Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Les points noirs du fichier TES épinglés par le rapport ANSSI et DINSIC

Failles, identification, etc.
Droit 8 min
Les points noirs du fichier TES épinglés par le rapport ANSSI et DINSIC
Crédits : Nomadsoul1/iStock

À une semaine du FIC, le Forum international de la cybersécurité à Lille, l’ANSSI et la DINSIC ont remis leur rapport sur le fichier des titres électroniques sécurisés, cette méga base agrégeant les données notamment biométriques des cartes nationales d’identité et des passeports. Une certitude : les conclusions du document sont très mitigées.

La naissance de TES par un décret en Conseil d’État publié le 30 octobre 2016 a provoqué un bel émoi : ce fichier monstre, contre le principe duquel le PS s’était opposé en 2012, a pour ambition de devenir le plus grand fichier biométrique français. Cela en rassemblant les empreintes et la photo du visage de tous les porteurs de ces titres.

Potentiellement, comme l'a souligné la CNIL, il peut concerner l’ensemble de la population française. Les aigreurs de la Commission sont d’autant plus vives qu’« aucun autre système n’a été étudié et présenté comme voie alternative. Cela n’a pas été discuté avec la CNIL. On n’a pas été saisi d’un dispositif d’alternatif ».

La CNIL, comme le Conseil national du numérique ou le Conseil d’État dans son avis, et bien d’autres, ont tous regretté l’absence de procédure parlementaire qui aurait permis d’ouvrir un débat solide. Et pour cause, pour Isabelle Falque-Pierrotin, présidente de la gardienne des données personnelles, « en constituant cette base, on franchit un pas dans le type de société qui est la nôtre. La menace terroriste est évidente (…) Mais est-ce que pour autant cette menace justifie que l’État constitue un fichier qui enregistre de manière permanente et indélébile des données biométriques sur l’ensemble de la population, ceci permettant le cas échéant d’identifier les personnes ? ».

Pour éteindre l’incendie institutionnel et médiatique, Bernard Cazeneuve a finalement demandé un audit à l’Agence nationale de la sécurité des systèmes d'information (ANSSI) et à la Direction interministérielle du numérique et du système d'information et de communication de l'État (DINSIC). Leur rapport a été publié hier sur le site du ministère.

Pas de publicité de la lettre de mission, un rapport scanné 

Regrettons d’ores et déjà que la lettre de saisine n’a pas fait l’objet de la moindre publicité (nous allons donc la solliciter, au besoin par procédure CADA). On découvre cependant que la demande de Bernard Cazeneuve « porte uniquement sur le fichier TES existant ».

En bons éclairagistes, la DINISC et l’ASIC expliquent qu’ «en effet, l’objectif n’a pas été de concevoir un nouveau système de gestion des cartes nationales d’identité, fondé sur d’autres types d’architectures techniques et logicielles, potentiellement plus distribuées et couplées à des moyens techniques différents, notamment en matière de capture de données biométriques ». En clair : le ministre n’a pas voulu que ces deux entités puissent imaginer d’alternative à TES, les obligeant à se concentrer uniquement sur la beauté du système litigieux. 

Autre petite contrariété, seul a été diffusé un scan du rapport, non le texte source. Judicieux : cela évite toute indexation par les moteurs incapables de reconnaissance de caractère.

L'identification par empreinte techniquement possible

Pour lire cet avis, il est amusant de faire des allers-retours avec les conclusions tirées par le ministère de l’Intérieur. « Je prends pleinement acte des conclusions de ce rapport, qui établissent clairement que le système « TES » est « compatible avec la sensibilité des données qu’il contient », dans son architecture comme dans ses conditions d’usage » tambourine Bruno Le Roux.

Le nouveau ministre de l’Intérieur tient à ajouter que « le rapport établit que les usages de ce système par les agents de préfecture et ceux de l’Agence nationale des titres sécurisés, le cas échéant à la demande de la police judiciaire ou des autorités judiciaires, sont pleinement conformes aux textes qui régissent ce traitement de données ».

