Sécurité

Publié le 27 février 2017 - Direction de l'information légale et administrative (Premier ministre)

La plateforme technique de service-public.fr a fait l’objet d’un travail préparatoire approfondi avec la CNIL (Commission nationale de l’informatique et des libertés) en vue d’offrir aux usagers toutes les garanties en matière de sécurité et de confidentialité de leurs données. 

L’hébergement de la plateforme service-public.fr est réalisé sur un site dont les locaux et l’accès aux machines d’exploitation sont contrôlés. Les flux de données et les données personnelles sont chiffrés afin de prévenir des tentatives de détournement d’information. Les accès à la plateforme sont conservés afin de garantir leur traçabilité. 

ACCES AU SITE :

Le site service-public.fr est protégé par un certificat électronique, matérialisé pour  la grande majorité des navigateurs par un cadenas.

Cette protection participe à la confidentialité des échanges, mais permet aussi aux usagers de s’assurer de l’authenticité du site au regard d’éventuelles tentatives de filoutage :

http://www.ssi.gouv.fr/entreprise/glossaire/h/nouvelle fenêtre

En aucun cas les services associés à service-public.fr ne seront initiateur d’envois de courriels pour demander la saisie d’informations personnelles. En particulier,  le mot de passe qui reste sous le contrôle exclusif des usagers. Seuls et dans certaines circonstances identifiables par l’usager, des courriels légitimes pourraient lui être adressés à des fins d’information ou d’invitation à poursuivre une démarche engagée par voie électronique.  

Lors de la connexion au site service-public.fr,  il est recommandé de copier ou de saisir manuellement l’adresse réticulaire (URL) dans le navigateur, et d’éviter de cliquer sur des liens qui auraient été reçus par messagerie ou qui seraient accessibles à partir de sites non réputés.

Le certificat qui sert le site est conforme aux exigences du Référentiel général de sécurité (RGS) et est émis par un Prestataire de certification électronique qualifié (PSCE). La liste des prestataires qualifiés est disponible sur :

http://www.lsti-certification.fr/images/liste_entreprise/Liste%20PSCe

PROTECTION DES DONNEES :

La protection des données est une exigence forte de la CNIL (Commission Nationale Informatique et Liberté). Dans le cas de service-public.fr, l’une des mesures de protection repose sur un chiffrement du stockage de toutes les données à caractère personnel (nom, prénom,  mot de passe, documents déposées, etc.) par des ressources cryptographiques qualifiées par l’ANSSI  (Agence Nationale de la Sécurité des Systèmes d’Information) ou ayant à minima une évaluation Critères Communs au niveau EAL4+.

Pour l’usager, service-public.fr présente l’avantage d’un parcours en ligne simplifié, personnalisé et enrichi de nouveaux services, allant de la recherche d’informations administratives jusqu’à la réalisation et le suivi de démarches en ligne.
Dans ce contexte, l’usager  maîtrise seul, directement ou indirectement via les démarches, les données stockées dans son espace que ce soit en dépôt ou en suppression.
Néanmoins, les données de l’espace usager restent directement exploitables par les démarches en ligne initiées par son compte. En dehors de ces démarches aucune administration ne peut accéder aux données , excepté dans le cadre d’une instruction judiciaire.
service-public.fr est donc  conçu pour répondre au besoin de simplification exprimé par les usagers pour la réalisation de leurs démarches en ligne, tout en leur offrant les garanties nécessaires en matière de respect des libertés individuelles.

