Fichier TES : menace pour notre vie privée ?

informations credits smiciklas (licence creative commons)

Bien que cela ne soit pas formellement prévu, il arrivera, certainement, le moment où les caméras de vidéosurveillance, combinées à l’utilisation du fichier TES, permettront de suivre un quidam dans tous ses déplacements. Quel effet sur la vie privée ?



Par Alexandre Marraud des Grottes.

Fichier TES : menace pour notre vie privée ?
informations credits smiciklas (licence creative commons)

Suite à mon précédant article abordant le sujet délicat du fichier TES, une actualisation est aujourd’hui de rigueur suite à la mise en ligne de l’Audit du système « Titres Electroniques Sécurisés » commandé le 17 novembre 2016 par le Ministre de l’Intérieur, et mené par la DINSIC (Direction Interministérielle du Numérique et du Système d’Information et de communication de l’Etat) et l’ANSSI (Agence Nationale de la Sécurité et des Systèmes d’Information) du 28 novembre 2016 au 15 janvier 2017. Cet audit avait pour but de solliciter l’avis des deux organismes susnommés sur la sécurité du système face aux risques de fraude, d’intrusion, de compromission ou de destruction, et sur les mécanismes de sécurité prévus pour garantir l’impossibilité de détourner le système de ses finalités.

Dans leur propos liminaires, la DINSIC et l’ANSSI relèvent donc que l’objectif fixé de l’audit n’a pas été de concevoir un nouveau système de gestion des cartes nationales d’identité (CNI), fondé sur d’autres type d’architectures techniques et logicielles, potentiellement plus distribuées et couplées à des moyens techniques différents, notamment en matière de capture des données biométriques, en dépit des demandes formulées par la CNIL.

Historique

Cet audit est la résultante des recommandations du Conseil National du Numérique – formulées dans son communiqué de presse du 7 novembre 2016 faisant suite au décret n°2016-1460 publié le 30 novembre 2016 au beau milieu du weekend prolongé de la Toussaint portant sur l’instauration d’un nouveau fichier des Titres électroniques sécurisés (TES) d’une ampleur inégalée. Balayant la restriction de la captation d’informations à caractère personnel, faisant fi de la proportionnalité de la détention d’informations sur un quidam fonction des risques qu’il peut faire courir à la société, il suffit de détenir une carte d’identité ou un passeport pour figurer dans ce fichier électronique conservé dans une base centralisée. Cela concerne près de 60 millions de Français.

Dans son communiqué, pour mémoire, le Conseil National du Numérique appelait le Gouvernement à suspendre la mise en œuvre de cette base de données, et s’autosaisissait pour examiner des alternatives techniques plus modernes et respectueuses des droits et libertés, déplorant en premier lieu le caractère administratif de cette décision, prise sans aucune concertation, et minimisée dans ses conséquences depuis lors par le Gouvernement. Par ailleurs, le Conseil rappelait qu’à un mois du Sommet de Paris sur le Partenariat pour un gouvernement ouvert (PGO) présidé par la France pendant un an, cette opacité contrastait fortement avec les objectifs affichés par les pouvoirs publics en matière de transparence, sans compter qu’elle s’inscrivait à rebours de la démarche de consultation initiée par Axelle Lemaire sur les décrets d’application de la loi pour une République numérique.

Dans un second temps, le Conseil s’inquiétait des dérives aussi probables qu’inacceptables inhérentes à l’existence de ce fichier ; du recul démocratique qui pourrait résulter d’un élargissement potentiel et prévisible de ses finalités initiales. Aussi légitimes que soient ces finalités, cette centralisation de données biométriques est à même de susciter des appétits et leur détournement massif. Quoi qu’il en soit, la compilation de ces données permettrait à terme l’identification systématique de la population avec les moyens de la reconnaissance faciale ou de la reconnaissance d’image, à des fins policières ou administrative.

