Le développement et la bonne compréhension de l’usage de l’authentification sur Internet par le grand public constituent l’un des éléments concourant à l’amélioration de la confiance dans l’environnement numérique.
Ils font à cet égard l’objet d’une action spécifique dans le plan gouvernemental de développement de l’économie numérique « France Numérique 2012 » : la confiance numérique est en effet un élément essentiel à la diversification et au développement des usages et des services numériques.
Alors que l’identification consiste à communiquer une identité, l’authentification consiste à apporter la preuve de cette identité, avec un certain niveau de garantie dépendant des moyens mis en œuvre. L’authentification n’est pas une démarche anodine : elle doit être réservée aux opérations au cours desquelles l’usager communique des données personnelles, qui, si elles étaient réutilisées frauduleusement, permettraient de valider des opérations sous une identité usurpée.
Afin de développer l’usage de l’authentification sur Internet pour le grand public deux objectifs principaux ont été fixés :
la promotion des meilleures pratiques d’authentification, en concertation avec les différents acteurs concernés ;
la définition et la mise en place d’une campagne de communication.
La présente charte est le résultat de la concertation menée par les pouvoirs publics en amont de la préparation du plan France Numérique 2012.
Cette phase de concertation a permis de recueillir la position des différents acteurs concernés et dégager un consensus sur :
des lignes d’action pour promouvoir des pratiques d’authentification appropriées ;
des engagements réciproques.
Lignes d’action pour la promotion de pratiques d’authentification appropriées
Familiariser les internautes avec l’authentification :
Familiariser les internautes avec la notion : en les incitant à distinguer l’authentification, qui consiste à prouver qui l’on est lors de démarches importantes (le cas échéant auprès d’interlocuteurs eux-mêmes authentifiés), de l’identification, qui consiste à divulguer son identité sur Internet sans précaution particulière.
Familiariser les internautes avec les différentes techniques : en les aidant à reconnaître et mieux accepter les solutions d’authentification utilisées par les différents opérateurs (entreprises, fournisseurs d’accès, banques, administrations …), qui peuvent en outre correspondre à des modalités de gestion de risque différentes.
Améliorer les connaissances des internautes : en les incitant à s’informer sur les pratiques de leurs interlocuteurs habituels : reconnaissance des sites sécurisés, connaissance des données que certains interlocuteurs sont fondés à demander ou des données à ne communiquer sous aucun prétexte, lecture des contrats, obligations légales et contractuelles, accès aux données, etc.
Inciter les internautes à acquérir de bons réflexes :
En amont, inciter les internautes à sécuriser leur ordinateur : recours à des outils de protection, mises à jour régulières, gestion des moyens d’authentification, configuration des applications de sécurité, etc.
Favoriser l’adoption de bons réflexes : en informant les internautes régulièrement, tant en amont que lors d’une opération nécessitant la saisie de données personnelles (ne pas cliquer sur un lien proposé par un spam, vérifier systématiquement les URL des sites visités,…).
Lutter contre les idées reçues : en identifiant les craintes des internautes et des non internautes, en mettant en lumière les paradoxes de certaines pratiques (achat d’un antivirus mais absence de mise à jour, par exemple), en faisant prendre conscience à l’internaute des moyens dont il dispose pour assurer la sécurité des transactions.
Engagements réciproques des professionnels et des autorités publiques
Engagement des professionnels et de l’e-administration : renforcer l’authentification de manière appropriée, en fonction des risques, des enjeux et coûts associés
Favoriser la mise en place de solutions d’authentification adaptées.
Présenter les devoirs et obligations réciproques des clients et des professionnels issus de la réglementation et de la législation en vigueur.
Encourager les internautes à rester vigilants lors de la fourniture de données personnelles et à apprendre à reconnaître les sites malveillants (afin de lutter, notamment, contre les phénomènes de filoutage / phishing - pharming).
Informer, sensibiliser le grand public de l’évolution des différentes formes de malveillance, dans le cadre d’une veille appropriée.
Engagement des autorités publiques : sensibiliser aux bonnes pratiques d’authentification et de sécurisation du poste de travail
Promouvoir la pratique d’une authentification adaptée au risque par une communication appropriée
Sensibiliser les internautes à la nécessité de protéger, en amont, leur ordinateur
Favoriser l’adoption de bonnes pratiques en matière de messagerie et de lutte contre le spam.
Promouvoir les échanges de bonnes pratiques avec les pays confrontés à des défis similaires.
- Charte pour la promotion de l’authentification sur Internet signée le 7 février 2008
- Charte pour la promotion de l’authentification sur Internet signée le 17 juin 2009