Journal L'Identité Numérique de la Poste, mal sécurisée mais au moins elle ne marche pas

Posté par  . Licence CC By‑SA.
Étiquettes :
39
19
juil.
2024

J'avais une démarche à faire auprès de l'INPI. Je me suis gaîment connecté au Guichet Unique à l'aide de FranceConnect, j'ai rempli le bon formulaire, j'ai joint une copie de ma carte d'identité… et là, j'ai été informé que pour signer le formulaire, il fallait que je me reconnecte à l'aide de FranceConnect Plus.

Il s'est rapidement avéré que pour me connecter avec FranceConnect Plus, il me fallait l'application Identité Numérique de la Poste sur mon smartphone. Bien sûr, cette application n'est installable que depuis le Google Play Store; or, mon smartphone tourne sous LineageOS, et n'y a donc pas accès. Après deux jours au téléphone avec les dames très gentilles du service client de l'INPI (« Je suis d'accord avec vous, nous aussi on aimerait pouvoir vous proposer de passer chez nous pour signer »), j'ai déterré un vieux smartphone sous Android 6 (même pas chiffré!), je l'ai reinitialisé, j'ai ouvert un compte Google, je suis passé à mon bureau de poste (la dame m'a fait comprendre qu'elle ne savait pas faire), je suis repassé au bureau de poste le lendemain (la dame s'était formée entre temps), j'ai installé l'application, j'ai choisi un code secret de 4 chiffres (!), j'ai « activé mon identité », et j'ai essayé de me connecter au Guichet Unique. Qui m'a répondu Erreur de connexion.

Pour me consoler un peu de cet échec, je suis allé lire les commentaires à propos de l'application sur le Play Store. J'ai trouvé le commentaire suivant (11 mars 2024) :

Bonjour Bruno, L'Identité Numérique La Poste est la 1ère identité électronique attestée conforme au niveau de garantie substantiel par l’ANSSI.

Un peu surpris, j'ai appelé un spécialiste. Il m'a répondu :

C'est la Poste qui ment […] Leur application a été qualifiée seulement au niveau "élémentaire" du Référentiel Général de Sécurité (RGS), avec un niveau de recommandation "moderate" et pour seulement 9 mois (jusqu'à fin septembre 2024).

Je suis allé voir la FAQ de l'ANSSI:

Modéré : Produits et services dont l'utilisation est acceptable s'ils sont déjà déployés mais dont l'acquisition et l'utilisation ne sont pas recommandées pour de nouveaux projets.

L'Identité Numérique de la Poste? Une application officiellement certifiée merdique, mais c'est pas grave, car de toute façon elle ne marche pas.

  • # Gee

    Posté par  (site web personnel, Mastodon) . Évalué à 10.

    Sur ce service, rappelons aussi cette excellente BD.

    • [^] # Re: Gee

      Posté par  (site web personnel) . Évalué à 5.

      le bon lien intégrant la sémantique1 : une excellente BD sur FranceConnect+ ou GafamConnect+ ?

      1. simplement rajouter du sens avant tout, indiquer ce sur quoi tu vas tomber en cliquant sur un lien, qui permet de comprendre à l'avance sur l'illustration proposée (toi tu la connais, tu l'as vue, pas celui qui doit cliquer sur ton lien ; moi je ne clique pas) 

  • # mais au moins elle ne marche pas

    Posté par  (site web personnel) . Évalué à 2. Dernière modification le 19 juillet 2024 à 19:14.

    bin, elle n'a pas de jambes ! :D

    mais oui, au moins l'ANSSI est réaliste (et devrait être plus souvent suivie)
    Cela devrait valoir dans le public et mérite d'être suivi dans le privé… j'ai pas mal d'exemples, souvent une seule réponse : c'est compliqué o_O

    • [^] # L'ANSSI est réaliste ?

      Posté par  . Évalué à 3.

      mais oui, au moins l'ANSSI est réaliste

      Dans ce cas précis, je pense que c'est discutable. L'application a obtenu sa certification, et cela alors même que :

      • elle accepte de s'installer sur un système Android 6 qui n'est plus supporté depuis des années ;
      • elle accepte de s'installer sur un système dont la flash n'est pas chiffrée ;
      • elle est protégée par un code numérique de 4 chiffres, et pas par une passphrase forte.

