Inscription avec validation

[AnthonyBrunelli]

Dans le nouveau parcours, les personnes qui souhaitent s'inscrire pour avoir un accès ET dont l'inscription n'est pas automatique (extension mail non répertoriée) doivent recevoir un mail automatique leur demandant des précisions (sans envoi de mail aux administrateurs) et leur indiquant où s'adresser.

[AnthonyBrunelli]

@lucaa j'espère que ça répond à ta question. J'ai mis le label, je te laisse voir si cela convient.

[AnthonyBrunelli]

Objet :

Votre compte Observatoire.numerique.gouv.fr

Contenu du mail :

Bonjour,

Vous avez demandé l'ouverture d'un compte sur le site observatoire.numerique.gouv.fr. L'ouverture d'un compte est normalement réservée aux personnels porteurs de démarches administratives de l'état et des collectivités territoriales. Il permet la récupération d'un bouton de vote qui se place à la fin des démarches et permet ma consultation des résultats de vote.

Afin d'accorder une suite favorable à votre demande, nous souhaiterions préalablement savoir si vous êtes vous-même porteur d'une démarche administrative et quel est l'objectif de votre demande d'ouverture de compte. Merci de nous envoyer les informations nécessaires à l'adresse suivante : [email protected].

Cordialement,

L'équipe de l'Observatoire

Services du Premier Ministre – DINUM (Direction interministérielle du numérique), Pôle Design des Services Numériques

[AnthonyBrunelli]

@jrenauxdinum j'ai mis contact comme contact.

[AnthonyBrunelli]

• prévoir le mail automatique quand y a validation
• voir si la signature c'est l'équipe ou Joffrey
  à voir ensemble @jrenauxdinum.

[AnthonyBrunelli]

Le message de confirmation est le suivant :

De : [email protected] [email protected]
Envoyé : mardi 29 mars 2022 16:11
À : CONNOR Kale
Objet : Votre compte observatoire.numerique.gouv.fr est actif

Bonjour Prénom Nom,

Votre compte sur l’Observatoire de la qualité des démarches en ligne a bien été activé.

Votre nom d’utilisateur est « pnom ».
Cliquez ici pour vous connecter à l’Observatoire.

L’Observatoire de la qualité des démarches en ligne

[AnthonyBrunelli]

@ugodtn @jrenauxdinum ça vous va comme message ?

[lucaa]

Lors des discussions autour de ce besoin, il s'est avéré être plus large qu'un besoin de changement des messages échangés lors de la création de compte. Le besoin est de re-faire tout le processus d'inscription du porteur, avec changement du côté du porteur et du côté validateur du compte (admin dinum), pour obtenir le comportement suivant:

• un utilisateur (le "porteur") remplit le formulaire d'inscription sur l'observatoire
• A. si l'adresse email remplie fait partie des domaines d'émail validés automatiquement:
  1. le compte côté plateforme observatoire n'est pas encore actif (est inutilisable)
  2. la plateforme observatoire envoie un email au porteur pour lui demander de confirmer cette adresse email - mail automatique
     • cet email contient un lien de confirmation de l'email / activation du compte
  3. le porteur clique sur le lien dans l'email de confirmation
  4. le compte est activé lors de ce click, le porteur peut se connecter avec ce compte sur la plateforme observatoire
• B. si l'adresse email remplie ne fait partie des domaines d'émail validés automatiquement:
  1. le compte côté plateforme observatoire n'est pas encore actif (est inutilisable)
  2. la plateforme observatoire envoie un email automatique au porteur pour lui demander plus d'information sur cette demande de création de compte, et demande d'envoyer ces informations sous la forme d'un email à contact@... .
     • cet email ne contient aucun lien de confirmation / activation de compte
     • cet email est envoyé avec l'adresse contact@... dans le champs reply-to pour que, dans le client email du porteur, lorsqu'il clique sur "répondre" l'adresse contact@... est remplie automatiquement
  3. le porteur envoie, éventuellement, cet email avec plus d'informations sur sa demande - opération manuelle
  4. un agent humain Dinum (@jrenauxdinum ?) lis les emails reçus à l'adresse contact@... et analyse les demandes de création de compte - opération manuelle
  5. pour toute demande analysée comme légitime, l'agent Dinum cherche manuellement l'utilisateur sur la plateforme observatoire à partir de son adresse email et active le compte utilisateur qui y correspond
     • aucune confirmation de l'adresse email par le porteur n'est plus nécessaire, l'email manuel envoyé par le porteur fait foi de validation
     • pour les demandes considérées non-légitimes, les comptes non-actives de la plateforme peuvent être supprimés
  6. la plateforme observatoire envoie un email automatique au porteur pour l'informer de l'activation de son compte
  7. le porteur peut se connecter avec ce compte sur la plateforme observatoire

