Les points noirs du fichier TES épinglés par le rapport ANSSI et DINSIC

À une semaine du FIC, le Forum international de la cybersécurité à Lille, l’ANSSI et la DINSIC ont remis leur rapport sur le fichier des titres électroniques sécurisés, cette méga base agrégeant les données notamment biométriques des cartes nationales d’identité et des passeports. Une certitude : les conclusions du document sont très mitigées.

La naissance de TES par un décret en Conseil d’État publié le 30 octobre 2016 a provoqué un bel émoi : ce fichier monstre, contre le principe duquel le PS s’était opposé en 2012, a pour ambition de devenir le plus grand fichier biométrique français. Cela en rassemblant les empreintes et la photo du visage de tous les porteurs de ces titres.

Potentiellement, comme l'a souligné la CNIL, il peut concerner l’ensemble de la population française. Les aigreurs de la Commission sont d’autant plus vives qu’« aucun autre système n’a été étudié et présenté comme voie alternative. Cela n’a pas été discuté avec la CNIL. On n’a pas été saisi d’un dispositif d’alternatif ».

La CNIL, comme le Conseil national du numérique ou le Conseil d’État dans son avis, et bien d’autres, ont tous regretté l’absence de procédure parlementaire qui aurait permis d’ouvrir un débat solide. Et pour cause, pour Isabelle Falque-Pierrotin, présidente de la gardienne des données personnelles, « en constituant cette base, on franchit un pas dans le type de société qui est la nôtre. La menace terroriste est évidente (…) Mais est-ce que pour autant cette menace justifie que l’État constitue un fichier qui enregistre de manière permanente et indélébile des données biométriques sur l’ensemble de la population, ceci permettant le cas échéant d’identifier les personnes ? ».

Pour éteindre l’incendie institutionnel et médiatique, Bernard Cazeneuve a finalement demandé un audit à l’Agence nationale de la sécurité des systèmes d'information (ANSSI) et à la Direction interministérielle du numérique et du système d'information et de communication de l'État (DINSIC). Leur rapport a été publié hier sur le site du ministère.

Pas de publicité de la lettre de mission, un rapport scanné 

Regrettons d’ores et déjà que la lettre de saisine n’a pas fait l’objet de la moindre publicité (nous allons donc la solliciter, au besoin par procédure CADA). On découvre cependant que la demande de Bernard Cazeneuve « porte uniquement sur le fichier TES existant ».

En bons éclairagistes, la DINISC et l’ASIC expliquent qu’ «en effet, l’objectif n’a pas été de concevoir un nouveau système de gestion des cartes nationales d’identité, fondé sur d’autres types d’architectures techniques et logicielles, potentiellement plus distribuées et couplées à des moyens techniques différents, notamment en matière de capture de données biométriques ». En clair : le ministre n’a pas voulu que ces deux entités puissent imaginer d’alternative à TES, les obligeant à se concentrer uniquement sur la beauté du système litigieux. 

Autre petite contrariété, seul a été diffusé un scan du rapport, non le texte source. Judicieux : cela évite toute indexation par les moteurs incapables de reconnaissance de caractère.

L'identification par empreinte techniquement possible

Pour lire cet avis, il est amusant de faire des allers-retours avec les conclusions tirées par le ministère de l’Intérieur. « Je prends pleinement acte des conclusions de ce rapport, qui établissent clairement que le système « TES » est « compatible avec la sensibilité des données qu’il contient », dans son architecture comme dans ses conditions d’usage » tambourine Bruno Le Roux.

Le nouveau ministre de l’Intérieur tient à ajouter que « le rapport établit que les usages de ce système par les agents de préfecture et ceux de l’Agence nationale des titres sécurisés, le cas échéant à la demande de la police judiciaire ou des autorités judiciaires, sont pleinement conformes aux textes qui régissent ce traitement de données ».

Cependant, la sélection est très sélective. Le Roux oublie de poursuivre sa lecture notamment ce passage du rapport où est pointé une sécurité globale « perfectible ». Pire : ce système « peut techniquement être détourné à des fins d’identification, malgré le caractère unidirectionnel du lien informatique mis en œuvre pour relier les données d’identification alphanumériques aux données biométriques ». Et ce contrairement à ce qu’assurait Bernard Cazeneuve, à savoir un TES cantonné à un processus d’authentification et non pas d’identification à l’aide des seules données biométriques. 

Pour renverser cette logique, il suffirait de reconstruire une base de données complète « à partir du lien unidirectionnel existant ». Un tel changement de finalité sera difficile, mais seulement si « des mesures de sécurité techniques, fonctionnelles et organisationnelles auront été mises en place ». Démonstration douloureuse que ces mesures ne l’ont pas encore été.

Les avantages et les autres points noirs de TES

La DINSIC et l’ANSSI remarquent que TES a des avantages. Pour les passeports, seuls documents concernés avant le décret, il permet « de lutter plus efficacement contre les usurpations d’identité », il simplifie la vie de l’usager, autorisant la prédemande en ligne, la dématérialisation du timbre fiscal, tout en accélérant la phase d’instruction avant la remise du titre. De plus, il renforce la traçabilité lors des accès par les agents. « Sous réserve d’offrir un niveau de sécurité suffisant », module les deux entités, ces garanties seraient étendues aux demandes de carte nationale d’identité.

