Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Guillaume Poupard (ANSSI) : ne mélangeons pas Alicem avec la reconnaissance faciale

Dans ta face
Droit 7 min
Guillaume Poupard (ANSSI) : ne mélangeons pas Alicem avec la reconnaissance faciale
Crédits : Marc Rees (licence CC-BY-SA 3.0)

À l’occasion du Forum international de la cybersécurité (FIC) de Lille, Guillaume Poupard a bien voulu répondre à nos questions. Parmi les sujets, la souveraineté européenne, l’ENISA, ou encore la reconnaissance faciale.

Au FIC, l’ANSSI a plaidé pour « une souveraineté européenne en matière de cybersécurité ». Comment assurer cet objectif dans un secteur si régalien ?

C’est le cœur du sujet. La souveraineté nationale est un sujet de longue date, toujours d’actualité. À côté de cela, il y a trois ans, celui qui parlait de souveraineté européenne, et cela m’est arrivé, se faisait taper sur les doigts, car par définition elle ne peut être que nationale.

Aujourd’hui, cela a changé. Au niveau national, le Président de la République est le premier à parler de ce sujet. La nouvelle Commission est très « pushy » pour l’évoquer. Tout l’enjeu est donc de bien expliquer que ce ne sont pas deux souverainetés qui s’opposent, mais qui se répondent et s’aident mutuellement. En tout cas c’est comme ça que je le comprends et que j’ai envie de le jouer.

Comme je l’ai dit lors de l’ouverture du FIC, de super puissances sont en train de se dégager au niveau du numérique. La volonté de la France est de rester dans le premier cercle de ces super puissances sauf que c’est un petit pays. Grand par plein d’aspects, mais petit pays. Et donc que si on a envie d’y rester, on a absolument besoin de la souveraineté européenne.

La souveraineté nationale française a besoin de l’Europe pour se réaliser dans le domaine cyber. À l’inverse, à un moment où l’EU veut développer sa souveraineté européenne, elle a besoin de la France comme un État membre leader. Ce ne sont pas que des mots. L’idée est de se demander comment faire cela pour mettre cela en œuvre très concrètement.

Des choses ont été faites et où les aspects nationaux et européens s’emboitaient. Ce fut le cas avec la directive NIS, finalement. La LPM et la loi allemande ont été apportées à la commission, puis transformées en directive et ensuite transposées. C’est là où les souverainetés miroitent et où on a toujours veillé à ce cela n’empiète pas sur les souverainetés, mais les renforcent. Voilà pourquoi on a refusé que l’ENISA soit une agence supranationale, mais qu’elle aide les États à travailler ensemble.

Un autre exemple très récent, c’est la 5G. Tous les États européens sont soumis à une pression monstrueuse, et chinoise et américaine, trop forte pour un État tout seul. En France, on arrive encore à résister, et encore. Dans la plupart des pays, cela a créé des clashs. Le fait de reprendre le sujet ensemble, à 28, avec la Commission, de faire une analyse de risques commune, publiée en octobre, de construire une toolbox présentée mercredi dernier… voilà une manière de concilier les intérêts européens et les questions nationales.

Comment faites-vous pour assurer une égalité des chances entre des pays différents ?

En termes de droits, il y a égalité. C’est le même droit qui s’applique. Les valeurs sont les mêmes. C’est plus qu’un marché, il y a vraiment quelque chose en commun. Moi, cela fait longtemps que je dis de faire attention aux idées naïves de protection en Europe des petits par les gros !

Ce n’est pas que les gros ne veuillent pas aider, c’est que cela ne marchera pas. L’idée est de développer des capacités dans chaque État membre, jusqu’aux plus petits, et ensuite se demander comment ces capacités vont s’aider avec cette fois un vrai devoir des gros, ceux en avance, pour protéger les plus mal placés.

On a joué à un exercice début juin à paris avec l’ensemble des États membres et la Commission. Pour la première fois on s’est posé la question : il y a un pépin, une vraie crise européenne niveau cyber, comment fait-on pour jouer ensemble ? C’était très intéressant : on n’est pas prêt au niveau opérationnel.

Chacun a compris qu’il n’y avait pas de bouclier européen. Jusqu’à deux trois ans, en cas de problème, on se disait que l’OTAN nous protègerait. C’est en train de changer en termes d’état d’esprit. On ne cherche pas à avoir 28 pays identiques, chacun est différent, par sa taille, par sa maturité, mais chacun doit avoir sa propre capacité au niveau défensif.