Enfin, le choix de la centralisation revenait, pour le Conseil, à créer une cible d’une valeur inestimable dont les premières menaces apparaîtront dès la mise en ligne du fichier. Pour mémoire, en 2009, un registre de la population israélienne contenant des informations confidentielles sur près de 9 millions de citoyens s’est retrouvé sur Internet à la suite d’une négligence d’un sous-traitant. Au mois d’avril dernier, une faille de sécurité avait entraîné une fuite massive de données relatives à 55 millions d’électeurs Philippins. Le même mois, c’était une base de données tirée du recensement de la population turque qui était mise en ligne avec noms et adresses.

En l’occurrence, ce décret arrive à un moment où les cybermenaces se font redoutables dans le monde. La défaite d’Hillary Clinton à la présidentielle américaine est, à titre d’exemple, arguée avoir été facilitée, voire découle des piratages opérés par Wikileaks, qui a su démontrer qu’en matière de sécurité informatique, aucun système n’est imprenable. Il est, à ce titre, à noter la phrase de Jean-Jacques Urovoas en 2012 soulignant, au sujet de la proposition de loi qui a, semble-t-il, inspirée ce décret, que les défenses érigées comme des lignes Maginot finissent immanquablement par tomber, que ce n’est qu’une question de temps.

Le Conseil National du Numérique estime alors qu’au vu de ces menaces, les réponses juridiques ne suffisent plus et doivent s’accompagner de garanties techniques permettant d’assurer la sécurité des données des citoyens. À ce titre, des alternatives sont proposées par la CNIL ou le Conseil constitutionnel à l’instar de la conservation des données biométriques sur un support individuel exclusivement détenu par la personne concernée.

Ces alternatives, qui s’inscrivent dans la logique d’autodétermination informationnelle consacrée par la loi numérique, permettent d’atteindre les objectifs de lutte contre la fraude documentaire tout en étant respectueuses de la vie privée des citoyens.

Aussi, dans leur communiqué de presse du 10 novembre 2016, Bernard Cazeneuve et Axelle Lemaire assuraient que « le Gouvernement a ouvert un dialogue constructif avec le Parlement et la société civile et s’est engagé à impliquer de manière continue les organes d’expertise techniques, les autorités indépendantes et à rester à l’écoute des attentes de la société civile, notamment celles issues de la consultation engagée par le Conseil national du numérique, sur le sujet de l’identité numérique qui représente un enjeu majeur de modernisation et de protection pour nos concitoyens. Des pistes d’évolution du dispositif ont par ailleurs été ouvertes : d’une part, en garantissant la possibilité pour tout individu de refuser le versement de ses empreintes ; d’autre part, en prévoyant une homologation de la sécurité du système et des procédures par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) et la Direction interministérielle du numérique et du système d’information et de communication de l’État (DINSIC). »

Les promesses n’engagent que ceux qui les écoutent. En effet, de par l’article 27 de la loi Informatique et Libertés de 1978, l’Exécutif a la faculté d’instituer, par un simple décret, tous traitements de données à caractère personnel pour le compte de l’État, ou touchant à la sécurité nationale. Et depuis 2004, les données biométriques sont soumises au même régime, en dépit de leur sensibilité. L’on assiste donc, impuissants, à l’absence de contrôle parlementaire sur la création de fichiers concernant les données personnelles des citoyens par l’Exécutif.

Quoi qu’il en soit, dès leur propos liminaires, la DINSIC et l’ANSSI annoncent l’étendue de la mission qui a été la leur au cours de cet audit, en l’occurrence, une analyse des fonctionnalités du système TES, de son architecture, de sa gouvernance et de son organisation, ainsi qu’en un test d’intrusion visant à apprécier le niveau de sécurité réel du système.

Un bilan présenté comme positif

Bruno Le Roux se réjouit des conclusions de cet audit, écrivant prendre « pleinement acte des conclusions de ce rapport, qui établissent clairement que le système « TES » est « compatible avec la sensibilité des données qu’il contient », dans son architecture comme dans ses conditions d’usage. [Il] ajoute que le rapport établit que les usages de ce système par les agents de préfecture et ceux de l’Agence nationale des titres sécurisés, le cas échéant à la demande de la police judiciaire ou des autorités judiciaires, sont pleinement conformes aux textes qui régissent ce traitement de données ».

