Identité numérique : l’Anssi adoube La Poste

Clément Bohic,
anssi-la-poste-identite-numerique

L’Anssi déclare le service « L’Identité Numérique » de La Poste conforme au niveau de sécurité « substantiel » du règlement européen eIDAS.

Comment l’Anssi a-t-elle évalué « L’Identité Numérique » de La Poste ?

L’agence ne fournit aucun détail sur sa démarche. Toujours est-il qu’elle a, cette semaine, déclaré le service conforme aux exigences du niveau de garantie « substantiel » inscrit à l’eIDAS.

Ce règlement européen du 23 juillet 2014 instaure un cadre européen en matière d’identification électronique et de services de confiance.

Le texte établit trois niveaux de sécurité (faible, substantiel, élevé) attribuables aux services d’identification électronique.

Un règlement d’exécution du 8 septembre 2015 fixe les spécifications techniques et les procédures minimales relatives à ces niveaux de garantie.

Quatre éléments sont pris en compte :

  • inscription au service
  • gestion des moyens d’identification électronique
  • authentification
  • gestion et organisation du service

Au-delà du déclaratif

Sur le volet inscription, le niveau substantiel exige d’une personne physique qu’elle présente un pièce d’identité qui « semble se rapporter à elle » au cours d’un processus d’enregistrement « dans l’État membre où la pièce d’identité a été délivrée ». Des mesures doivent par ailleurs être prises pour « minimiser le risque que l’identité de la personne ne soit pas l’identité alléguée ».

La Poste répond à cette exigence à travers une vérification des pièces d’identité (passeport, carte d’identité ou titre de séjour supérieur à 5 ans) en face à face. La démarche s’effectue à domicile ou en bureau de poste (370 bureaux participants).

creation-identite-numerique

Une fois la vérification effectuée, l’utilisateur obtient un identifiant* pour se connecter sur « des centaines » de services en ligne. Il s’agit essentiellement de services d’organismes publics, accessibles pour la plupart à travers le portail FranceConnect.

La Poste est l’un des fournisseurs d’identité approuvés de FranceConnect, aux côtés de la DGFiP, de la Sécurité sociale, d’Orange (Mobile Connect et moi) et de la Mutualité sociale agricole.

franceconnect-fonctionnement

Le groupe postal propose aussi un service « maison » : la mise en place d’une réexpédition du courrier. Elle compte en outre, parmi ses partenaires du secteur privée, BNP Paribas, Boursorama, Enedis et Younited Credit.

Double authentification

Pour valider la saisie de son identifiant, l’utilisateur dispose d’une application mobile (Android 5, iOS 10 et versions ultérieures). Il doit renseigner un code secret à 4 chiffres ou utiliser son empreinte digitale.

Ce mécanisme répond aux exigences du niveau substantiel eIDAS sur la partie « gestion des moyens d’identification électronique ». En l’occurrence :

  • utiliser au moins deux facteurs d’authentification de différentes catégories ;
  • faire en sorte qu’on puisse présumer de l’usage du moyen d’identification uniquement sous le contrôle ou en la possession de la personne à qui il appartient.

eIDAS impose aussi, au niveau dit substantiel, des exigences d’audit indépendant ou encore de protection du matériel cryptographique.

Gratifiée de ce niveau de sécurité, La Poste entrevoit divers services pour les particuliers. Notamment les lettres recommandées électroniques, le retrait de colis et un renforcement de la sécurité d’accès à la boîte aux lettres Digiposte.

Elle évoque aussi des usages dans le secteur de la santé : remplir un dossier de préadmission à l’hôpital, donner son consentement aux soins, consulter un dossier médical…

* L’identité est valable 5 ans à partir de son activation sur l’app mobile. On peut la suspendre temporairement à tout moment.

Photo d’illustration © everything possible – Shutterstock.com