L’ensemble du site Open Street a évolué afin d’utiliser les dernières normes de sécurité pour le web en ce qui concerne le chiffrement des échanges. Cette évolution accompagne le virage sécuritaire qu’est en train de prendre internet depuis plusieurs années, virage probablement aidé par les dernières révélations des lanceurs d’alertes sur la confidentialité des télécommunications.
La confidentialité des données
Chez Open Street, nous avons toujours porté une attention particulière à la confidentialité des données qui nous sont confiées. Les données géographiques utilisées pour la génération du rapport de calcul peuvent être sensibles, notamment si les adresses sont accompagnées de données nominatives ou de coordonnées téléphoniques ou email. En réalité il est seulement nécessaire de nous préciser les adresses des points d’arrêt, mais le confort de retrouver le code client, le nom du contact, et d’autres champs dans le rapport d’optimisation grâce à l’import Excel, nous amène à traiter différents types de données.
Depuis toujours, nous maîtrisons de A à Z l’infrastructure informatique qui héberge notre service. Cette infrastructure est en France, ce qui rassure généralement nos utilisateurs à juste titre : en tant qu’entreprise française nous ne pouvons pas faire n’importe quoi avec nos clients, car nous avons pignon sur rue et sommes tenus de respecter la réglementation.
Ce que permet le chiffrement SSL
Dans cet état d’esprit, la suite logique était d’utiliser un certificat de chiffrement SSL, permettant d’une part de chiffrer les échanges entre le serveur web et le navigateur de nos utilisateurs, et d’autre part d’attester de l’identité du serveur et de sa non-usurpation.
Pour cela nous utilisons le protocole sécurisé TLS 1.2 avec une clé RSA 2048 bits. Ce qu’il faut retenir, c’est que nous mettons en place ce qui se fait de mieux actuellement : même notre banque ne fait pas mieux sur son site internet.
Concrètement, le chiffrement des échanges signifie que même si vous utilisez une connexion internet malicieuse (exemple : wifi public détourné pour la récolte d’identifiants divers), le pirate ne pourrait rien comprendre des adresses que vous rentrez ni des calculs que vous opérez. Depuis la connexion internet de l’entreprise, cette sécurité est la plupart du temps un luxe plus qu’une nécessité absolue, mais on n’a jamais souffert d’un excès de précaution. Un scénario malheureusement possible : même si votre entreprise est visée par de l’espionnage industriel, ou si votre opérateur internet cherche à espionner vos activités en ligne, aucune information destinée à nos serveurs ne pourra fuiter. Le processus d’authentification s’en trouve renforcé, mais il bénéficiait déjà d’un niveau de sécurité excellent avec un algorithme de hachage changé toutes les 2 minutes.
Le certificat permet également de s’assurer de l’identité du serveur : si votre navigateur vous montre le cadenas en haut à gauche à coté de l’URL, vous êtes certain que vous avez affaire avec Open Street et non pas une éventuelle copie pirate destinée à vous dérober des informations.
Enfin, et c’est peut-être là l’essentiel, la mise en place de cette sécurité s’inscrit dans une démarche respectueuse de la confidentialité des données.