Le gouvernement fait un point sur l'avancement et la fiabilité d'IDéNum
Son projet d'identité numérique centralisée

Le , par Katleen Erna, Expert éminent sénior
Mise à jour du 03.06.2010 par Katleen
Le gouvernement fait un point sur l'avancement et la fiabilité d'IDéNum, son projet d'identité numérique centralisée


Nathalie Kosciusko-Morizet (NKM), notre secrétaire d'État chargée de la Prospective et du Développement de l'économie numérique, a lancé en février 2010 le chantier du projet IDéNum (voir news précédente).

Hier, elle avait réuni les 58 organismes partenaires de l'aventure pour une réunion de point d'étape. Parmi les organismes associés, certains souhaitent pour l'instant rester anonymes et garder leur participation secrète. Pour les autres, la liste comprend : ACSEL, AFNIC, Agorabox, Almetis, Agence nationale de la sécurité des systèmes d’information, AriadNEXT, Association Force Ouvrière Consommateurs, Axway, BMS Exploitation - Moneo, BNP Paribas, BPCE, Caprioli & Associés, Caisse des Dépôts et Consignations, CDC-Fast, Certeurope, Chambre de commerce et d'industrie de Paris, ChamberSign France, Conseil Supérieur du Notariat, Cryptolog, CS Communication et Systèmes, Direction générale de la modernisation de l’Etat, Dhimyotis, Dictao, Fédération Bancaire Française, Fédération Française des Sociétés d'Assurances, Fevad, Gixel, Groupe La Poste, Imprimerie Nationale, Infogreffe GIE, In-Webo Technologies, Issy-Les-Moulineaux, Keynectis, Kwift, La Banque Postale, Lasergroupe, Linagora, Ma-residence.fr, Naxfer - J&S Concept, Neowave, Oberthur Technologies, Ordre des Géomètres-Experts, Conseil Supérieur de l’Ordre des Experts-Comptables, OpenTrust, Primobox Resocom, Sagem - Orga, Sealweb, SFR, Société Générale, Viadeo.

NKM a donc profité de cet évènement pour faire quelques annonces officielles sur l'avancement du projet. Déjà, « le référentiel général de sécurité est paru au Journal Officiel », conformément à l'arrêté du 6 mai 2010. D’autres textes sur « le référencement pour l’administration électronique sont attendus pour l’automne ».

Un cahier des charges est également en cours de rédaction et il sera « soumis aux partenaires pour avis pendant l’été ».

Concrètement enfin, «plusieurs partenaires développent des prototypes et testent actuellement l’interopérabilité de leurs solutions ».

Seulement, le projet IDéNum n'est pas encore bien accueilli par l'opinion publique (de même que par certains membres de notre forum), qui craint que sa sécurisation ne soit pas suffisante et que de graves dérives surviennent. Le secrétariat de l’économie numérique répond à ce propos que « la mobilisation de tous les partenaires IDéNum confirme que ce projet répond aux exigences de sécurisation nécessaires au développement de nouveaux services en ligne ».

Puis de vanter les avantages de ce label qui simplifierait et améliorerait les démarches quotidiennes du citoyen. « Plus de sécurité lors de l’accès à ses comptes administratifs, bancaires, à ses abonnements chez les différents opérateurs, à ses factures en ligne et l’accès à de nouveaux services nécessitant une signature, […] comme pour la souscription de services ou de contrats, les démarches administratives… »

Mais, comme l'ont souligné certains de nos lecteurs, IDéNum impliquerait en contrepartie que l'internaute doive dévoiler la totalité de sa vie numérique, ce qui est pris par beaucoup comme une "perte de libertés".

En tous les cas le gouvernement croit dur comme fer à ce dispositif, puisque l’Agence nationale de la sécurité des systèmes d’information (ANSSI) a validé le cahier des charges du projet.

