Par Gérard Haas, Gaël Mahé et Vickie Le Bert
L’Etat français, soucieux de conserver et d’asseoir sa souveraineté numérique face aux géants américains du secteur, s’est lancé depuis 2017 dans un ambitieux projet de « plateformisation », se traduisant notamment par la modernisation de ses administrations.
Conséquence de la mise en œuvre de cette stratégie, les services publics français ont depuis plusieurs années subi un important phénomène de dématérialisation : si auparavant, on devait se rendre en mairie ou au guichet de sa préfecture pour réaliser certaines démarches administratives, il est désormais possible de les effectuer en ligne.
Mais cette numérisation pose notamment la question de la sécurité des données à caractère personnel ou encore celle de la protection des utilisateurs contre les fraudes et les tentatives d’usurpation d’identité.
Cette possibilité d’accéder, via un ordinateur, une tablette ou encore un smartphone, aux sites des services publics sur lesquels nombre de données sensibles sont traitées, a incité les acteurs du numérique à réfléchir à l’instauration de mécanismes d’authentification fiables, sécurisés, mais également pratiques, à l’image du mécanisme de clés numériques ou des systèmes de connexion unique.
Clés numériques : une technologie qui fait ses preuves
Les clés numériques, supports physiques contenant diverses informations personnelles propres à leurs détenteurs, sont des technologies permettant aux personnes qui les possèdent d’attester de leur identité en ligne. Présentant la particularité de permettre la centralisation des moyens d’identification, ces clés numériques dispensent leurs utilisateurs de l’effort de création et de mémorisation de nouveaux identifiants ou mots de passe en leur offrant l’accès à une multitude de sites ou services en ligne.
L’usage de cette technologie d’authentification en ligne est croissant, et nombreux sont les secteurs, privés comme publics, à faire le choix de recourir à ces dispositifs d’identité numérique uniques. Il y a quelques années déjà, c’est le monde de l’avocature français qui a pris la décision d’opérer la bascule vers un mode de centralisation des données d’authentification de ses membres, en instaurant le recours à la clé avocat.
Autrefois appelée clé RPVA (Réseau Privé Virtuel Avocat), la clé avocat est l’équivalent d’une carte d’identité électronique professionnelle permettant aux avocats en sa possession de certifier de leur identité dans le cadre de leurs communications numériques. Cette clé, qui se présente sous la forme d’un support physique (carte ou clé USB) contient un certificat d’authentification unique et personnel.
Pensé pour être plus qu’une simple carte d’identité, ce certificat d’authentification contient diverses informations propres à son détenteur, comme son numéro SIREN. La clé RPVA mise à disposition des avocats français leur permet ainsi d’accéder à divers services en ligne, plateformes de formation ou services du Conseil national des barreaux, et encore de procéder de manière certifiée à des appels d’offres publics, au suivi de l’état des procédures ou à leurs déclarations fiscales et sociales. Cette clé est supposée assurer la confidentialité et la sécurité des échanges numériques des avocats.
Clés numériques : une technologique qui a ses limites ?
Pourtant, les limites de la centralisation des données de connexion et d’identification au sein d’un support unique est évidente : qu’adviendrait-t-il des données confidentielles traitées si cette clé venait à être perdue… ou volée ?
Là où la perte ou la fuite d’un mot de passe ne compromettent que la sécurité des données spécifiquement traitées par le site concerné, la perte d’une clé numérique est susceptible d’offrir aux personnes malintentionnées l’accès aux données de l’ensemble des sites dont elle permet l’accès.
De plus, le fait qu’un pirate puisse avoir connaissance de la localisation non seulement de la serrure mais aussi de la clé permettant de l‘ouvrir est le gros point noir de la clé numérique. Ainsi, la simple possession de la clé donne potentiellement accès à un nombre conséquent de données.
Plusieurs autres problèmes sont à constater comme le délai de récupération d’une nouvelle clé en cas de perte, vol, mise à jour, défaut, etc. qui peut se compter en jours voire en semaines. Ainsi le service serait proprement inaccessible à l’utilisateur concerné pendant une certaine durée.
Comme le dit l’adage « il ne faut pas mettre tous ses œufs dans le même panier », pourtant, malgré les risques que présentent les clés numériques et les mécanismes d’authentification unique pour la sécurité des données, l’Etat français a lui aussi institué un mode de connexion unique pour accéder à nombre de ses services publics en ligne, tels que l’Assurance Maladie, la Caisse d’allocations familiales ou encore Pôle Emploi : « FranceConnect ».
