S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Identité sécurisée : "impossible d'intercepter les données" (MàJ)

Des TIC et des puces (suite)

Mise à jour 7 juillet 2011 : le texte sera examiné à l'Assemblée nationale cet après-midi à partir de 15 h. Les débats sont programmés pour s'étendre jusqu'à vendredi soir.

Adoptée par le Sénat le 31 mai dernier, la proposition de loi relative à la protection de l’identité sera examinée ce 6 juillet par l’Assemblée nationale en session extraordinaire. Retour sur un texte aux multiples facettes. 

La proposition repose sur deux axes : d’un côté, une carte d’identité qui sera lestée d’une puce électronique dite régalienne destinée à valider l’identité du porteur. De l’autre une base centrale, commune aux passeports biométriques et aux cartes nationales d’identité. S'y ajoute une puce optionnelle pour sécuriser les transactions en ligne. Le texte complète la répression du délit d’usurpation d’identité mise en œuvre par la LOPPSI (*)

assemblée nationale

Un fichier géant, centralisé

Côté « serveur », cette base unique centralisée « permettra de vérifier la concordance entre les données inscrites sur le titre et celles enregistrées sur la base, rendant ainsi vaine la falsification du titre » explique le rapport parlementaire.

Ce fichier central, cœur du dispositif, contiendra l’ensemble des données requises pour la délivrance du passeport et de la carte nationale d’identité. Il sera créé sur décret en Conseil d’État, pris après avis motivé et publié de la CNIL. La durée de conservation devrait être fixée à 15 ans.

Une fois constituée, cette base centrale pourra être exploitée par les agents chargés de rechercher et contrôler l’identité des personnes (art. 5). Il s’agit d’une interrogation en mode binaire (oui/non) destinée à s’assurer de la validité d’un titre et donc de l’identité d’une personne.

Toutefois, contrairement à ce qu’avait décidé le Sénat, la commission des lois de l’Assemblée souhaite que cette base associe solidement les liens entre empreintes digitales et photos. Il s'agit d'un mode plus "actif". Pourquoi ? Ce croisement permettra d’exploiter industriellement les données dans le cadre d’un crime, catastrophe naturelle, etc. On quitte donc ici le mode « binaire » mais il sera nécessaire de passer par une réquisition judiciaire.

Une carte d’identité lestée d’une puce « régalienne »

Avec cette proposition, les cartes nationales d'identité seront dotées d’une puce électronique sécurisée contenant les données d’état civil du propriétaire de la carte. On trouvera en données chiffrées le nom de famille, le ou les prénoms, le sexe, la date et le lieu de naissance du demandeur, l’adresse, la taille et la couleur des yeux du porteur de la carte, la photo, et les empreintes digitales de 8 doigts (« le taux d’erreur, à l’échelle de la population française est de 4 % avec 2 doigts et de seulement 0,16 % avec 8 doigts » dit la commission des lois).

« Impossible d’intercepter les données »

En Commission, on l’assure : cette puce sera ultra sécurisée. Impossible pour un individu malveillant « d’intercepter ses données » en clair. Par ailleurs, elle ne pourra pas servir à géolocaliser les individus :
« Sa puce « régalienne », comportant les données biographiques et biométriques de la personne, bien que sans contact, ne pourra être lue qu’à un centimètre de distance, par un lecteur spécifique lui impulsant une charge électrique activant la visibilité des données stockées. De plus, les données transmises au lecteur seront cryptées, ne pouvant être décryptées qu’au moyen d’une clé électronique régalienne. Il sera donc impossible à un individu malveillant d’intercepter ces données, sachant que pour les intercepter à une distance de 10 mètres, outre le fait de posséder la clé de décryptage des données ainsi qu’un moyen d’activer la lisibilité des données par transmission d’une charge électrique à la puce, il lui faudrait disposer d’une antenne de 10 mètres de hauteur ».
En pratique, le contrôle d’identité ne s’effectuera qu’à partir des données imprimées sur la carte ou inscrites dans la puce électronique. Les agents auront cependant la possibilité de consulter le fichier central, en cas de doute sérieux sur l’identité alléguée ou s’ils constatent que le titre est susceptible d’avoir été falsifié, contrefait ou altéré (art. 5 bis).

Une puce "services électroniques", optionnelle

Outre la puce régalienne, inévitable, une puce « services électroniques » sera proposée sur option, à la discrétion du porteur.

Ce second composant servira à l’internaute pour s’identifier à distance afin de mettre en œuvre sa signature électronique. Le cas échéant, la carte devient une composante de l’authentification en ligne lors des démarches administratives ou des transactions commerciales.

La fiabilité de cette seconde puce sera particulière : elle sera présumée, jusqu’à preuve contraire. L’authentification électronique, assure la Commission des lois, « bénéficiera d’un fort degré de confiance, tout en étant très commode d’usage : un simple lecteur de cartes suffira pour bénéficier de cette fonctionnalité. »

Quand "certains" devient "tous"

Le consommateur sera maitre des données d’identification qu’il communique à l’occasion de la transaction. Le cybermarchand ne pourra refuser une transaction si le consommateur ne dispose pas de cette carte sécurisée.

Notons que le texte dit que « certains acteurs économiques » pourront accéder au fichier central précité pour vérifier la validité du titre. En commission des lois, on apprend que « certains » équivaut à « tous ».

usurpation d'identité carte puce sécurisation

Lors de son audition, « la CNIL a estimé que cette disposition ne posait pas de problème » explique la Commission des lois.

Nouvelle infraction MMM

En plus de prévoir ces puces et ce fichier centralisé, le gouvernemental profite du texte pour aggraver le droit pénal informatique. C’est plus ou moins la logique qu’a défendu Muriel Marland Militelo dans une proposition similaire, qui fait désormais un peu doublon et devrait tomber.

Via un amendement déposé au Sénat, le gouvernement souhaite sursanctionner les attaques informatiques contre les fichiers sensibles « mises en œuvre par l’État » : en cas d’introduction dans un tel fichier nominatif, ce sera cinq ans d’emprisonnement et 75 000 € d’amende (contre deux ans d'emprisonnement et de 30 000 euros d'amende actuellement, actuellement). En cas d’entrave, d’introduction, de modification ou d’effacement de données, les peines passent à 7 ans de prison et de 100 000 euros d’amende (contre 5 ans et 75 000 euros).

Nous nous demandions si la notion de « mise en œuvre par l’État » est assez vaste pour protéger pénalement les fichiers manipulés par la Hadopi. La Commission des lois de l’Assemblée nationale n’en dit mot.

(*) le fait d’usurper l’identité d’un tiers ou de faire usage d’une ou plusieurs données de toute nature permettant de l’identifier en vue de troubler sa tranquillité ou celle d’autrui, ou de porter atteinte à son honneur ou à sa considération est puni d’un an d’emprisonnement et de 15 000 euros d’amende.
Marc Rees

Journaliste, rédacteur en chef

Google+

Publiée le 07/07/2011 à 08:13

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...
;