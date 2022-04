Destiné aux envois de fichiers volumineux impliquant des agents de l’État, France transfert est officiellement lancé. Qu’en retenir en front et en back-office ?

Est-on en train de réinventer le service FileSender du RENATER ? La question se pose à l’heure où la DINUM met en lumière France transfert*. Plus précisément, elle vient d’en annoncer le lancement officiel (version 3.3.1).

Qui est à l'origine de France transfert ?

À la racine, il y a deux appels à projets conduits en 2019. Le but : améliorer les conditions de travail des agents de l'État. À l'issue de la phase de prototypage, il fut convenu d'une offre de services interministériels à quatre composantes. En l'occurrence, webconférence publique, messagerie instantanée (Tchap), espace collaboratif (Osmose)... et outil de transfert de fichiers volumineux (France Transfert).

Les travaux sur ce dernier avaient, nous affirme-t-on, véritablement démarré en juillet 2020. Le moteur : un besoin des directions générales des affaires culturelles. Son objet : le partage de documents volumineux avec les interlocuteurs externes.

Depuis lors, France Transfert a remplacé d'autres outils dans certaines procédures. Parmi eux, l'application Colimatic, en usage au ministère de l'Europe et des Affaires étrangères. On le retrouve aussi dans des démarches régionales, comme en Normandie, pour les demandes d'extraction de registre parcellaire graphique. Ou encore pour la transmission de candidatures dans le cadre des programmes de coopération décentralisée « Clés en main » 2022-2024.

Combien ça coûte ?

Le 15 septembre 2020, la DINUM déléguait officiellement au ministère de la Culture le développement interministériel de France transfert. L'objectif était alors de le mettre en production pour fin 2020. Les conditions étaient les suivantes :

Le projet s'étant poursuivi au-delà du délai initialement escompté, il a bénéficie d'autres financements. Notamment en tant que lauréat France Relance dans le cadre du guichet « Développer des outils de communication et de collaboration pour les agents ».

Qui peut utiliser France transfert ?

La réponse est dans la description du service : « France transfert permet d'envoyer des fichiers volumineux non sensibles de manière sécurisée à un agent de l'État ou entre agents ». Pas encore, donc, pour les fonctions publiques hospitalière et territoriale.

Pour transmettre un fichier, deux possibilités : par mail ou par l'intermédiaire d'un lien public. Cette dernière option est réservée aux agents de l'État. Qui l'utiliseront avec parcimonie : une fois le lien transmis, l'expéditeur ne peut plus contrôler le téléchargement des fichiers.

En l'état, deux limites à retenir :

- 2 Go par fichier (« Une version ultérieure permettra d'augmenter significativement cette taille. »)

- 20 Go au total

C'est sécurisé ?

France transfert a fait l'objet, début 2021, d'une étude de sécurité EBIOS RM et d'un test d'intrusion. En octobre dernier, il a subi un audit de code et de configuration. Puis, en décembre, il a obtenu l'homologation de sécurité (RGS).

Les éléments envoyés font l'objet d'une analyse antivirale. Il n'est pas formellement interdit de transmettre des données sensibles et/ou à caractère personnel, mais on prendra soin de les chiffrer au préalable. « Via un conteneur Zed par exemple », suggère le Gouvernement.

La technologie en question - ZED!, de PRIM'X Technologies - permet de fabriquer des conteneurs de fichiers chiffrés. Destinés soit à l'archivage, soit à l'échange, par mail sur des réseaux publics ou sur support physique. Seule la version complète (payante) permet de créer des conteneurs. La gratuite permet d'en lire et d'en modifier. L'outil s'appuie sur des clés soit sous forme de mots de passe, soit sous forme de certificats RSA. Il bénéficie de la qualification ANSSI niveau standard.

C'est... vraiment sécurisé ?

Pour éviter qu'un particulier « emprunte » le mail d'un agent de l'État, France transfert envoie à l'expéditeur un courriel de confirmation. Il contient un code, à saisir au moment de l'ajout des fichiers à transférer. Validité : 10 minutes. « Par la suite, si vous vous êtes préalablement connecté et que vous décidez de renvoyer un autre pli moins de 30 minutes après le précédent [...], on ne vous demandera pas un nouveau code de confirmation ».

On peut tout à fait décider de ne pas se connecter, mais il faut alors saisir un code à chaque envoi de pli.

Passé la vérification antivirale, l'expéditeur reçoit un mail de confirmation avec le mot de passe associé au pli. Le destinataire reçoit le lien de téléchargement dans un mail et le mot de passe dans l'autre.

Sur la page d'administration du pli, l'expéditeur peut ajouter ou supprimer des destinataires. Ainsi que supprimer le pli. À défaut d'une date d'expiration, les fichiers sont détruits au bout de 30 jours. Pas de suppression automatique, néanmoins, lorsque tous les destinataires ont téléchargé. Motif : ils pourraient avoir besoin de télécharger à nouveau.

Chaque destinataire peut télécharger jusqu'à 5 fois un pli. Et dispose d'autant de tentatives de saisie du mot de passe.

Certaines extensions potentiellement dangereuses sont interdites : bat, cmd, exe, js, msi, reg, tmp...

Qui est en back-office ?

Le service est une web app Angular / Angular Material UI. On doit son développement à une filiale du groupe Act-On. Outscale assure son hébergement. Le ministère de la Culture est responsable des traitements sur les données personnelles collectées.

Le code source de #FranceTransfert sera publié d'ici à l'été 2022 ! — DINUM (@_DINUM) April 13, 2022

Accessibilité : 30 % des critères non respectés

Au 26 novembre 2021 (date de sa déclaration de conformité RGAA), France transfert ne respectait pas environ un tiers des critères. Parmi eux :

- Des textes au ratio de contraste insuffisant avec leur arrière-plan

- Certains composants JavaScript non compatibles avec les technologies d'assistance

- Une partie du contenu non disponible en fenêtre réduite

- Pas de liens d'accès rapide

* On prendra garde de ne pas faire la confusion avec le portail France Transfert Technologie (F2T), qui rassemble l'offre technologique de la recherche publique en France.

