd’hui tous les services accessibles via France Connect pour les gens qui ont un compte Ameli, y compris du coup le site des impôts auquel on peut s’identifier avec France Connect !)…<br /> Ce qui compte pour la sécurité, c’est avant tout le mot de passe, la « force » de l’identifiant du compte n’est pas essentielle, son rôle c’est surtout l’unicité.
philumax
idem pour moi.
dredd
Quand je tombe sur des articles qui concernent tout l’aspect administratif en France, je les lis toujours parce que c’est comme ouvrir une capsule temporelle
zoup01
Oui tout à fait…<br /> On pourrait même dès aujourd’hui utiliser sa carte vitale avec sa puce pour s’identifier…mais si l’on simplifiait tout aujourd’hui, ce ne serait plus l’administration française <br /> C’est vrai que je suis un peu envieux de la situation de nos amis belges ( et probablement aussi des pays baltes) , pour lesquels, s’identifier consiste juste à introduire sa carte d’identité dans un lecteur…
Blackalf
MattS32:<br /> Mais l’identification ne se baserait pas que sur le numéro INSEE…<br /> Tu sais, il y a plein de services en ligne où on se connecte avec des identifiants tout aussi faciles à trouver que le numéro INSEE, voir encore plus… Entre les sites où l’identifiant est l’adresse mail, ceux où l’identifiant est un pseudo qui est accessible publiquement, ceux où l’identifiant est un SIRET ou un SIREN (URSSAF par exemple), et ceux où l’identifiant est bel et bien déjà le numéro INSEE (Ameli par exemple, mais aussi les sites de certaines caisses de retraites, de bon nombres de mutuelles… et de fait aujourd’hui tous les services accessibles via France Connect pour les gens qui ont un compte Ameli, y compris du coup le site des impôts auquel on peut s’identifier avec France Connect !)…<br /> Ce qui compte pour la sécurité, c’est avant tout le mot de passe, la « force » de l’identifiant du compte n’est pas essentielle, son rôle c’est surtout l’unicité.<br /> Pourquoi faire simple quand on peut faire compliqué ^^ en Belgique, on a un n° de registre national qui sert pour presque tout.
Voir tous les messages sur le forum

Lectures liées

Un chercheur en cybersécurité montre comment pirater une Tesla via une faille Bluetooth
Piratage : le site de téléchargement Tirexo n'est pas mort et devient PapaFlix.com
Le spyware Predator a infecté des smartphones Android en exploitant une faille 0-day
3 bons plans VPN pour assurer votre sécurité en ligne
Ces deux failles critiques ont été exploitées par des hackers d'État
Pwn2Own : Windows 11 et Microsoft Teams hackés, plusieurs fois
Google dépose le bilan en Russie
Ce nouveau hack permet de récupérer vos informations bancaires
Surfshark VPN s'offre enfin une interface sous Linux
Ces 200 applications Android vous espionnent et volent vos données, supprimez-les d'urgence !
Haut de page