Test France Identité : l’application prouve-t-elle son utilité au quotidien ?
Prouver son identité avec son smartphone est désormais possible grâce à France Identity. Quelles fonctionnalités offre l’application gouvernementale ? Pouvez-vous enfin laisser votre carte d’identité et votre permis à la maison ? Après avoir détaillé la création de mon identité numérique dans un précédent article, voici ce que donne l’application au quotidien.
Une application sous haute protection
Avant de profiter des fonctionnalités de France Identity, quelques mots sur l’application elle-même. C’est bien fait : son interface est simple, sa navigation intuitive et le souci du détail est présent, comme en témoignent le retour haptique lors de la saisie du code personnel et le mode sombre automatique. Ce traitement pourrait être considéré comme une chose normale, mais la terrible application de la carte Vitale (encore en version bêta) prouve qu’il ne fait pas partie des priorités de tout le monde.
Les applications iOS et Android sont développées par le groupe Atos et utilisent les technologies natives de chaque plateforme. « Comme nous devons travailler avec les couches inférieures des téléphones, comme le NFC, nous avons choisi des technologies natives pour parfaitement contrôler les choses et bénéficier des meilleures performances »avait expliqué à iGénération un cadre de l’équipe France Identité en 2022, au début du bêta test.
L’application présente néanmoins des lacunes sur un point : elle ne respecte que partiellement les normes d’accessibilité. Sur iOS, le lecteur d’écran VoiceOver est bien supporté… sauf sur le pavé numérique qui sert à composer votre code personnel, un pavé numérique dont l’ordre des chiffres change à chaque fois pour des raisons de sécurité. Cependant, la saisie du code est indispensable pour la plupart des fonctionnalités. Autrement dit, les personnes aveugles ou malvoyantes ne peuvent pas utiliser France Identity. Bien que ce problème découle de la complexité technique de la sécurité, il reste inexcusable.
Concernant la sécurité et la confidentialité, l’ensemble du dispositif France Identity vise à respecter la vie privée en laissant les données personnelles localement, sur le smartphone, et en minimisant les traitements indispensables sur un serveur dédié, en l’occurrence le serveur du Service de Garantie d’Identité Numérique (SGIN).
Pour des raisons de traçabilité, les principales actions de l’application (création de preuve, import d’un nouveau titre, etc.) sont enregistrées sur ce serveur. Mais l’authentification en tant que telle s’effectue exclusivement localement, entre le smartphone et la puce CNIe NFC, ce qui est décrit par les instigateurs du projet comme un « architecture décentralisée ». Si ces grands principes de protection des données sont rassurants, il faut veiller à ce qu’ils le restent dans le temps.
L’application a été auditée par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), qui a délivré une certification de sécurité au niveau de garantie « élevé » selon la norme européenne eIDAS. C’est la première identité numérique à obtenir une telle certification en France. En comparaison, l’Identité Numérique de La Poste, qui sert notamment à exercer ses droits sur le site Mon Compte Formation, dispose du niveau de garantie « substantiel » qui se situe un cran en dessous.
Cette certification ANSSI est l’une des raisons pour lesquelles le gouvernement a choisi de développer sa propre application plutôt que de permettre aux Français de glisser leurs papiers dans Apple Cartes : c’est un gage de confiance important alors que le portefeuille d’Apple est une boîte noire. Une autre raison cruciale est le désir de souveraineté nationale sur les documents d’identité.
Loin de s’offusquer de ce choix, Apple a joué un rôle important dans le développement de France Identity. La Pomme a travaillé en étroite collaboration avec l’équipe dédiée sur l’aspect technique du projet. Le directeur des affaires réglementaires d’Apple en France s’en est également félicité « efforts conjugués » au moment du lancement officiel de l’application.
Pour en revenir à la sécurité, le code source de l’application doit être rendu public prochainement et un prime aux bogues a été mis en place pour encourager les chercheurs en sécurité à signaler les vulnérabilités potentielles au gouvernement plutôt qu’aux pirates informatiques infâmes. Le risque zéro n’existe pas en informatique, mais la certification ANSSI et prime aux bogues montrent que la sécurité de France Identité est prise au sérieux.