Et pourtant, la soutien n'est pas unanime puisque sur les 4,5 milliards d’euros attribués à l’industrie numérique par le gouvernement au sein du grand emprunt, aucun crédit n’est accordé à la confiance numérique.

Source : Communiqué de presse

Si le projet est si fiable, sécurisé et prometteur, pourquoi ses partenaires n'ont-ils pas tous souhaité rendre publique leur participation ?

Le gouvernement prévoit la fin des mots de passe sur Internet et lance son projet de certificat électronique : IdéNum

Nathalie Kosciusko-Morizet, La secrétaire d'Etat chargée de la prospective et du développement de l'économie numérique, a présenté lundi premier février un nouveau dispositif numérique souhaité par le gouvernement.

Sous le nom d'IdéNum, nos gouvernants voudraient créer un label garantissant à chaque citoyen français une «identité numérique multi-services».

Comment ce système fonctionnera-t-il ?

Chaque internaute devra placer sur un seul et unique support (clé USB, carte SIM, etc.) ses coordonnées personnelles. Ces données deviendraient alors un "certifict" unique qui serait reconnu par tous les sites publics et privés adhérant au label IdéNum. Ce dispositif rendrait alors obsolètes et inutiles les identifiants et les mots de passe. De plus, il permettra de remplir automatiquement certains formulaires en ligne. Ce système existe déjà depuis quelques années avec le site des impôts, qui permet de télédéclarer sans s'identifier, grâce au téléchargement d'un certificat permettant d'identifier son ordinateur.

Nathalie Kosciusko-Morizet prédit la fin du «cauchemar des 1.001 mots de passe». Son annonce s'est suivie d'une démonstration pendant laquelle il a été expliqué comment souscrire un prêt bancaire, faire des achats ou déclarer ses enfants à la CAF très simplement en surfant sur le net avec son certificat.

«Plus de simplicité, plus de sécurité, plus de services», tel est le credo d'IdéNum selon elle. Quelques vingts groupes différents (dont La Poste, la Fédération bancaire française et la Fédération française des sociétés d'assurance) se sont déjà portés partenaires du projet en s'engageant à y participer activement.

Une première version test d'IdéNum est attendue pour mi-2010. Sa mise en service définitive devrait s'opèrer en 2011.

Les certificats devraient avoir des durées de vie limitées à 3 ou 5 ans et nos élus réfléchisset déjà à des solutions pour éviter des problèmes de confusions d'homonymes, ou de piratage des codes PIN nécéssaires à leur activitation.

A votre avis, quel sera le tarif pour l'utilisation de ce "sésame" ?

IdéNum vous parait-il être une bonne idée ? Pourquoi ?

IdéNum serat-il fiable en matière de sécurité électronique ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de dams78 dams78 - Membre chevronné http://www.developpez.com
le 04/06/2010 à 16:42
Citation Envoyé par Fenn_  Voir le message
Et on sait tous que l'évolution la sécurité est moins rapide que celle des techniques pour casser cette sécu... et aussi qu'on ne se rend compte d'une faille que trop tard.

Heuuuu c'est plutôt le contraire en cryptologie, cf RSA, SSL, etc.
Avatar de Fenn_ Fenn_ - Membre actif http://www.developpez.com
le 04/06/2010 à 17:20
Hum, je me suis mal exprimé, et trop hâtivement. Et j'ai oublié un mot dans le passage que tu cites.
J'ai besoin d'une remise du cerveau en place.