      J'imagine que la certification a été faite sur des principes généraux (protocoles cryptographiques utilisés, procédure de vérification d'identité) et que personne n'a jamais regardé l'application elle-même.

      • [^] # Re: L'ANSSI est réaliste ?

        Posté par  (site web personnel) . Évalué à 2.

        Dans ce cas précis, je pense que c'est discutable. L'application a obtenu sa certification

        c'est un travail amont qui permet d'obtenir certification : le comité valide simplement d'aller plus avant pour prouver que les travaux démontrent ce qu'ils avancent, tomber en prod' en fait partie (et du risque évalué en amont)

        personne n'a jamais regardé l'application elle-même.

        ce n'est pas du ressort de l'ANSSI :/ mais des RSI ou RSSI (et j'en connais qui le font)
        pour autant, ceux qui ont regardé ont systématiquement rejeté les 1ères versions (login voire mot de passe embarqué dans l'appli, trivial), les suivantes étaient à peine mieux

        Bin appli sur mobile, validation 2FA requise, sur le même appareil, via navigateur web, via autre appli ? o_O ça date de 2010 cette analyse… (voire avant)

  • # Guichet unique de l'INPI

    Posté par  . Évalué à 2.

    J'ai fait des démarches chez eux en début d'année … mais je ne suis pas passé par FranceConnect, j'ai directement fait un compte sur la plateforme. Je n'ai pas eu besoin de FranceConnect+ pour signer mes documents, tout a très bien marché comme on pourrait s'y attendre, et le tout depuis chez moi.

    Comme quoi, y a toujours une alternative.

    Emacs le fait depuis 30 ans.

    • [^] # Re: Guichet unique de l'INPI

      Posté par  . Évalué à 4.

      Je n'ai pas eu besoin de FranceConnect+

      Ça dépend des démarches. Tu peux faire une ouverture avec un compte de l'INPI, mais pour un changement d'adresse ou une fermeture d'activité, il te faut FranceConnect Plus.

      (Quand j'écris que j'ai passé deux jours au téléphone avec le service clients, ce n'est pas une figure de style.)

  • # France Identité

    Posté par  . Évalué à 6. Dernière modification le 20 juillet 2024 à 15:15.

    Depuis le 12 juillet, FranceConnect+ est également obligatoire sur MaPrim'Rénov.

    Mais il y a une alternative (spoiler, c'est à peine mieux) : France Identité
    Il faut :
    - Avoir un smartphone Android ou iOS
    - Avoir une carte d'identité avec NFC (la mienne ne l'a pas, et est valable encore 10 ans)
    - Aller en mairie. Certaines mairies ne sont pas équipées ou formées.

    Voilàààà. Bon, sur MaPrim'Rénov, j'ai pu me faire envoyer un code à 6 chiffres par courrier. Et ils vont me demander un code 2FA envoyé par email à chaque connexion au service.

    Sinon : yavait les passkeys. C'est dommage, c'était pratique.

  • # Le titre de ce journal

    Posté par  (site web personnel) . Évalué à 6.

    Quel régal, merci pour le sourire

  • # Niveau de garantie != niveau de recommandation

    Posté par  (site web personnel) . Évalué à 6.

    Sur la page de l'ANSSI, on voit que l'ANSSI distingue le niveau de garantie et le niveau de recommandation.

    L'Identité Numérique de La Poste au niveau de garantie substantiel et un niveau de recommandation modéré.

    https://cyber.gouv.fr/produits-services-qualifies/identite-numerique-la-poste

    Le niveau de compréhension de ce merdier doit être nul ?

    Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

  • # Identité Numérique, GafamConnect+, même combat, rejet définitif

    Posté par  . Évalué à 5.

    personnellement, en ayant raz le bol de l'invasion identitéNumérique/ConnectGafam+ exigeant iChose/android, à l'exception des impots, j'ai décidé de tout repasser au papier.

    jamais ils ne m'imposeront d'appli sur mobile, jamais.
    j'ai pas d'iphone, pas d'android-*, et n'en possèderai jamais pour leurs beaux yeux.

    le divorce avec les gafam, google en tête, a été à couteaux tirés mais très bénéfique.
    hors de question d'avoir les rênes de ma vie numérique tenue par les gafam, ils sont exclus à vie.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.