Cependant, la sélection est très sélective. Le Roux oublie de poursuivre sa lecture notamment ce passage du rapport où est pointé une sécurité globale « perfectible ». Pire : ce système « peut techniquement être détourné à des fins d’identification, malgré le caractère unidirectionnel du lien informatique mis en œuvre pour relier les données d’identification alphanumériques aux données biométriques ». Et ce contrairement à ce qu’assurait Bernard Cazeneuve, à savoir un TES cantonné à un processus d’authentification et non pas d’identification à l’aide des seules données biométriques. 

Pour renverser cette logique, il suffirait de reconstruire une base de données complète « à partir du lien unidirectionnel existant ». Un tel changement de finalité sera difficile, mais seulement si « des mesures de sécurité techniques, fonctionnelles et organisationnelles auront été mises en place ». Démonstration douloureuse que ces mesures ne l’ont pas encore été.

Les avantages et les autres points noirs de TES

La DINSIC et l’ANSSI remarquent que TES a des avantages. Pour les passeports, seuls documents concernés avant le décret, il permet « de lutter plus efficacement contre les usurpations d’identité », il simplifie la vie de l’usager, autorisant la prédemande en ligne, la dématérialisation du timbre fiscal, tout en accélérant la phase d’instruction avant la remise du titre. De plus, il renforce la traçabilité lors des accès par les agents. « Sous réserve d’offrir un niveau de sécurité suffisant », module les deux entités, ces garanties seraient étendues aux demandes de carte nationale d’identité.

Compte tenu de la sensibilité des données biométriques, ces deux acteurs recommandent toutefois que ces informations soient chiffrées, du moins pour la gestion des titres depuis les mairies ou les préfectures, tout en confiant à une autorité tierce « la capacité de les déchiffrer ». Ainsi, « ni le ministère ni l’autorité tierce n’aurait seul les moyens de déchiffrer complètement ces données, dès lors que plusieurs clés de chiffrement seraient utilisées ».

Dans le cadre des réquisitions judiciaires, les mêmes rappellent qu’OPJ, procureurs et juges d’instruction peuvent déjà obtenir communication des informations détenues par TES ou les préfectures et les autres administrations. Les OPJ peuvent ainsi butiner les empreintes digitales collectées sur formulaire papier dans le cadre de la CNI. De son côté, TES devrait permettre d’assurer le traitement et la traçabilité des requêtes, systèmes qui n’existent pas aujourd’hui.

Cependant, ANSSI et DINSIC recommandent malgré tout que soient analysés « les risques de dévoiement de l’utilisation des données traitées par TES ou d’exfiltration de tout ou partie de ces données ». On en retient là encore qu’une telle analyse n’a donc pas été faite complètement en amont de la publication du décret « Halloween », puisque son existence n’aurait pas rendu nécessaire une telle remarque.

Avant son déploiement, il y a eu certes bien eu des analyses de risques reposant sur plusieurs scénarios d’actes malveillants, d’où ont été déduites des mesures de réponse. Le rapport demande cependant que ces analyses soient « affinées (…) notamment en adaptant davantage les scénarios de risque à la nature des données à protéger ». Même remarque : si un tel affinage est sollicité, c’est que son absence est jugée problématique.

Des sous-traitants du fichier TES

D’autres craintes émergent s’agissant du choix par l’ANTS, l’Autorité nationale des titres sécurisés, de faire appel à des sous-traitants pour gérer ces données ultra-sensibles. Une telle politique « est susceptible d’augmenter la surface d’exposition du système à d’éventuelles attaques ». Le rapport plaide du coup pour « la mise en place d’une gestion stricte et formalisée des sous-traitants intervenant sur le système TES notamment à travers des exigences contractuelles adaptées ». Là encore, cette gestion manque à l’appel aujourd’hui, mais heureusement, cette démarche a été « engagée » dans le cadre du renouvellement du marché de prestation. Ouf !

