Bonjour à tous,

Tirant bénéfice du contexte de confinement, nous nous lançons dans la rédaction d’un nouvel article de fond. Il concerne aujourd’hui la sécurité des applications web.

Espace constats, Coffre fort numérique, Outils de Partage en ligne, Espace de téléchargement sécurisé… les études d’Huissiers, et autres professions du droit, généralisent l’usage d’outils « web » pour échanger des informations dématérialisées avec leurs requérants, débiteurs, ou partenaires via Internet. Il peut s’agir de documents numériques (PV de constats, Factures, Courriers…), de transactions financières, ou encore d’échanges de messages.

Et l’enjeu en matière de sécurité est très important, puisque ces données sont toujours privées, et souvent sensibles. Il appartient donc à chacun, éditeur, fournisseur, et utilisateur, de respecter des démarches d’authentification fortes.

Plusieurs méthodes existent pour cela, et nous allons en lister trois, par ordre de « sécurité ». Mais auparavant, nous allons poser un point de contexte fondamental pour la compréhension de la suite.

Pour « filtrer » les accès à des données hébergées sur le web, on parle d’Authentification.

Au sens commun du terme, cela revient à s’assurer de l’identité de l’utilisateur qui essaie d’accéder à une donnée.

Au sens technique du terme, cela revient à demander à l’utilisateur de franchir une étape qui nous permet de savoir qui il est et si l’application web doit donner suite à la demande d’accès, ou rejeter l’utilisateur.

1. Le lien secret public ou méthode « We Transfer »

Cette méthode est la plus simple, mais la moins sécurisée. Elle consiste à donner un accès « public » à un fichier, via un lien « difficile à deviner ».

Ex : https://wetransfer.com/downloads/83de3a0ec6209f3feedd2f6bbe51711c20200415083721/4b1609c203cb0b9aa253a2eb4b3ac8ff20200415083736/5b61b6

On parle d’accès public, car aucun login / mot de passe n’est demandé.

Quiconque disposant de ce lien peut accéder à l’information. C’est d’ailleurs pour cette raison (entre autres) que WeTransfer rend ce « chemin » éphémère (une semaine).

Cette méthode est assez sûre d’un point de vue technique : le lien ne peut pas être deviné par une machine. Elle est dangereuse, en revanche, à partir du moment ou ce lien serait diffusé, volontairement ou non, par le destinataire, car aucune barrière ne filtre l’accès.

2. L’Authentification par login et mot de passe

C’est la méthode d’Authentification la plus courante. Vos emails, vos réseaux sociaux, vos outils professionnels, Legatus, utilisent cette méthode. On vous demande de passer une étape de « connexion », qui permet de vérifier une combinaison adresse email / mot de passe.

Si cette vérification est réussie, l’application web ouvre une « session » pour l’utilisateur, dont la durée peut varier. Et quand vous naviguez dans votre application web, à chaque requête (chargement de page), la session est vérifiée.

Il appartient à l’utilisateur de définir un mot de passe sécurisé. Et il est autonome pour le renouveler grâce à son adresse email.

Conformément aux recommandations de la CNIL, Legatus impose 12 caractères, au moins une majuscule et au moins un chiffre. Cette méthode est utilisée pour les Huissiers, les collaborateurs et les requérants. Et pour des raisons de sécurité, nos mots de passe sont « cryptés » en base de données, si bien que personne (pas même nous) ne peut « lire » ce mot de passe.

La faille, dans cette approche, est liée au navigateur que vous utilisez. Pour vous faciliter la vie, il enregistre ce mot de passe, et le pré-rempli quand vous vous connectez. Si bien qu’il vous arrive même d’oublier vos mots de passe.

Quiconque accède à votre ordinateur, peut donc accéder aux données sensibles de vos requérants, aussi facilement qu’il accède aux logiciels « traditionnels » installés sur votre poste.

Tout particulièrement pour les comptes des Huissiers de Justice, Clercs et collaborateurs, nous avons décidé de proposer une couche de sécurité supplémentaire. Et nous allons en parler tout de suite.

3. L’Authentification Double-facteur ou Multi-facteur

Microsoft, Apple, Facebook, Gmail, OVH, Doctolib… Les éditeurs de solutions logicielles web et traditionnelles proposent de plus en plus ce mode de sécurité. Il est rarement imposé. Simplement proposé pour les utilisateurs les plus sensibles à cette question.

En tant qu’éditeur de logiciel pour les Huissiers de Justice, il nous a paru évident que proposer cette option était important.

L’Authentification double facteur consiste à ajouter une étape à la démarche de connexion, qui va permettre de s’assurer, encore d’avantage, de l’identité de l’utilisateur. Elle s’appuie sur un code secret éphémère à 6 chiffres qu’on ne peut trouver que dans le téléphone portable de l’utilisateur, après avoir déverrouillé l’écran (le plus souvent, avec l’empreinte digitale). Plutôt qu’un SMS, pas toujours fiable à cause des réseaux téléphoniques, nous avons choisi de nous appuyer sur des applications dédiées, gratuites pour nos utilisateurs (Google Authenticator, Authy, LastPass, ou FreeOTP).

Pour en savoir plus, ce très bon article de GlobalSign : https://www.globalsign.fr/fr/blog/gros-plan-sur-les-avantages-de-l-authentification-multifacteur/

La combinaison « login / mot de passe » + « code éphémère smartphone » rajoute une sécurité, qui n’est pas un luxe au regard de la nature des données stockées dans les ordinateurs et applications web des Huissiers de Justice.

Comme les éditeurs précités, nous avons choisi de rendre cette couche de sécurité supplémentaire optionnelle, dans un premier temps. Et nous offrons la même possibilité aux requérants qui voudraient sécuriser d’avantage l’accès à leurs constats.

Conclusion :

Applications web, Cloud, SAAS… Les données sensibles sont de plus en plus souvent stockées sur des serveurs distants, qui facilitent leur échange et leur partage. Cette migration a permis de sécuriser d’avantage l’accès physique aux données. Vous ne me croyez pas ? Essayez de trouver, puis de rentrer, dans le data center d’un hébergeur sérieux… Mais ces nouveaux modes de stockage présentent de nouveaux enjeux en matière d’accès afin de combiner la souplesse d’Internet et la sécurité de l’Authentification.

Il nous appartient à tous, éditeurs et utilisateurs, d’adopter les méthodes les plus modernes.

Et vous ? Seriez-vous prêt à vous inscrire dans une démarche plus contraignante pour renforcer la sécurité de vos applicatifs métier ?