Il était temps que le week-end arrive.
Avatar de valkirys valkirys - Membre expérimenté http://www.developpez.com
le 04/06/2010 à 17:21
Citation Envoyé par unBonGars  Voir le message
Par contre, que quelques militaires accessibles au téléphone puissent enqueter en temps réel sur des attaques massives (déni de service, saturation, ...) , cela me semble la moindre des choses. Les attaques qu'a subi google de la Chine le prouvent. Google s'est d'ailleurs immédiatement tourné ers le département d'état (ministère de défense) américain et c'est la seule chose qu'l faut vraiment faire

Encore faut il que notre armée soit en mesure de recevoir de telles requetes et capable de les traiter très vite (quelques heures maximum)

Mais l'état n'est pas compétent (dans tous les sens du terme) pour faire autorité sur les procédures de sécurité sur le réseau. La france n'a pas d'industrie du logiciel, presque tous les grands éditeurs sont américains ou scandinaves, et ils sont les seuls à pouvoir publier les patches.

D'où la nécessité de passer au logiciel libre et de former des développeurs pour pouvoir patcher rapidement...
Avatar de icefaces icefaces - Candidat au Club http://www.developpez.com
le 04/06/2010 à 20:45
je m'amuse toujours du retard que vous avez par rapport à vos voisins : http://www.suisseid.ch/index.html?lang=fr déjà intégrable ....
Avatar de - http://www.developpez.com
le 06/06/2010 à 1:20
Ok mon pays la Suisse le fait. Par expérience, on ne fait rien par hasard en Suisse.
Je ne peux pas m'empêcher de trouver cette question moins urgente que d'autres mais si le monde s'organise dans ce sens , je m'incline. Il est sage de pouvoir garantir son identité ..

Ce sera la fin de l'anonymat et aussi de fraudes. Tant mieux si ça marche. Quelque chose me dit qu'on devra encore saisir un code secret sur de nombreux sites ..
Avatar de valkirys valkirys - Membre expérimenté http://www.developpez.com
le 06/06/2010 à 20:06
Citation Envoyé par unBonGars  Voir le message
Il est sage de pouvoir garantir son identité ..
Ce sera la fin de l'anonymat et aussi de fraudes. Tant mieux si ça marche. Quelque chose me dit qu'on devra encore saisir un code secret sur de nombreux sites ..

Faudrait déjà être sur d'empêcher la fraude...
Je pense plutôt au contraire.
Avatar de arflam arflam - Membre du Club http://www.developpez.com
le 09/06/2010 à 3:10
Citation Envoyé par Katleen Erna  Voir le message
Mise à jour du 03.06.2010 par Katleen
Le gouvernement fait un point sur l'avancement et la fiabilité d'IDéNum, son projet d'identité numérique centralisée


Nathalie Kosciusko-Morizet (NKM), notre secrétaire d'État chargée de la Prospective et du Développement de l'économie numérique, a lancé en février 2010 le chantier du projet IDéNum (voir news précédente). ...

Il est clair qu'a terme, connaissant un peu le milieu politique et la mentalité de la miss, ça se rendra obligatoire facilement et en douceur si suffisamment de gens l'utilisent au point de passer un seuil critique.

Autant je comprend que des gens galèrent pour gérer leurs mots de pass, autant cette seule perspective m'est rédhibitoire.

Personnellement j'utilise Keepass depuis 10 ans j'ai plus de 300 mots de passe différents, je n'en connais pas le cinquième. Je sauvegarde la base en ligne, elle est accessible du monde entier. ça marche très bien.

http://www.keepass.info/
sur sourceforge
Avatar de arflam arflam - Membre du Club http://www.developpez.com
le 09/06/2010 à 3:17
Citation Envoyé par unBonGars  Voir le message
Ok mon pays la Suisse le fait. Par expérience, on ne fait rien par hasard en Suisse.
Je ne peux pas m'empêcher de trouver cette question moins urgente que d'autres mais si le monde s'organise dans ce sens , je m'incline. Il est sage de pouvoir garantir son identité ..

Ce sera la fin de l'anonymat et aussi de fraudes. Tant mieux si ça marche. Quelque chose me dit qu'on devra encore saisir un code secret sur de nombreux sites ..

oui mais en suisse

1 - vous avez des hommes politiques qui bossent au lieu de faire les fanfarons en prétendant sauver le monde.