Pour revenir à la problématique du lien unidirectionnel, la recommandation n°6 du rapport demande au gouvernement de prendre en compte « les préconisations du référentiel général de sécurité concernant les mécanismes cryptographiques ».  Promis juré, cependant, l’ANTS aurait déjà prévu d’y revenir dès cette année, tout en optant pour un chiffrement des données biométriques et des pièces justificatives versées au dossier par les citoyens confiants.

Des vulnérabilités classées secret-défense

Page 9 du document, on découvre qu’un « certain nombre de vulnérabilités de gravité variable » ont été relevées lors des tests d’intrusion. « La configuration et les pratiques d’administrations de certains équipements du centre serveurs ne sont pas conformes à l’état de l’art ».

D’autres failles ont été épinglées « dans l’application métier ». ANSSI et DINSIC demandent en réaction qu’un « référentiel de sécurisation applicable à l’ensemble des équipements du système TES, ainsi qu’un référentiel de développement sécurisé des applications » soit défini et surtout mis en œuvre. Impossible d’en savoir plus sur le détail des vulnérabilités : ces lacunes ont été listées dans un rapport séparé protégé par le secret défense.

Dans ses conclusions, l’étude note que toutes les questions soulevées par la biométrie et le fichage exigent « un important débat de société ». En clair, le rapport dézingue lui aussi le choix gouvernemental d’avoir choisi ce véhicule administratif plutôt qu’un débat parlementaire, suivi d’une loi comme l’autorisaient pourtant les textes...

Malgré la perfection de son fichier TES, le gouvernement promet de reprendre « à son compte l’ensemble des recommandations proposées par cet audit visant à améliorer la protection de l’application contre les risques d’intrusion ainsi que la robustesse du lien unidirectionnel entre ses données alphanumériques et biométriques ». Celles-ci devraient être prises en compte. De plus, associée aux deux auteurs du rapport, une commission d’homologation se réunira d’ici février « pour se prononcer sur l’analyse des risques et la conformité des mesures de maîtrise de ces risques ».

On reste malgré tout stupéfait des conclusions de ce document dont l’existence même traduit un léger problème organisationnel dans la gestion de cette base fichant 60 millions de Français. Notons enfin que la DINSIC et l'ANSSI sont auditionnées ce matin à l'Assemblée nationale. Nous reviendrons sur cette audition.

37 commentaires
Avatar de hellmut Abonné
Avatar de hellmuthellmut- 18/01/17 à 10:06:44

ah tiens, l'impossibilité technique de l'identification à partir des données biométriques, argument phare de l'actuel premier ministre, serait du gros bullshit?

je tombe des nues. :fumer:

Avatar de jackjack2 Abonné
Avatar de jackjack2jackjack2- 18/01/17 à 10:11:21

Ca donne juste envie de pleurer
Ils trafiqueront 2-3 trucs, diront que tout a été comblé, et tout ira bien sans avoir à consulter de nouveau ces autorités mal polies...

Et dans quelques années la France rejoindra la liste des pays dont la liste des habitants contenant des infos biométriques a été piratée

Et on aura toujours des écervelés pour nous dire que c'était l'avenir, qu'il faut en passer là, que c'est pas grave, que tout a été mis en oeuvre pour la sécurité mais que là c'était des super giga HaXXor de la mort et qu'ils ont rien pu faire contre, etc
 

Avatar de picatrix INpactien
Avatar de picatrixpicatrix- 18/01/17 à 10:15:55

Pour avoir un fichier regroupant les photos du visage de l'ensemble de la population, n'aurait-il pas été plus simple d'utiliser les données de facebook ? :fumer:

Avatar de Kotegaeshi Abonné
Avatar de KotegaeshiKotegaeshi- 18/01/17 à 10:21:35

le type de société qui est la nôtre

une sécurité globale « perfective »

J’ai mal à ma langue.