[lucaa]

questions par rapport au processus ci-dessus:

• quel message afficher sur l'écran au porteur lors de son inscription quand son email n'est pas das la liste d'emails validés automatiquement?
• quid du nettoyage des comptes qui ne sont jamais validés par l'opération manuelle de confirmation d'adresse email par le porteur (étape iii de la deuxième branche ci-dessus)? Sachant que désormais cette opération est "plus manuelle" qu'avant, en absence de cet email, à quel moment il faudrait conclure que l'email ne viendra jamais et que le compte inactif peut-être supprimé de la plateforme? Dans le processus ci-dessus, cette opération est laissé à l'agent Dinum, il faudrait peut-être afficher les dates de création des comptes dans l'écran d'administration pour faciliter l'analyse?

[lucaa]

Une autre idée: y-a-t-il des nouvelles de FranceConnect Agent? On pourrait implémenter une inscription à base de ce système pour ne plus avoir besoin d'une validation manuelle...

[AnthonyBrunelli]

Une autre idée: y-a-t-il des nouvelles de FranceConnect Agent? On pourrait implémenter une inscription à base de ce système pour ne plus avoir besoin d'une validation manuelle...

Ce que j'ai eu comme réponse : "AgentConnect est en prod ; il est déjà disponible sur certains service. La condition est d'avoir un Fournisseur d'identité qui couvre son ministère de rattachement. Pour les prestas des ministères, ça dépend si le presta à un compte sur le Fournisseur d'identité".

À ce stade, j'imagine que c'est un plus de le proposer, mais que ce n'est pas suffisant. @ugodtn @jrenauxdinum un avis?

[AnthonyBrunelli]

Validé par Ugo et Joffrey donc on peut mettre AgentConnect mais ça ne sera pas suffisant.

[lucaa]

Par rapport au processus décrit dans #1104 (comment)
et suite aux réflexions sur le processus dans le cadre de #1107 #1107 (comment) , il se pose la question de la validation effective que le demandeur de compte (qui créé le compte) a accès à l'adresse email vérifiée à l'étape B. v. .

Plus précisément, dans le processus courant, à chaque fois qu'un compte est créé, l'accès à l'adresse email est validée par l'envoi d'un secret à l'adresse email que le détenteur de compte doit re-fournir au système pour prouver qu'il a accès à l'adresse email en question.
Dans le nouveau processus, ce système de validation par secret est remplacé par un système manuel. Par contre, il n'est techniquement pas si compliqué que ça de forger l’expéditeur d'un email pour faire croire qu'il vient d'une adresse email plutôt que d'une autre (comme pour une lettre physique à la poste, le côté 'expediteur' est moins vérifié), et cette vérification dépend des systèmes de transport de mail impliquées (certains serveurs peuvent valider plus que d'autres, tout comme pour les clients email).
En tout cas, forger un expéditeur pour faire semblant qu'il vient d'un certain domaine reste plus facile qu'avoir accès en mode lecture à une boîte mail du domaine en question.

Ainsi, si l'adresse email est un critère déterminant dans la décision humaine de valider ou pas un compte (étape B. iv.) , il faudra potentiellement introduire une étape de validation de l'adresse email par accès au secret, comme c'est le cas aujourd'hui.

cc @AnthonyBrunelli @jrenauxdinum .