Compte tenu de la sensibilité des données biométriques, ces deux acteurs recommandent toutefois que ces informations soient chiffrées, du moins pour la gestion des titres depuis les mairies ou les préfectures, tout en confiant à une autorité tierce « la capacité de les déchiffrer ». Ainsi, « ni le ministère ni l’autorité tierce n’aurait seul les moyens de déchiffrer complètement ces données, dès lors que plusieurs clés de chiffrement seraient utilisées ».

Dans le cadre des réquisitions judiciaires, les mêmes rappellent qu’OPJ, procureurs et juges d’instruction peuvent déjà obtenir communication des informations détenues par TES ou les préfectures et les autres administrations. Les OPJ peuvent ainsi butiner les empreintes digitales collectées sur formulaire papier dans le cadre de la CNI. De son côté, TES devrait permettre d’assurer le traitement et la traçabilité des requêtes, systèmes qui n’existent pas aujourd’hui.

Cependant, ANSSI et DINSIC recommandent malgré tout que soient analysés « les risques de dévoiement de l’utilisation des données traitées par TES ou d’exfiltration de tout ou partie de ces données ». On en retient là encore qu’une telle analyse n’a donc pas été faite complètement en amont de la publication du décret « Halloween », puisque son existence n’aurait pas rendu nécessaire une telle remarque.

Avant son déploiement, il y a eu certes bien eu des analyses de risques reposant sur plusieurs scénarios d’actes malveillants, d’où ont été déduites des mesures de réponse. Le rapport demande cependant que ces analyses soient « affinées (…) notamment en adaptant davantage les scénarios de risque à la nature des données à protéger ». Même remarque : si un tel affinage est sollicité, c’est que son absence est jugée problématique.

Des sous-traitants du fichier TES

D’autres craintes émergent s’agissant du choix par l’ANTS, l’Autorité nationale des titres sécurisés, de faire appel à des sous-traitants pour gérer ces données ultra-sensibles. Une telle politique « est susceptible d’augmenter la surface d’exposition du système à d’éventuelles attaques ». Le rapport plaide du coup pour « la mise en place d’une gestion stricte et formalisée des sous-traitants intervenant sur le système TES notamment à travers des exigences contractuelles adaptées ». Là encore, cette gestion manque à l’appel aujourd’hui, mais heureusement, cette démarche a été « engagée » dans le cadre du renouvellement du marché de prestation. Ouf !

Pour revenir à la problématique du lien unidirectionnel, la recommandation n°6 du rapport demande au gouvernement de prendre en compte « les préconisations du référentiel général de sécurité concernant les mécanismes cryptographiques ».  Promis juré, cependant, l’ANTS aurait déjà prévu d’y revenir dès cette année, tout en optant pour un chiffrement des données biométriques et des pièces justificatives versées au dossier par les citoyens confiants.

Des vulnérabilités classées secret-défense

Page 9 du document, on découvre qu’un « certain nombre de vulnérabilités de gravité variable » ont été relevées lors des tests d’intrusion. « La configuration et les pratiques d’administrations de certains équipements du centre serveurs ne sont pas conformes à l’état de l’art ».

D’autres failles ont été épinglées « dans l’application métier ». ANSSI et DINSIC demandent en réaction qu’un « référentiel de sécurisation applicable à l’ensemble des équipements du système TES, ainsi qu’un référentiel de développement sécurisé des applications » soit défini et surtout mis en œuvre. Impossible d’en savoir plus sur le détail des vulnérabilités : ces lacunes ont été listées dans un rapport séparé protégé par le secret défense.

Dans ses conclusions, l’étude note que toutes les questions soulevées par la biométrie et le fichage exigent « un important débat de société ». En clair, le rapport dézingue lui aussi le choix gouvernemental d’avoir choisi ce véhicule administratif plutôt qu’un débat parlementaire, suivi d’une loi comme l’autorisaient pourtant les textes...

Malgré la perfection de son fichier TES, le gouvernement promet de reprendre « à son compte l’ensemble des recommandations proposées par cet audit visant à améliorer la protection de l’application contre les risques d’intrusion ainsi que la robustesse du lien unidirectionnel entre ses données alphanumériques et biométriques ». Celles-ci devraient être prises en compte. De plus, associée aux deux auteurs du rapport, une commission d’homologation se réunira d’ici février « pour se prononcer sur l’analyse des risques et la conformité des mesures de maîtrise de ces risques ».

On reste malgré tout stupéfait des conclusions de ce document dont l’existence même traduit un léger problème organisationnel dans la gestion de cette base fichant 60 millions de Français. Notons enfin que la DINSIC et l'ANSSI sont auditionnées ce matin à l'Assemblée nationale. Nous reviendrons sur cette audition.