Système de connexion unique au service de l’Etat
En effet, depuis 2015, il est en ainsi possible de réaliser en ligne ses démarches administratives auprès des services publics en ayant recours au dispositif d’authentification unique FranceConnect.
Ce dispositif, au fonctionnement similaire à celui des clés numériques, est un système d’identification et d’authentification unique développé par l’État permettant aux citoyens d’utiliser un seul compte, identifiant et mot de passe pour accéder de façon sécurisée à un ensemble de services à la fois publics et privés[1]. Si l’utilisateur choisit de se connecter à un service via FranceConnect, son identité sera vérifiée grâce à un tiers de confiance choisi par l’internaute, comme ameli.fr ou encore impots.gouv.fr. Les identifiants d’un seul service permettent ainsi de se connecter aux autres.
La sécurité du dispositif de connexion unique
Pour garantir aux utilisateurs la sécurité nécessaire à la protection des leurs données à caractère personnel et pour prévenir les cas d’usurpation d’identité, des garanties doivent être mises en place. Le règlement européen eIDAS pose ainsi un référentiel constitué de trois niveaux de sécurité pour les services d’identification électronique :
- Niveau faible : l’objectif du service est simplement de réduire le risque d’utilisation abusive ou d’altération de l’identité
- Niveau substantiel : l’objectif du service est de réduire substantiellement le risque d’utilisation abusive ou d’altération de l’identité
- Niveau élevé : l’objectif du service est d’empêcher l’utilisation abusive ou l’altération de l’identité.
Et pour apprécier le niveau de sécurité des dispositifs de clés numériques, plusieurs éléments sont ainsi pris en compte :
- Les modalités d’inscription au service
- La gestion des moyens d’identification électronique
- Le mode d’authentification
- La gestion et l’organisation du service
Le dispositif FranceConnect a été reconnu conforme par l’Agence nationale de la sécurité des systèmes d’information aux exigences de sécurité posées par le règlement eIDAS, et ce pour les deux niveaux substantiel et élevé. Jusqu’alors, le mécanisme d’authentification unique ne reposait que sur la transmission d’un seul identifiant et mot de passe, très vulnérable aux tentatives de phishing et à l’usurpation d’identité.
Désormais, le dispositif requiert un mode d’authentification forte, impliquant l’utilisation d’au-moins deux facteurs d’identification parmi les suivants :
- Un élément de connaissance : mot de passe, code secret… connu du seul utilisateur
- Un élément de possession : une tablette, un smartphone… détenu par l’utilisateur et permettant la vérification d’identité par l’envoi d’un code ou d’un message
- Un élément d’identité : empreinte digitale, reconnaissance faciale…
Enfin, en plus de présenter les garanties liées à un mode d’authentification forte, le dispositif FranceConnect prévoit une garantie supplémentaire : l’utilisateur est alerté à chaque fois que quelqu’un, lui compris, tente ou parvient à se connecter sur un site partenaire par le biais de FranceConnect.
Des vulnérabilités persistantes
Mais malgré les garanties présentées par le dispositif, la fiabilité de FranceConnect a récemment été mise à l’épreuve : des emails frauduleux imitant la notification envoyée par FranceConnect après chaque connexion via le portail d’accès ont été récemment envoyés. Les victimes de la fraude reçoivent ainsi un email les informant qu’une connexion en leur nom a eu lieu sur le site d’un des 700 services partenaires du fédérateur d’identité, et leur réclame ensuite de communiquer leurs identifiants. Les enjeux d’une telle vague de phishing sont cruciaux. En effet, en 2020, le nombre d’utilisateurs de FranceConnect s’élevait à près de 15 millions, et l’on en décompte aujourd’hui près de 20 millions. Le nombre de nouveaux utilisateurs mensuels est lui estimé à près de 500 000.
***
Le cabinet HAAS Avocats est spécialisé depuis plus de vingt ans en droit des nouvelles technologies et de la propriété intellectuelle. N’hésitez pas à faire appel à nos experts pour vous conseiller. Pour nous contacter, cliquez-ici
[1] La Poste a par exemple recours au dispositif L’Identité Numérique fonctionnant sur la base du dispositif FranceConnect, permettant notamment à ses utilisateurs de procéder à l’envoi de lettre recommandée avec accusé de réception.