NAVIGUER EN CONFIANCE :

  • Choisir son mot de passe :

Pour protéger vos accès et vos données, il est nécessaire de choisir et d'utiliser des mots de passe robustes, qui sont difficiles à retrouver à l’aide d’outils automatisés et à deviner par une tierce personne. La force d'un mot de passe dépend de sa longueur et des caractères le composant. Le site service-public.fr exige 8 caractères minimum,  comportant au moins une lettre en majuscule, au moins une lettre en minuscule et au moins un chiffre

Pour information les recommandations de l'Agence nationale de la sécurité des systèmes d'information (ANSSI) pour le choix d'un mot de passe sont :

  • Avoir des mots de passe de 12 caractères minimum, si possible de 16 caractères ;
  • Utiliser, en alternant, des caractères de type différent (majuscules, minuscules, chiffres, caractères spéciaux)
  • Ne pas utiliser de mot de passe ayant un lien avec soi (noms, dates de naissance…)
  • Choisir un mot de passe unique pour chaque système ;

Pour en savoir plus sur les mots de passe : http://www.ssi.gouv.fr/guide/mot-de-passe/ 

  • Protéger ses moyens d’authentification :

Afin de ne pas compromettre la sécurité de vos moyens d'authentification et de votre environnement d'utilisation, il est recommandé de :

  • Ne jamais demander à un tiers de créer pour vous un mot de passe ;
  • Changer de mot de passe régulièrement ;
  • Eviter de configurer les logiciels, y compris votre navigateur web, pour qu’ils retiennent les mots de passe ;
  • Ne pas envoyer ses mots de passe en clair sur Internet, par exemple sur sa messagerie personnelle ;
  • Ne pas noter ou stocker en clair les mots de passe dans un fichier ou un document en libre accès, ou sur un poste informatique connecté à Internet ;
  • Naviguer avec un navigateur à jour. Avant toute utilisation d’un navigateur, quel qu’il soit, il convient de s’assurer le plus tôt possible que celui-ci est à jour. Les navigateurs les plus récents proposent tous une fonctionnalité de mise jour automatique et des moyens de protection contre les malveillances, comme le filoutage. Ce qui est vrai en termes de mise à jour pour un navigateur, l’est également pour le système d’exploitation et les logiciels qui y sont installés.

Une solution pratique pour répondre à ces exigences avec un minimum de confort est d’utiliser un coffre-fort logiciel de type Keepass pour stocker les mots de passe :

http://www.ssi.gouv.fr/entreprise/certification_cspn/keepass-version-2-10-portable/

  • Consulter l’infographie de l’Agence nationale de sécurité des systèmes d’snformation « Les bons réflexes sur Internet » :

http://www.ssi.gouv.fr/uploads/2016/06/surfezzen_mini.jpg

  • Détecter un courriel malveillant sur les conseils de la CNIL :  

https://www.cnil.fr/fr/detectez-un-courrier-electronique-malveillant

 

 MENACES SUR INTERNET  :

En complément de l’attention portée à la sécurité, voici quelques principales menaces d’Internet à surveiller

  • Les codes malveillants : les postes utilisés pour accéder à l’espace personnel doivent être protégés (anti-virus et correctifs de sécurité à jour) contre les codes malveillants afin d’assurer la légitimité des accès au compte. Le principal risque sur service-public.fr serait le piratage de son mot de passe.

http://www.ssi.gouv.fr/entreprise/glossaire/c/#code-malveillant-logiciel-malveillant-malicious-software-malware

  • Le filoutage : le site pourrait être copié avec pour simple objectif d’attirer les usagers à s’y connecter et récupérer leurs mots de passe. Pour service- public.fr, un certificat électronique émis par une autorité reconnue dans les navigateurs et qualifiée au sens du Référentiel général de sécurité, permet aux usagers et à leur navigateur de vérifier la légitimité du site auquel ils accèdent.

http://www.ssi.gouv.fr/entreprise/glossaire/h/

  • Les pourriels (SPAM) : l’envoi de courriels non sollicités (SPAM) serait le principal vecteur pour inciter les usagers à s’authentifier sur des sites illégitimes (filoutage) ou infecter leurs postes via des liens ou des pièces jointes malveillants.

http://www.ssi.gouv.fr/entreprise/glossaire/p/#pourriel-polluriel-spam

Textes de référence service-public.fr