Avatar de CreaYouz INpactien
Avatar de CreaYouzCreaYouz- 18/01/17 à 10:27:38

Si en plus c'est mal fait, cela fait vraiment très très peur... Vraiment n'importe quoi ce gouvernement. On aura touché le fond et creusé à la dynamite.

Avatar de anonyme_8db2db86e6e8bfd8080de99876638d13 INpactien

Alors on a "un certain nombre de vulnérabilités de gravité variable", un rapport scanné pour éviter l'indexation, un déni total des libertés et des recommandations de la CNIL, un truc passé en loucedé pendant un pont....
Ça mériterais bien une bonne claque dans la gueule moi je dis... :mdr:

Avatar de jackjack2 Abonné
Avatar de jackjack2jackjack2- 18/01/17 à 10:49:20

Kotegaeshi a écrit :

le type de société qui est la nôtre

une sécurité globale « perfective »

J’ai mal à ma langue.

Pourquoi? Ce sont des tournures de phrases très efficientes je trouve

Sinon, personne a prévu de passer ça à l'OCR?

Édité par jackjack2 le 18/01/2017 à 10:50
Avatar de jackjack2 Abonné
Avatar de jackjack2jackjack2- 18/01/17 à 11:06:42

jackjack2 a écrit :

Sinon, personne a prévu de passer ça à l'OCR?

Bon du coup je viens de le faire : [http://docdro.id/rdVnGpR](http://docdro.id/rdVnGpR)

Peut mieux faire mais bon c'est déjà ça d'ici une version propre
Par contre je sais pas où la mettre pour que ça se fasse indexer
 
Edit: sur pastebin déjà http://pastebin.com/REYKx19i

Édité par jackjack2 le 18/01/2017 à 11:09
Avatar de hellmut Abonné
Avatar de hellmuthellmut- 18/01/17 à 11:34:15

jackjack2 a écrit :

Et dans quelques années la France rejoindra la liste des pays dont la liste des habitants contenant des infos biométriques a été piratée

Et on aura toujours des écervelés pour nous dire que c'était l'avenir, qu'il faut en passer là, que c'est pas grave, que tout a été mis en oeuvre pour la sécurité mais que là c'était des super giga HaXXor de la mort et qu'ils ont rien pu faire contre, etc

perso jsuis plus inquiet des possibles futures utilisations légales du fichier que de se faire hacker la base par les russes (j'ai pas dit que c'était pas inquiétant, note bien).
quand on voit le niveau du législateur en la matière, et la volonté nette d'un certain nombre de députés (d'une possible future majorité) d'activer l'identification pour tracer en live toute la populace via la vidéosurveillance, on est en droit de se poser quelques questions sur notre avenir.

après l'identification auto et le traçage live, l'étape d'après c'est quoi? les precogs?
en fout déjà en résidence des gens pour des trucs qu'ils pourraient faire, y'a qu'un pas...

Avatar de jackjack2 Abonné
Avatar de jackjack2jackjack2- 18/01/17 à 11:39:04

hellmut a écrit :

perso jsuis plus inquiet des possibles futures utilisations légales du fichier que de se faire hacker la base par les russes (j'ai pas dit que c'était pas inquiétant, note bien).
quand on voit le niveau du législateur en la matière, et la volonté nette d'un certain nombre de députés (d'une possible future majorité) d'activer l'identification pour tracer en live toute la populace via la vidéosurveillance, on est en droit de se poser quelques questions sur notre avenir.

après l'identification auto et le traçage live, l'étape d'après c'est quoi? les precogs?
en fout déjà en résidence des gens pour des trucs qu'ils pourraient faire, y'a qu'un pas...

Tout à fait, d'ailleurs ça rejoint le point 4 "Propositions d’évolution à moyen et long terme" du rapport (mais ils prennent plus de pincettes, forcément)
 

Il n'est plus possible de commenter cette actualité.
Page 1 / 4