Après la question va se poser de savoir comment faire pour s’aider, envoyer des équipes. L’expérience qu’on avait jusque-là c’est qu’à chaque fois qu’on a essayé cela, cela a été un échec. Lorsqu’un réseau critique au sein d’un État est attaqué, c’est la souveraineté nationale qui se joue. Faire entrer même des alliés européens n’est pas possible.

Qu’est-ce qui a échoué dans le test effectué cet été ?

On sait qu’au niveau technique et tactique, il y a une coopération en place. Elle a été officialisée par la directive NIS, mais préexistait en fait. Les CERT (computer emergency response team, ndlr) des différents pays travaillaient ensemble. C’est dans leur ADN d’échanger de l’information.

Tout en haut, il est aussi prévu des mécanismes d’entraide entre les États membres. Ils sont génériques, non spécifiques cyber. Mais nous savions que le réseau des patrons d’agences n’était pas en place. Il faut le construire. Fixer des règles, des moyens de communication. Il revient aux États membres de faire en sorte que les différentes agences créent elles-mêmes ce réseau opérationnel.

Et l’Agence de l'Union européenne pour la cybersécurité (ENISA) ?

L’ENISA c’est un facilitateur du réseau qui veille à ce que les règles soient en place, mais ce n’est pas un super nœud du réseau qui va ensuite répartir les instructions.

Depuis le départ, on ne veut pas d’une ENISA qui soit une agence supra nationale. D’abord parce qu’il y a une question de moyens et parce que cela empièterait sur les souverainetés nationales. On revient à cet équilibre assez subtil avec la souveraineté européenne.

À l’ENISA, depuis l’arrivée du nouveau directeur général, cela se passe très bien. C’est une personne politique au bon sens du terme. Il était à la Commission européenne et connaît tous ces sujets-là par cœur. Il a vraiment envie de bien faire et est très doué.

Je n’ai aucun état d’âme à afficher le fait qu’on a besoin d’eux, et eux de nous, mais ce n’est pas un qui va être chef de l’autre. Ça n’a pas de sens.

J’ai entendu dire qu’il y avait eu un problème de sécurité avec le fichier TES, possiblement un bug de sauvegarde...

Rien de marquant, rien de majeur, rien qui m’empêche de dormir. Nous ferons un audit de contrôle très bientôt pour s’assurer que, suite à l’audit que nous avions fait il y a plus deux ans, le plan d’action qui avait été décidé et les mesures proactives qui devaient être faites ont réellement été mis en place.

J’ai cru comprendre aussi qu’ALICEM était actuellement ausculté par l’ANSSI. Quel est votre « job » sur ce système biométrique ?

C’est le travail habituel d’un auditeur qui a commencé il y a plusieurs mois. On regarde les systèmes d’information qui sont derrière, pour s’assurer qu’ils sont bien sécurisés, mais aussi l’appli sur le téléphone. Le sujet le plus complexe ? L’efficacité des mécanismes d’appairage par reconnaissance numérique, ausculté par un centre d’évaluation.

Je ne donnerai pas d’agrément tant que les feux ne seront pas au vert. Il y a aujourd’hui une polémique que je trouve un peu contreproductive et dangereuse, une confusion entre reconnaissance faciale et le mécanisme d’Alicem d’appairage entre passeports et téléphone. Le sujet reconnaissance faciale est tout autre.

Les questions sont nombreuses aujourd’hui : que fait-on en termes de reconnaissance faciale ? Qu’autorise-t-on comme technique pour la sécurité publique ? Que déploie-t-on dans les rues ou pour les Jeux olympiques ? Autorise-t-on l’expérimentation ou pas ? Est-ce que, par crainte d’atteinte aux libertés individuelles, on gèle tout comme certains voudraient le faire du côté de Bruxelles ?

Ce sont de vraies questions d’éthique, de droit, d’efficacité et de sécurité. Des questions globales, et même de civilisation pour l’Europe.

À l’inverse, sur Alicem, nous sommes sur une fonctionnalité technique permettant de faire quelque chose de très précis sans créer de base de données biométriques : aller vérifier que la photo dans le passeport correspond bien à la tête devant le téléphone. On n’est pas dans la reconnaissance faciale ou de l’identification de personne. C’est juste ce lien-là.

À mettre dans le même sac tous ces sujets, on risque de passer à côté des débats de fond sur ce qu’on veut, ce qu’on accepte en termes de libertés individuelles et publiques par ce qui est aujourd’hui permis par la technologie.