Dès lors, une commission d’homologation qui associera pour avis l’ANSSI et la DINSIC devrait être réunie sous un mois pour se prononcer sur l’analyse des risques et la conformité des mesures de maîtrise de ces risques.

Bruno le Roux relève d’ailleurs à la suite de ce rapport les apports positifs de la réforme de la délivrance des cartes nationales d’identité portée par le ministère de l’Intérieur. [Qu’] en effet, le nouveau dispositif :

  • Est utile en matière de lutte contre la fraude et l’usurpation d’identités ;
  • Apporte une plus-value réelle en termes de simplification des démarches des usagers ;
  • Va soutenir la réforme du service public dans les communes comme dans les préfectures, en permettant des gains d’efficience et d’efficacité.

Le ministre de l’Intérieur prend enfin bonne note des observations des auditeurs soulignant que la sécurité des systèmes informatiques n’est jamais un absolu, et que des risques résiduels sont inévitables, notamment au regard de l’évolution des pratiques et normes techniques.

Ne pas prendre les gens pour des cons mais ne pas oublier qu’ils le sont (les Inconnus)

Bien que l’ANSSI et la DINSIC n’aient pas été sollicitées pour se prononcer sur autre chose que des considérations techniques portant sur la sécurité informatique des données et l’architecture du fichier TES, les auditeurs relèvent néanmoins plusieurs aspects fondamentaux du point de vue des libertés individuelles, que Bruno Le Roux n’a pas jugé bon de mentionner dans ses présentations et lettres au Président de l’Assemblée nationale et au Président du Sénat.

Tout d’abord, et c’est essentiel car l’on est sur de la sémantique, ce n’est pas tant, comme l’écrit le Premier ministre, « le système TES [qui] est compatible dans son architecture et ses conditions d’usage, à la sensibilité des données qu’il recueille », que « l’audit [qui] a montré que, du point de vue de la sécurité informatique, les principes de conception du système TES sont compatibles avec la sensibilité des données qu’il contient ». Vous me reprocherez peut-être d’être tatillon, de jouer sur les mots, pourtant Bruno Le Roux le fait et la différence entre les conclusions des auditeurs et l’assertion qu’il reprend à son compte est de taille. Un système et ses principes de conception sont deux choses différentes : on passe de la théorie à la pratique sans transition aucune ni test. Or, ce contre-sens tend à dédramatiser le constat de l’audit et les recommandations faites par l’ANSSI et la DINSIC.

En effet, « les principes de conception du système TES sont compatibles avec la sensibilité des données qu’il contient, cependant TES est un système complexe, incluant de multiples parties prenantes et de nombreux composants matériels et logiciels, d’où la nécessité d’une vigilance particulière pour assurer un niveau de sécurité homogène sur l’ensemble de son périmètre. À ce titre, et au regard de l’évolution des technologies et de la menace cyber, l’audit a mis en évidence que la sécurité globale du système TES est perfectible. »

La différence est notable. Bruno Le Roux nous assure un fichier TES compatible dans son architecture et ses conditions d’usages, alors que manifestement, le système est encore perfectible tant que les recommandations de l’ANSSI et de la DINSIC n’auront pas dépassé le stade de la mise en œuvre d’un plan d’action.

Les auditeurs rappellent également que le système ne pourra en aucun cas être garanti inviolable et qu’in fine, cette question de la sécurité du système TES renvoie à l’arbitrage que doit faire l’État en matière d’acceptation des risques résiduels inévitables liés à la mise en œuvre de ce système au regard des bénéfices escomptés pour la gestion des titres. »

