OIDC et France Connect / Identité

Café du commerce
1

Bonjour (miaou) tout le monde,

Mon premier post ici, je suis les chatons silencieusement depuis quelque temps, et j’envisage de rejoindre les CHATONS car j’aurai peut être des services à proposer.

Mais pour l’heure je voudrais revenir sur les discussions à propos de plate-formes d’authentification et d’identité comme OIDC (OpenID Connect). Jusqu’ici je n’ai trouvé que Authentification unique pour les outils des CHATONS.

La première idée est un service d’authentification utilisable pour l’ensemble des chatons.
Donc, première question : existe-t-il un service chaton OIDC déjà actif ou en projet en voie d’aboutissement ?

Mais en fait, cela va bien au-delà du collectif d’enthousiastes technophiles. De ce que je comprends, France Connect, France Identité et les standards de l’UE utilisent le standard OIDC, donc ouvert et décentralisé pour l’identification et l’authentification. Jusque là, tout va bien… sauf qu’on doit utiliser les applications des fournisseurs d’identité et qu’il semble impossible de continuer sans se soumettre aux services Google ou Apple. Pas terrible pour des services d’intérêt national qui s’appuient sur des technologies ouvertes.

Donc, deuxième question : existe-t-il un service OIDC pour France Connect qui soit libre, déjà actif ou en projet ?

Si non, en théorie devenir fournisseur d’identité France Connect est possible (Devenir fournisseur d'identité - FranceConnect), et existe des plate-formes OIDC libres (Zitadel, Krakos, Canaille, Authentik…), la partie technique ne me semble donc pas insurmontable.

Donc, troisième question : est-ce qu’il est envisageable de créer un tel service en vue de devenir fournisseur d’identité France Connect ou France Identité ? En collaboration avec Framasoft ou une autre structure de ce style ?

Ce forum n’est peut-être pas le meilleur endroit pour discuter d’un tel sujet… Des suggestions pour un medium plus approprié ?

1 « J'aime »
2

Bonjour, merci pour ton message !
4. Pour moi, c’est le bon endroit pour en discuter :slight_smile:

1. Il n’y a pas à l’heure actuelle de projet de service OIDC central à tous les CHATONS.

2. Pas à ma connaissance ! Ptet qu’en aidant un projet comme Public Money, Public Code on arrivera à obtenir le code de nos services publics !

3. Est-ce que tu pourrais développer, pourquoi à ton avis ce serait une bonne chose et comment ce serait possible de devenir un fournisseur d’identité pour France Connect ?
De ce que j’en comprends, un fournisseur d’identité France Connect atteste de l’État Civil d’une personne physique. Il faut donc les moyens de prouver que telle identité numérique est bien liée à telle Carte Nationale d’Identité / tel Numéro de Sécurité Sociale.
Moi ça me botte pas trop de faire un « outil de contrôle d’identité libre et associatif ». Je préfère laisser cette tâche à l’État, puisqu’il existe :sweat_smile:

3

Dans ton 1., est-ce que tu cherches :

  • un OIDC pour les services de chatons.org, comme dans le lien que tu as indiqué,
  • ou d’un OIDC pour l’ensemble des services de tous les CHATONS ?

Il me semble que la 2e option a aussi été discutée quelque part sur ce forum, mais où…

À titre perso, je suis pas trop pour cette 2e option :

  • Ce collectif regroupe des structures, infrastructures et services très hétéroclites, l’existant est énorme. La tâche de migration serait gargantuesque.
  • Il y a des services qui ne permettent pas d’avoir à la fois une connexion « locale » et une connexion via fournisseur OIDC
  • Un fournisseur OIDC central… centralise. Ce qui va à l’opposé de nos ambitions !

Ceci dit, je pense qu’il y a plein de trucs à trouver pour renforcer les liens techniques entre les CHATONS :slight_smile:

4

Merci pour ce retour.

J’ai l’impression que beaucoup de projets (je viens de Matrix) implémentent cette solution: les services peuvent proposer plusieurs moyens aux utilisateurs de se connecter: en local ou avec un fournisseur d’authentification de leur choix.
Pour les chatons ce service serait complètement optionnel, sans migration autre que ajouter des petits bouts de configuration pour les services qui veulent.

Dans le fond je pense qu’il y a un débat important sur l’identité numérique, qui mériterait d’être développé et discuté longuement. Mais en général, les outils numériques transforment la société qu’on le veuille ou non, et laisser les big tech à la manœuvre ne me plaît pas trop (sinon je ne serais pas ici :grin:). En réfléchissant, cela ouvre en fait des perspectives positives et très intéressantes, comme la participation citoyenne à des processus démocratiques nouveaux.

Aujourd’hui on a la chance qu’un protocole ouvert ait été choisi en France et dans l’UE. Respectant le principe de fournisseurs d’identité indépendants, l’état donne la possibilité à des organismes de devenir fournisseur d’identité: publics, privés, alors pourquoi pas associatifs, coopératifs?

Les sites France Connect et France Identité donnent des spécifications techniques sur les implémentations OIDC à respecter qui me semblent OK, mais je n’ai pas trouvé de détails sur la partie identification physique des personnes (pièces d’identité, assermentation, accès au registre INSEE…). Bref, devenir fournisseur d’identité pour France Connect est certainement un projet majeur. Mais, en ligne avec la pétition Public Money/Public Code, on laisse ça aux GAFAMs (comme tous les services que j’ai regardé) ou on essaie de monter un tel service ouvert, transparent et indépendant?

