Comment l’Anssi a-t-elle évalué « L’Identité Numérique » de La Poste ?
L’agence ne fournit aucun détail sur sa démarche. Toujours est-il qu’elle a, cette semaine, déclaré le service conforme aux exigences du niveau de garantie « substantiel » inscrit à l’eIDAS.
Ce règlement européen du 23 juillet 2014 instaure un cadre européen en matière d’identification électronique et de services de confiance.
Le texte établit trois niveaux de sécurité (faible, substantiel, élevé) attribuables aux services d’identification électronique.
Un règlement d’exécution du 8 septembre 2015 fixe les spécifications techniques et les procédures minimales relatives à ces niveaux de garantie.
Quatre éléments sont pris en compte :
Sur le volet inscription, le niveau substantiel exige d’une personne physique qu’elle présente un pièce d’identité qui « semble se rapporter à elle » au cours d’un processus d’enregistrement « dans l’État membre où la pièce d’identité a été délivrée ». Des mesures doivent par ailleurs être prises pour « minimiser le risque que l’identité de la personne ne soit pas l’identité alléguée ».
La Poste répond à cette exigence à travers une vérification des pièces d’identité (passeport, carte d’identité ou titre de séjour supérieur à 5 ans) en face à face. La démarche s’effectue à domicile ou en bureau de poste (370 bureaux participants).
Une fois la vérification effectuée, l’utilisateur obtient un identifiant* pour se connecter sur « des centaines » de services en ligne. Il s’agit essentiellement de services d’organismes publics, accessibles pour la plupart à travers le portail FranceConnect.
La Poste est l’un des fournisseurs d’identité approuvés de FranceConnect, aux côtés de la DGFiP, de la Sécurité sociale, d’Orange (Mobile Connect et moi) et de la Mutualité sociale agricole.
Le groupe postal propose aussi un service « maison » : la mise en place d’une réexpédition du courrier. Elle compte en outre, parmi ses partenaires du secteur privée, BNP Paribas, Boursorama, Enedis et Younited Credit.
Pour valider la saisie de son identifiant, l’utilisateur dispose d’une application mobile (Android 5, iOS 10 et versions ultérieures). Il doit renseigner un code secret à 4 chiffres ou utiliser son empreinte digitale.
Ce mécanisme répond aux exigences du niveau substantiel eIDAS sur la partie « gestion des moyens d’identification électronique ». En l’occurrence :
eIDAS impose aussi, au niveau dit substantiel, des exigences d’audit indépendant ou encore de protection du matériel cryptographique.
Gratifiée de ce niveau de sécurité, La Poste entrevoit divers services pour les particuliers. Notamment les lettres recommandées électroniques, le retrait de colis et un renforcement de la sécurité d’accès à la boîte aux lettres Digiposte.
Elle évoque aussi des usages dans le secteur de la santé : remplir un dossier de préadmission à l’hôpital, donner son consentement aux soins, consulter un dossier médical…
* L’identité est valable 5 ans à partir de son activation sur l’app mobile. On peut la suspendre temporairement à tout moment.
Photo d’illustration © everything possible – Shutterstock.com
Dans un avis consultatif, l'Autorité de la concurrence a identifié les risques concurrentiels liés à…
OpenAI signe un « partenariat de contenu stratégique » avec Time pour accéder au contenu…
Au lendemain du rejet de sa proposition de restructuration, David Layani annonce sa démission du…
Après un an, Hugging Face a revu les fondements de son leaderboard LLM. Quels en…
Mozilla commence à expérimenter divers LLM dans Firefox, en parallèle d'autres initiatives axées sur l'intégration…
VMware met VCF à jour pour y favoriser la migration des déploiements qui, sur le…