2 - vous avez une vraie démocratie et les moyens de dire m... à un politicien trop entreprenant. La france elle, est une monarchie.

3 - l'initiative référendaire vous permet de revenir sur un texte dévoyé. En France un mauvais texte est adopté pour 1000 ans dé lors qu'il sert l'avantage d'une clique X ou Y.
Avatar de Chauve souris Chauve souris - Membre chevronné http://www.developpez.com
le 09/06/2010 à 10:52
Sous couvert de "simplification administrative" (Z'avez remarqué ? Plus ça se complique plus on nous dit que ça va se simplifier, c'est comme les supermarchés où tout augmente et qui "baissent les prix" depuis tellement de temps qu'on s'étonne qu'on nous file pas du fric quand on achète quelque chose ) on veut nous faire passer un code d'identification unique livré dans les pattes du gouvernement.

Juste une petite question fondamentale : avons-nous confiance dans ce gouvernement (ou ceux qui l'ont précédé et qui sont du même tonneau) ? Rappelons quand même que quand le peuple a répondu NON à la constitution européenne, l'UMPS a refait passer le truc sans l'avis du peuple. Et puis, l'euro, les retraites, les mesures de rigueur, etc. c'est pour le bien des gens peut-être ? Moi je n'entends parler que de "rassurer les marchés financiers".

Bon, c'est clair, nous avons un ramassis d'incapables (la carte Vitale qui n'a même pas de password, dont on peut demander autant d'exemplaires que l'on veut, tous actifs. Chose absolument impossible avec une carte téléphonique) et de malfaisants (appauvrissement permanent du peuple et enrichissement non moins permanent d'une poignée de privilégiés). Donc la "confiance", je ne la leur vote pas

Internet les rend malades. C'est devenu un média incontournable mais c'est aussi pour le peuple et par le peuple alors qu'ils auraient voulu un Minitel couleur, juste pour faire ses courses sur la Déroute-en-ligne.com. Alors ils avancent des mesures inapplicables, des lois Hadopi, des projets de traçages divers (il était même question d'imposer un rootkit gouvernemental sur les PC connectés à Internet). Heureusement qu'ils sont stupides (jusque là, du moins)
Avatar de IlexAquifolium IlexAquifolium - Nouveau Candidat au Club http://www.developpez.com
le 09/06/2010 à 14:48
Je trouve équitable que si un individu a une clef de sécurité alors le partenaire (public) doit en avoir une aussi. L'État ferait bien de commencer par doter les organismes susceptibles de demander une authentification de la part des particulier d'un système de sécurité au moins aussi élevé que celui demandé au citoyen.
Avatar de Freem Freem - Membre émérite http://www.developpez.com
le 09/06/2010 à 23:35
Avant de commencer à nous pondre des moyens de "sécurité" qu'ils "inventent" du néant, je me demande pourquoi tout simplement ils ne veulent pas utiliser les systèmes de clés privée/clés publique?
Je ne m'y connaîs pas trop en sécurité (il faut bien l'admettre) mais il me semble que ce type de système soit très difficile à casser et pourrait être plus adapté.

Sur wikipédia (http://fr.wikipedia.org/wiki/Clé_privée) ils expliquent comment utiliser ce principe pour permettre l'authentification en plus de la sécurisation, et je pense que même nos zouaves politiciens devraient être capable de lire (et accessoirement comprendre) ceci:

Mécanismes d'authentification [modifier]

Un inconvénient majeur de l'utilisation des mécanismes de chiffrement asymétriques est le fait que la clé publique est distribuée à toutes les personnes : Bob, Carole, … souhaitant échanger des données de façon confidentielle. De ce fait, lorsque la personne possédant la clé privée, Alice, déchiffre les données chiffrées, elle n'a aucun moyen de vérifier avec certitude la provenance de ces données (Bob, ou Carole …) : on parle de problèmes d'authentification. Afin de résoudre ce problème, on utilise des mécanismes d'authentification permettant de garantir la provenance des informations chiffrées. Ces mécanismes sont eux aussi fondés sur le chiffrement asymétrique.