En effet, et les auditeurs le relèvent, le fichier TES soulève des interrogations éthiques importantes. Notamment par son croisement avec les méga-données (Big data) et d’autres textes normatifs à l’instar du Décret n°2016-1955 du 28 décembre 2016 cosigné par Bernard Cazeneuve, Bruno Leroux, Jean-Jacques Urvoas et Ericka Bareigts venant modifier la liste des infractions pouvant être sanctionnées à distance via des caméras ou des radars automatiques. Entré en vigueur le 31 décembre 2016, il vient consacrer une vidéo-verbalisation à la volée permettant, à partir d’images fournies par des radars automatiques ou des caméras de vidéo-surveillance installées sur la voie publique, de dresser un PV électronique, envoyé au titulaire de la carte grise. Cette technique n’est en soit pas nouvelle dans la mesure où certaines villes ont déjà adopté de dispositif, cependant circonscrit essentiellement aux feux rouges, circulation dans des voies réservées et stationnement. Toutefois, ce décret vient enrichir la liste des infractions pouvant être sanctionnées à distance, notamment le défaut de port de ceinture de sécurité, l’usage du téléphone au volant, l’usage de voies et chaussées réservées à certaines catégories de véhicules (bus, taxis…), l’arrêt, le stationnement ou la circulation sur les bandes d’arrêt d’urgence, le non-respect des distances de sécurité, …

Concrètement, l’ANSSI et la DINSIC estiment à ce titre que du point de vue des usages, l’audit a constaté que le système TES peut être détourné à des fins d’identification, malgré le caractère unidirectionnel du lien informatique mis en œuvre pour relier les données d’identification alphanumériques aux données biométriques. Cet usage illicite peut-être atteint ne serait-ce que par reconstitution d’une base de données complète à partir du lien unidirectionnel existant. »

Bien que les recommandations développées aient pour but d’encadrer les usages du fichier et de limiter aux informations strictement nécessaires les données véhiculées, il existera toujours un risque de dévoiement, de détournement de l’usage fait du fichier TES.

Vers une inexorable fin de la l’anonymat et de la vie privée ?

Bien que cela ne soit pas formellement prévu, il arrivera, certainement, le moment où les caméras de vidéosurveillance, combinées à l’utilisation du fichier TES, permettront de suivre un quidam dans tous ses déplacements – à pied ou véhiculés – et d’avoir instantanément accès à toutes ses informations : nom, prénoms, âge, taille, empreintes digitales, couleur des yeux, adresse, lieux de voyages, filiation, voitures, compagnie d’assurance, et, par croisements de données stockées à d’autres endroits sur Internet (grâce au méga-données) : tout. Un logiciel de reconnaissance faciale suffisamment élaboré pourrait permettre de tout savoir sur chacun de nous.

La généralisation des moyens de collecte et de traitement des informations ; la banalisation de la biométrie désormais utilisée par les industries de grande consommation ; la demande croissante de services de plus en plus personnalisés ; la demande de sécurité, de confort ; l’effort de simplification et de maîtrise des coûts au sein de l’État comme dans de nombreuses industries, conduiront à la démultiplication du recours à l’identification, à l’authentification.

Ces questions là portent sur des valeurs essentielles et parfois contradictoires : sécurité, efficacité, protection des libertés fondamentales, souveraineté, croissance économique, confiance des citoyens et des consommateurs, et ne peuvent donc, du fait de leur caractère universel – de par le nombre de personnes concernées -, être tranchées sans un important débat de société préalable au cours duquel les citoyens se verraient éduquer sur le sujet pour en saisir les tenants et aboutissants. Une telle problématique ne peut être, en effet, avalisée que par un référendum, car c’est bien de nos données personnelles qu’il s’agit, de notre identité, et il semble tout à fait anormal que le seul pouvoir éxécutif puisse, par simple décret et en vertu de la loi, décider du sort de nos informations personnelles.

Il paraît que les gens sont cons mais n’aiment pas être considérés comme tel … Quand cesserons-nous alors d’être étonnés, offusqués, dégoûtés pour enfin faire une crise de raison et prendre conscience de la force immense d’un peuple en branle, de la société civile consternée concernée ? Nous sommes à un tournant de notre histoire, aux prémices d’une révolution technologique d’une ampleur incommensurable qui est amenée à changer notre rapport au monde.

Et la société nouvelle qui se dessine le sera avec ou sans nous.