Alicem, l’identité numérique par reconnaissance faciale, est attendue pour fin 2019 ou début 2020 selon les présages de l’Agence nationale des titres sécurisés. L’« Authentification en ligne certifiée sur mobile », qui passe par une phase biométrique, soulève toutefois des inquiétudes dans le milieu de la sécurité informatique.
Dans nos colonnes, Pascal le Digol, directeur France de WatchGuard, exprime en effet ses craintes à l’égard d’Alicem. Pour le représentant de cette société spécialisée dans les solutions d’authentification multifacteur, « même si je n’ai pu encore tester moi-même cette solution, je trouve très dommage qu’on n’aille pas jusqu’au bout du processus en termes de sécurité. Je ne parle pas d’éthique, qui n’est pas mon propos mais relève plus de la CNIL » (voir les critiques adressées par l'autorité).
Selon l’intéressé, le point névralgique ressort du descriptif de l’application : d’abord la création d’un compte avec phase biométrique (capture d’expression du visage) puis l’obtention d’un code à 6 chiffres à utiliser auprès des sites partenaires pour permettre les authentifications suivantes. « Le pirate ne va pas s’attaquer à la phase compliquée, la biométrie, mais celle considérée comme la plus simple, le mot de passe. On se pose des problèmes éthiques pour la création du compte, mais autant utiliser la biométrie pour ces authentifications puisque de toute manière on a déjà utilisé ce paramètre en amont ».
« La biométrie n’est pas parfaite, aucune technique ne le sera jamais, mais il faut mettre les mécanismes de sécurisation à niveau. Un code à seulement 6 chiffres me semble très léger, insiste le responsable de WatchGuard. Je n’ai même pas vu de mécanisme où ce fameux code serait à modifier dans le temps. »
Trois niveaux de sécurité
Contacté, Jérôme Letier, directeur de l’Agence nationale des titres sécurisés, veut rassurer. Une fois Alicem mis en circulation, « ce seront les fournisseurs de services qui stipuleront le niveau qu'ils attendent pour valider l'identité d'un utilisateur ». Trois niveaux sont prévus à ce jour : faible, substantiel et élevé.
En pratique, « le cas en test correspond au niveau basique ("faible" au sens du règlement eIDAS), pour les transactions plus sensibles, les fournisseurs de services demanderont un niveau élevé (ou "substantiel"), qui supposera l'utilisation du titre à chaque usage ».
En d’autres termes, l’usage du code à 6 chiffres ne vaut que pour cette phase de test. La sécurité d’Alicem montera en gamme selon les prestataires impliqués, allant jusqu’à demander le titre sécurisé.
Un dispositif anti-clonage de téléphone
Autre point soulevé par Pascal le Digol, la question du clonage des téléphones. En cas de duplication, l’application deviendra-t-elle inopérante ? « Chez nous, c’est effectivement le cas, on sait détecter ce clonage en usant d’une notion d’ADN du téléphone » assure l’intéressé.
Sur cette problématique, le responsable de l’ANTS nous indique que « certains téléphones ont été exclus pour se limiter à ceux disposant d'un Secure Element, en principe protégés contre ce type d'attaque ». Ainsi, « les éléments secrets propres à Alicem étant contenus dans ce SE, cela rend l'application inutilisable avec le compte de l'usager présent sur le téléphone cloné ». « Là encore, insiste Jerôme Letier, dans les usages avec utilisation du titre, le risque sera encore considérablement réduit ».