Sécurité en ligne : l'Etat devrait montrer l’exemple !

Le rapport Lemoine préconise la création d'un identifiant unique pour les services publics « French Connect », une mesure pour développer la « personnalisation anonyme » etc. En attendant, les services public devraient plutôt montrer l'exemple en terme de niveau de sécurité des mots de passe.

Il y quelques semaines, Philippe Lemoine a rendu au gouvernement un rapport sur la transformation numérique de l’économie française en vue d’inspirer le projet de loi numérique d’Axelle Lemaire.
Les enjeux immédiats de la sécurité en ligne des français ne sont pas abordés dans ce rapport. Sur les  9 projets, 53 mesures et 118 recommandations, on trouve une mesure et une proposition sur la création d’un identifiant unique pour les services publics « French Connect », une mesure pour développer la « personnalisation anonyme », une recommandation pour développer de l’ « identification s’appuyant sur l’empreinte physique » et une recommandation pour développer un « Référentiel Numérique de l’identité ».
Au quotidien, la sécurité en ligne repose sur des choses beaucoup plus basiques et beaucoup plus urgentes. Concrètement, nous utilisons de plus en plus de services (email, médias sociaux, achats, services publics) qui stockent nos données personnelles dans le Cloud (sur des serveurs en ligne). Toutes ces données sont maintenues confidentielles grâce une technologie, vieille de milliers d’années, mais toujours présente sur 100% des services : le mot de passe. Pour être sûr que ces données ne pourront pas être piratées par des individus malveillants qui arriveraient à déjouer les protections des sites, il faut un mot de passe fort mais également différent pour chaque site. Un mot de passe fort c’est un mot de passe non signifiant (pas de mot qui soit dans le dictionnaire ou de nom propre) d’au moins 8 caractères comportant des lettres minuscules et majuscules et des chiffres. La raison en est simple : pour un mot de passe composé de 8 chiffres, il y 100 millions de possibilités. Si ce sont des caractères alphanumériques, mêlant chiffres et lettres, il y en a 218 000 milliards. Dans le premier cas, il faut quelques minutes à un ordinateur pour tester l’ensemble des possibilités, dans le deuxième cas, il faudra des années, ce qui suffit dans la pratique à décourager les pirates. Si le mot ou les chiffres sont signifiants, cela prendra encore moins de temps grâce aux techniques d’Ingénierie Sociale, qui testent en premier les mots de passe les plus probables de l’utilisateur (numéro de téléphone, date de naissance etc..). Les mots de passe forts sont d’ailleurs fortement recommandés sur le site www.securite-informatique.gouv.fr, et l’on pourrait s’attendre à ce que ce soit le cas sur l’ensemble des sites du service public.
Mais le constat est tout autre : il y a de fortes disparités entre les sites des services publics. Dashlane attribue un score de sécurité pour chaque mot de passe stocké par un utilisateur, en fonction de la difficulté qu’aurait un hacker à le pirater (donc si le mot de passe est suffisamment complexe). Nous avons accès à ces données sous forme agrégée car nous nous en servons pour aider nos utilisateurs à améliorer leur sécurité en ligne. Or si le score de sécurité moyen des mots de passe utilisés pour le site des impôts est de 73 %, il n’est que de 25 % pour le site de l’assurance maladie (ameli.fr) et de 30% pour le site de Pôle emploi (pole-emploi.fr). Sur le site des impôts les internautes sont en effet obligés de rentrer un mot de passe alphanumérique, alors que sur ameli.fr et pole-emploi.fr, les mots de passe ne sont composés que de chiffres.
L’assurance maladie, qui gère via ameli.fr les données médicales de 10 millions de français interdit ainsi l’utilisation de mots de passe forts sur son site. Certes le site se protège en bloquant les comptes après trois tentatives de connexion infructueuse. Mais n’y-a-t-il pas alors un risque de blocage massif de comptes par des hackers qui peuvent facilement reconstituer les numéros de sécurité sociale signifiants des français ? Que dire du processus de réinitialisation du compte, actionnable par un hacker, et qui génère un mot de passe provisoire de 4 chiffres ? Enfin la sécurisation d’un site ne peut pas s’appuyer uniquement sur la prévention des attaques : la sécurisation des mots de passe des utilisateurs est également une nécessité. S’il est vrai que la tâche des services publics n’est pas aisée, car il leur faut à la fois assurer la sécurité des données et proposer une connexion simple d’usage pour tous, peut-on vraiment transiger avec la sécurité des données de santé de millions de Français ?
La menace existe. En juin 2014, des pirates ont dérobé les données médicales de 4,5 M de patients du Community Health Systems, une organisation qui gère 200 hôpitaux aux Etats Unis. En septembre 2014, c’est healthcare.gov, le site de l’assurance maladie américaine qui a été très sérieusement attaqué.
Assurer la sécurité est une des premières missions de l’Etat. Et assurer la sécurité en ligne des citoyens français passe par des mots de passe forts sur les sites qui hébergent leurs données sensibles. Il est urgent que l’Etat, via les services publics, incite de manière cohérente, les internautes à employer des mots de passe forts.