1 « J'aime »
5

Bonjour et bienvenue sur le forum des chatons. :cat2:

OIDC, SSO, font parties des serpents de mers chatons depuis déjà quelques années.

Tu as cité canaille. Canaille est développé par le chaton yaal.coop | nubla. Je crois que plusieurs chatons ont fait un réemploi, dont deuxfleurs. Le collectif a également des proximités avec des personnes de worteks, qui n’est pas un chaton, mais que je cite afin de donner un éventail de compétences techniques accessibles. Mais excuses pour tous nos autres copaines spécialistes du sujet que je ne cite pas.

Après ça, passer au stade de projet de chatons est un peu plus compliqué que de juste posséder des compétences techniques.

De mon point de vue, la campagne «dégmailisation» est une première initiative pour libérer la première brique constitutive de nos identités numériques. Et le mail est un NI-ICS[¹]

Dans ce rapport du BEREC il y a pas mal d’élément (pas de jeu de mot) lié à matrix. Comme tu as dit venir de matrix, peux-tu nous partager ton expé sur ces questions identification|authentification mais en fédération ?

Je copie colle ici ce que sont les NI-ICS

2.1. Definition
Interpersonal communication services (ICS)13 encompass two types of services: number-
based (NB-ICS) and number-independent ICS (NI-ICS). Specifically, the EECC defines NI-
ICS as an interpersonal communication service which does not connect with publicly assigned
numbering resources, namely, a number or numbers in national or international numbering
plans, or which does not enable communication with a number or numbers in national or
international numbering plans

[¹] J’ai appris ça hier, grâce à Oriane, régulatrice à l’arcep. qui nous a fait le plaisir de partager son expertise. Et qui a attiré nos attentions notamment sur ce rapport produit par le BEREC, l’organisme qui regroupe les régulateurs nationaux au sein de la CE.

6

Salut @philo !

Je fait une petite réponse (je fais du OIDC dans mes heures professionnels).

Sur le fait que beaucoup de projets l’implémentent…oui et non. Les grands projets comme Nextcloud, Matrix, etc…oui il l’intègrent car comme tu dis bien, c’est un protocole assez standard. Par contre, des applications plus petits ce n’est pas toujours le cas… A savoir que le protocole a besoin de contacter le OIDC provider (le serveur d’authentification en quelquesort) donc pas de service locale (en tout cas pas déconnecté d’internet sauf si c’est dans un réseau locale).

Alors oui, les outils numériques transforment la société, mais ce n’est pas parce que les « big techs » le font que ca mérite notre intérêt. L’identité numérique est un sujet très complexe dont les répercutions pour les associations peuvent être (légalement) très contraignants. Je pense que ce n’est pas impossible de se connecter à France Connect mais il faut une bonne raison…
En tout cas, la question de fond est très intéressant.

7

La « dégmailisation » me semble être un objectif autrement plus ambitieux, et qu’il ne faudrait pas qu’il devienne bloquant pour faire avancer d’autres initiatives.
OIDC permet d’utiliser différents services d’identification, dont ceux des GAFAMs. Après tout, c’est la liberté de choix si les utilisateurs décident d’utiliser ces services plutôt que des alternatives. Je suppose que les CHATONS ont un rôle d’éducation avec les propositions d’alternatives attrayantes.

Le problème maintenant est que les services publics et leur fournisseurs choisissent la facilité, délèguent aux big techs, et ce faisant renforcent leur contrôle, voire monopole. Ce topic concerne l’identification pour des services publics officiels, qui peut avoir des ramifications et conséquences difficiles à imaginer.

Implémenter OIDC pour Matrix est clairement une priorité pour plein de raisons (ouvert et standard, sécurité, décentralisation, délégation de la fonction d’identification qui souvent est une épine dans le pied pour beaucoup de services en ligne). Mais malheureusement mon expérience ne dépasse pas celle d’un utilisateur et lecteur des récents blogs.

8

« Ce n’est pas parce que les big techs utilisent quelque chose que ça mérite notre intérêt »: entièrement d’accord. En ce qui concerne OIDC, il me semble que c’est une technologie qui tient la route techniquement, qui répond aux critères d’acceptabilité pour des indépendants comme les chatons, et répond à la nécessité de pouvoir authentifier et éventuellement identifier les utilisateurs - encore une fois, sans obligation.

@coyotle corrige moi si nécessaire: OIDC a deux types de fournisseurs:

  • les fournisseurs de services (FS), qui l’utilisent pour identifier et authentifier les utilisateurs
  • les fournisseurs d’identification (FI), qui se chargent de l’identification et de l’authentification, et délivrent des tokens sécurisés pour les FS.

Utiliser France Connect en tant que FS doit rester un choix laissé à chaque chaton. Utiliser un autre service OIDC avec un FI associé (indépendants, associatif, transparents, etc) serait sûrement une option plus attrayante pour beaucoup.

Le problème que je souligne ici, c’est que les FI de France Identité que j’ai pu regarder utilisent les services de Google et Apple. Voir ici, parmi les 5 publics et 2 privés j’ai pu vérifier les 2 privés et La Poste. Donc, l’idée de créer un FI approuvé par France Connect, « citoyen » et 100% open source.
Je suis sûr que ce serait un sacré challenge… Est-ce que c’est un délire ?