Principe d'authentification par chiffrement asymétrique :

Objectif : Bob souhaite envoyer des données chiffrées à Alice en lui garantissant qu'il en est l'expéditeur.
Bob crée une paire de clés asymétriques : il conserve la clé privée et diffuse librement la clé publique (notamment à Alice)
Alice crée une paire de clés asymétriques : clé privée (qu'elle conserve), clé publique (qu'elle diffuse librement, notamment à Bob)
Bob effectue un condensat de son message « en clair » puis chiffre ce condensat avec sa propre clé privée
Bob chiffre son message avec la clé publique d'Alice.
Bob envoie le message chiffré accompagné du condensat chiffré.
Alice reçoit le message chiffré de Bob, accompagné du condensat.
Alice déchiffre le message avec sa propre clé privée. À ce stade le message est lisible mais elle ne peut pas être sûre que Bob en est l'expéditeur.
Alice déchiffre le condensat avec la clé publique de Bob. Alice utilise la même fonction de hachage sur le texte en clair et compare avec le condensat déchiffré de Bob. Si les deux condensats correspondent, alors Alice peut avoir la certitude que Bob est l'expéditeur. Dans le cas contraire, on peut présumer qu'une personne malveillante a tenté d'envoyer un message à Alice en se faisant passer pour Bob !

Cette méthode d'authentification utilise la spécificité des paires de clés asymétriques : si l'on chiffre un message en utilisant la clé publique, alors on peut déchiffrer le message en utilisant la clé privée ; l'inverse est aussi possible : si l'on chiffre en utilisant la clé privée alors on peut déchiffrer en utilisant la clé publique.

Du coup on a plus "1001" mots de passe, juste 2, et encore, l'un peut être diffusé par l'organisme en question sur leur site...
Mais bien entendu, la aussi, si la clé publique de Mme Michu est sa date de naissance.... pas la peine d'insister pour se faire passer pour elle.
Qui plus est, ça permettrait un peu plus d'équité et surtout de confiance en l'autre interlocuteur (Je suis d'accord avec IlexAquifolium que ce point est important... En plus, ça éviterait nombre de victimes du phishing il me semble?) puisqu'ils auraient également une clé publique. (Resterai plus qu'à ce qu'ils envoient/proposent à l'upload un message aléatoire crypté avec les 2 clés généré à l'actualisation de la page, un peu comme les captcha mais en fichier à dl pour être sûr qu'on parle bien à l'organisme souhaité)

Parce que la clé USB... c'est vite volé. Et vite copié aussi, à moins que les gens qui touchent le SMIC voire moins estiment qu'il s'agit d'un investissement judicieux que d'acheter une de ces clés qui marchent avec les empreintes digitales o_O

Au final, c'est toujours le discours sécuritaire pour nous piquer notre pognon...
Si ça passe et qu'on finit par nous imposer l'usage de cet outil, pourquoi ne pas mettre des "sites radars routiers" pour choper les contrevenants et leur coller une prune, agrémenté d'un retrait de point sur le permis de surfer...

J'ai peur...

[edit]
J'oublais... J'ai aussi peur d'être sur-tracé sur le net également. Déjà dans la rue, on peut être filmé "pour notre sécurité", je sais que sur le net on n'est pas anonymes du tout, mais ajouter un moyen de contrôles aux nombreux déjà existants m'inquiète réellement.
Offres d'emploi IT
développeur Asp.net MVC - H/F
EASY PARTNER - Ile de France - Courbevoie
Chef de projet technico-fonctionnel SAP SD/MM en CDI
R&B STRATEGY - Pays de la Loire - Laval (53000)
Développeur Web Fullstack H/F - Nancy
Yupeek - Lorraine - Nancy

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil