Digiposte+, une très bonne idée très mal exploitée
Avec une présence de plus en plus marquée du numérique pour tous les services de la vie de tous les jour, il est aujourd'hui de plus en plus compliqué de bien gérer tous les services qu'on utilise au quotidien. Fort de ce constat, le Groupe LaPoste a lancé en 2011 un service baptisé "Digiposte" dont le but était de centralisé dans un espace sécurisé toute sa vie administrative numérique. Une très bonne idée mais certainement très mal exploitée par un groupe qui n'a jamais réellement su exploiter efficacement le numérique, il n'y a qu'à être titulaire d'un compte CCP et d'un compte dans une autre banque pour s'en rendre compte.

Malgré cette mauvaise image nous avons tout de même voulu tester ce service qui après être né sous le nom Digiposte, puis avoir vu la naissance de l'application Digiposte Pass il y a environ 1 an est devenu Digiposte+ il y a 6 mois environ. Ayant déjà testé le service sans l'avoir adopté il y a quelques années nous nous sommes contenté de télécharger l'application disponible sur le Google Play et d'y saisir nos identifiants. La première bonne nouvelle est que ça a parfaitement fonctionné. C'est peut-être évident mais combien d'évidences ne le sont pas autant qu'on l'aurait désiré ?

Pour ceux qui ne le sauraient pas cette application permet de gérer tous vos documents (factures, relevés, bulletins de paie, attestations...) et le quotidien numérique de votre famille en toute simplicité et de manière plus ou moins automatisée. Grâce à elle vous pouvez en effet récupérer de manière totalement automatique bon nombre de documents numériques habituellement disponibles sur le site du fournisseur de service (Electricité, Impôts, Boutiques en ligne, Opérateurs mobile et Internet, Banques, Employeurs, ...). Sur ce point le service rempli parfaitement son rôle et comme il est possible d'ajouter manuellement n'importe quel type de document dans "son coffre", c'est un service qui s'avère réellement pratique en permettant de tout centraliser.

Le problème il est par contre ici. En centralisant toutes ces données hyper sensibles comme la possibilité d'y archiver des copies de ses papiers d'identité ou ses déclarations fiscales, aucune sécurité ne nous est fournie par LaPoste concernant justement la sécurité des données. Où sont-elles stockées physiquement ? Quel niveau de chiffrement est appliqué ? Pourquoi une authentification a double niveau n'est-elle pas proposée ? Des réponses qui clairement méritent qu'on s'interroge sur le service et le risque qu'on prend en lui confiant autant de données hyper sensibles et pouvant par exemple servir à l'usurpation d'identité.

En conclusion Digiposte+ est sans aucun doute une excellente idée mais mise en œuvre par une entreprise dont ce n'est clairement pas le cœur de métier, elle n'offre aujourd'hui pas assez de garanties pour l'utiliser en toute confiance. A noter que si le service est gratuit dans une version de base, il est proposé à 4 Euros par mois dans sa version complète et ça c'est clairement trop cher vu la pauvreté des fonctionnalités proposées.

 22/04/2017 22:18:26 - theb69
En cherchant un peu, on trouve facilement les informations "sois disant" manquantes :
- Cryptage, accès personnel sécurisé, données hébergées en France… la sécurité de votre coffre numérique est au cœur des priorités de La Poste. C’est pourquoi Digiposte répond aux mêmes normes que les sites bancaires. http://www.laposte.fr/particulier/produits/presentation/digiposte/vos-donnees-securisees-a-vie

- Respect du Label FNTC-TA, des normes ISO 9001, NF Z 42-013, ISO 15489,AFNOR NF Z42-025 et ISO 27 001 https://secure.digiposte.fr/securite

Digiposte est quand même certifié pour l'hébergement de bulletin de paie numérique (ou dématérialisé). On peut espérer une certaine qualité du service...

Le clavier de saisie du mot de passe est sécurisé - comme pour une banque, avec impossibilité de sauvegarder le mot de passe dans le navigateur (ce qui n'est pas la cas de certains sites financiers).

La poste représente quand même un certain gage de sécurité, par rapport à un acteur inconnu...

Par ailleurs, sachez que DOCAPOST est une filiale de LaPoste spécialisée dans l'archivage de documents pour les administrations...

Personnellement, j'utilise ce service depuis l'ouverture et je n'ai jamais eu de problème.
 22/04/2017 22:28:04 - Christophe - Le Webmaster ...
@theb69 : Merci pour ces précisions mais avant de faire cet article j'ai essayé d'avoir de vraies réponses pas de choses publiées il y a plusieurs années et qui ne sont plus vraies pour certaines (Informations de cette page : https://secure.digiposte.fr/securite) :
- "À cet effet, Digiposte vous offre 3 Go d’espace de stockage pour l’archivage de vos documents personnels en toute sécurité, selon la norme NF Z 42-013" : Comment en être certain car depuis pas mal de temps déjà c'est 5Go qui sont proposés.
- "La présence du https:// devant l'adresse Internet, dès la page de connexion, indique que vous êtes dans un espace sécurisé." : Argument commercial car il est aussi important que les données soient stockées de manière chiffrées et le https n'a aucun rapport !
- "Votre code secret ne transite jamais sur Internet. Le clavier numérique, à la présentation des chiffres aléatoire, permet de sécuriser votre identification. Seules les positions que vous tapez sur le clavier sont transmises au serveur." : Totalement faux car le mode de connexion est aujourd'hui sans clavier numérique dédié comme les banques le proposent (https://secure.digiposte.fr/identification-plus) !
- "Vos documents officiels représentent des données sensibles. Pour garantir leur confidentialité, Digiposte a mis en place des mesures de chiffrement à la pointe des protocoles de sécurité informatique." : Lesquelles ?
- "Lorsque vous communiquez des données et documents personnels à Digiposte, Digiposte s'engage à en assurer la confidentialité." : Les hommes politiques aussi s'engagent sur pas mal de choses.

En bref ce que je critique dans l'article, est qu'aucune garantie n'est fournie par la Poste pour qui l'informatique n'est pas le cœur de métier. DOCAPOST n'est qu'une filiale du Groupe La Poste comme elle se qualifie elle même comme Orange Bank sera une filiale du groupe Orange. Cette situation nous assure t-elle qu'Orange est une société réellement experte dans le monde de la banque ?

Je ne remet pas en cause le sérieux de ce service mais je persiste et signe dans ma conclusion "Digiposte+ est sans aucun doute une excellente idée mais mise en œuvre par une entreprise dont ce n'est clairement pas le cœur de métier, elle n'offre aujourd'hui pas assez de garanties pour l'utiliser en toute confiance". Si quelqu'un de cette société ou plus précisément ce projet veut bien nous en dire un peu plus sur le sujet, je me ferais un plaisir de publier ces informations mais pour le moment la prudence reste de mise pour un service très cher dans sa version premium et dont la sécurité est totalement opaque pour l'utilisateur.

Pour rappel de très grands noms de l'informatique se sont fait pirater et La Poste ne semble pas avoir pris toutes les mesures pour assurer la sécurité de ses utilisateurs sur ce service comme par exemple la mise en place d'une validation en 2 étapes (SMS, Application dédiée, Protocole TOP, ...). Ce type d'authentification est aujourd'hui la norme car adopté par tous les grands noms et le milieu bancaire.
 23/04/2017 09:11:53 - theb69
@Christophe : désolé, je ne partage pas du tout votre analyse - vous émettez des doutes car vous ne savez pas => quite à faite un article, faites une enquête pour que l'article soit pertinent et utile aux lecteurs.

je suis client d'une banque traditionnelle (pas LaPoste ;) ) et également d'une banque en ligne : sur aucune des 2, je n'ai pas de double authentification, sauf pour le paiement CB en ligne. Mais pour m'authentifier sur mon compte, c'est comme Digiposte.

Le fait qu'on nous donne 5Go au lieu de 3Go... Tous les sites de webmail l'ont fait, et cela ne change rien quant à la sécurité des données.

Par rapport aux mesures mises en place pour garantir la sécurité des données, elles sont garanties par les normes que j'ai indiquées. La norme n'aurait pas été attribuée si les mesures prises n'étaient pas suffisantes. Pour une banque, nous savons juste que la banque dispose de la norme bancaire, mais perso, il ne m'indique pas comment sont stockées mes données... donc pour moi l'argument ne tient pas...

Le HTTPS... Ah, effectivement cela parait nul... Mais combien de site présentent encore aujourd'hui, une authentification en HTTP ce qui signifie que les identifiants Login/Password transitent en clair sur internet et peuvent facilement être piratés.
D'ailleurs, pour un site qui se veut critique envers la sécurité de l'offre Digiposte, je vous fais remarquer que votre site ne respecte pas des règles de bases de sécurité :
- Votre site permet une authentification en HTTP => mot de passe pas du tout sécurisé
- Lors de l'inscription, votre site envoi un mai avec le login et le mot de passe affiché en clair dans le mail

En principe, on utilise HTTPS sur les formulaire d'authentification.
Et le site ne devrait pas envoyer le mot de passe dans le même mail que le login... Si le mail est piraté... le compte est compromis...
Par ailleurs, un principe de base de sécurité est que le site ne devrait jamais connaitre le mot de passe de l'utilisateur ; en utilisant soit un annuaire LDAP, soit en mettant des solutions de chiffrements... mais communiquer un mot de passe par mail... Bof... sauf pour les mots de passe temporaires valable une seule fois...

Bref, on ne tombera sans doute pas d'accord, mais pour moi le sujet est traité avec trop de légèreté ou sans connaissance du domaine...
 23/04/2017 10:45:53 - Christophe - Le Webmaster ...
@theb69 : Ca ne sert effectivement à rien de discuter car moi je vous parle d'éventuelles problèmes de sécurité de fond à cause d'un manque d'informations et vous de ce qui se passe en façade. Vous semblez proche du dossier "La Poste" et ça altère votre opinion en lisant mes explications à moitié. Par exemple où ai je dit que le fait d'avoir 5Go jouait sur la sécurité ? J'ai juste dit qu'on ne pouvait pas totalement croire un service qui ne mettait pas à jour ses explications après plusieurs mois. Autre exemple, où ai je dis que le HTTPS était nul ? J'ai juste dit qu'il ne présageait en rien de la manière dont les données sont stockées du côté des serveurs de La Poste. Vraiment dommage d'interpréter et modifier mes propos pour défendre votre opinion :(

Après comment pouvez vous par exemple comparer Smartphone France et Digiposte au niveau sécurité ??? Au pire la seule chose que vous pouvez vous faire pirater sur ce site est votre email et son mot de passe (Un mot de passe qui doit être unique à chaque site). Aucune autre donnée n'est sauvegardée ! Par pitié réagissez de manière honnête en remettant les choses à leur place ! Pour votre information je n'ai accès à aucun mot de passe car ceux ci sont sauvegardés de manière chiffrées.

Quand à remettre en cause mes compétences sur le sujet, je pense qu'on ne se connaît pas et en tant que professionnel de l'informatique comme ingénieur système et réseau et architecte système et accessoirement comme webmaster de Smartphone France depuis 15 ans me confère une certaine expérience et certainement des compétences.

Et pour conclure Digiposte+ est sans aucun doute une excellente idée mais mise en œuvre par une entreprise dont ce n'est clairement pas le cœur de métier, elle n'offre aujourd'hui pas assez de garanties pour l'utiliser en toute confiance. A noter que si le service est gratuit dans une version de base, il est proposé à 4 Euros par mois dans sa version complète et ça c'est clairement trop cher vu la pauvreté des fonctionnalités proposées.
 23/04/2017 12:02:46 - theb69
Concernant le tarif, je suis d'accord que c'est cher...

Maintenant, 15 ans d'expertise réseau et votre site qui est sans HTTPS et envoi les mdp par mail... Hum... No comment ! Je ne compare pas l'exigence en termes de sécurité d'un site web et d'une solution d'archivage, mais là on est sur des "bases" de la sécurité web ; y compris pour un site comme le votre.
D'ailleurs, si les données sont chiffrées dans votre base de données, alors en tant que webmaster, vous pouvez facilement les déchiffrer ! Sinon, c'est que vous n'utilisez pas une solution de chiffrement mais une solution de Hash...

Je ne travaille ni à LaPoste, ni dans une fililale...
Juste qu'en tant qu'ingénieur avec 15 ans d'expérience comme vous, et de part mon travail, je suis assez proche des questions de sécurité des données.

Vous passez trop rapidement sur les normes auquel répond le site Digiposte... Notamment la norme de stockage des bulletin de paie dématérialisés... Vous croyez qu'ils auraient obtenus la norme sans vérification par un organisme tiers de leur qualité de stockage des données ?
Par ailleurs, est-ce que vous pensez que pour l'utilisateur 'lamba' la solution de chiffrement et de stockage des données utilisée est utile et compréhensible ? Je pense qu'afficher les normes respecter est beaucoup plus parlant...

Vous insistez sur la façon de stocker les données : mais votre banque vous l'indique-t-elle ? Ou savez-vous juste qu'elle respecte les normes bancaires ?

L'article aurait d'ailleurs pu analyser le fait que l'offre était initialement gratuite avec Digiposte et l'application Digispote Pass et que maintenant l'application Digiposte+ est liée à un service payant ou limité...
Le bulletin de paie numérique est par exemple certifié par LaPoste, et n'est pas décompté de l'espace de stockage.

Je conviens que maintenir un blog n'est pas simple ; mais reconnaissez au moins que le sujet aurait mériter un peu plus de profondeur d'analyse...
On peut effectivement s'interroger de ne pas connaitre les solutions techniques mises en oeuvres (pb de transparence), mais de là à dire comme vous que la société n'offre pas suffisamment de garanties... c'est là que nos avis divergent... Mais les commentaires sont là pour permettre d'échanger (pas nécessairement de tomber d'accord)
 
Vu le nombre important de commentaires concernant cet article (21 participations)
seules les 5 premières & les 5 dernières participations sont actuellement affichées.
Cliquez ICI si vous désirez afficher tous les commentaires
 
 24/04/2017 14:23:49 - Ledolley
Mince, c'était la tempête ici hier... Je dois être dans la catégorie des super vieilles alors si Christophe est un vieux :(

Publié via l'application Smartphone France pour Android ou Windows/Windows Phone ...
 24/04/2017 19:08:03 - GrosLap
@Christophe - Le Webmaster ... : Je te rappelle qu'il n'y a que quelques années qui nous séparent...

Publié via l'application Smartphone France pour Android ou Windows/Windows Phone ...
 24/04/2017 21:05:02 - Christophe - Le Webmaster ...
@GrosLap : Je te rappelles que j'essaye de te rattraper mais que malgré tous mes efforts je n'y arrive pas ;)
 24/04/2017 22:39:48 - GrosLap
@Christophe - Le Webmaster ... : Normal, tu es moins rapide que moi !

Publié via l'application Smartphone France pour Android ou Windows/Windows Phone ...
 24/04/2017 22:48:43 - Christophe - Le Webmaster ...
@GrosLap : Ce que je répond souvent "aux jeunes cons" : J'ai au moins l'avantage sur toi d'avoir un âge que tu n'es pas certain d'avoir ;)

Dorénavant pour publier des commentaires il faut posséder un compte sur le Forum du site et s'authentifier

Créer un compte sur le forum du site

S'authentifier sur le site avec son compte personnel





Fermer ce formulaire