Alicem c’est une identité de niveau élevé. Aujourd’hui, on a une identité sans le savoir dans notre poche, en tout cas pour 20 millions de Français, via le passeport. L’idée toute bête est d’utiliser cette identité parce qu’on manque cruellement en France de solutions numériques.

17 commentaires
Avatar de js2082 Abonné
Avatar de js2082js2082- 04/02/20 à 16:03:33

Signaler ce commentaire aux modérateurs :

sur Alicem, nous sommes sur une fonctionnalité technique permettant de
faire quelque chose de très précis sans créer de base de données
biométriques : aller vérifier que la photo dans le passeport correspond bien à la tête devant le téléphone. On n’est pas dans la reconnaissance faciale ou de
l’identification de personne. C’est juste ce lien-là

Heuuuuuu...
Si ce n'est pas de la reconnaissance faciale, faudra expliquer ce que c'est.

  "je n'aime pas le terme reconnaissance faciale parce que ça laisse entendre que la reconnaissance automatique des visages serait de la reconnaissance faciale..."

Ça me rappelle un certain président qui n'aime pas parler de pénibilité parce que ça laisse entendre que le travail pourrait être pénible...

 
On a des champions de la com' en ce moment...

 

Avatar de chipotte Abonné
Avatar de chipottechipotte- 04/02/20 à 16:35:02

Signaler ce commentaire aux modérateurs :

Je pense qu'il veut dire qu'ils ne font que s'assurer que la personne qui est devant le téléphone correspond à la photo du passeport.
C'est juste de la comparaison d'images, aucune info sur les personnes n'est nécessaire.

C'est un peu la différence entre authentification et identification

Ce n'est que mon interprétation

Avatar de js2082 Abonné
Avatar de js2082js2082- 04/02/20 à 16:52:03

Signaler ce commentaire aux modérateurs :

Sauf que la comparaison doit bien se faire par rapport une base de données dans laquelle est identifiée la personne.
A défaut, ça ne marche pas et ne sert à rien.

 

Avatar de bidou.bidou Abonné
Avatar de bidou.bidoubidou.bidou- 04/02/20 à 17:16:39

Signaler ce commentaire aux modérateurs :

On peut imaginer stocker les données biométriques de manière totalement locales sur le passeport sans créer la base nationale qui inévitablement sera à terme couplée à la vidéosurveillance pour espionner 60 millions de Français. Après, techniquement je crains que la concordance ne soit pas testée par un processeur embarqué sur le passeport (trop cher, et sans doute trop consommateur pour du sans contact), donc il faudra faire confiance pour que la donnée ne fuite pas lors du contrôle. Et si c'est une application sur smartphone qui fait le boulot, comment dire...

Avatar de the_frogkiller Abonné
Avatar de the_frogkillerthe_frogkiller- 04/02/20 à 17:29:04

Signaler ce commentaire aux modérateurs :

js2082 a écrit :

Sauf que la comparaison doit bien se faire par rapport une base de données dans laquelle est identifiée la personne.
A défaut, ça ne marche pas et ne sert à rien.

 

Il veux certainement dire que dans ce cas on compare la photo prise avec celle de la base de données car on a l'identifiant de la personne. Alors qu'avec les autres systèmes on cherche l'identifiant de la personne en scannant toutes les photos dans la base de données

Avatar de Idiogène Abonné
Avatar de IdiogèneIdiogène- 04/02/20 à 17:56:21

Signaler ce commentaire aux modérateurs :

Alicem c’est une identité de niveau élevé. Aujourd’hui, on a une identité sans le savoir dans notre poche, en tout cas pour 20 millions de Français, via le passeport. L’idée toute bête est d’utiliser cette identité parce qu’on manque cruellement en France de solutions numériques.

Les solution sont connues, elles sont même dans les ordiphones... Mais comme le rappel l'objet de ce forum, la cybersécurité vise à protéger la gouvernance. Ce n'est pas anormal, mais c'est ennuyeux pour l'état qui n'a pas le mode d'emploi le privé n'en ayant pas produit... même outre-manche.

Si a chaque fois que la question de civilisation se pose, c'est avant tout car il n'est pas possible de dialoguer de ces sujets sans tomber dans la caricature et c'est bien ce qui occupe (voir préoccupe, ne soyons pas inutilement stupides) une partie du ministère de l'intérieur.

Le plus simple, ce serait de dire qu'il n'existe pas de gain particulier. Seulement des risques à traiter. Après à qui de prendre ses responsabilités voilà qui s'annonce extrêmement difficile.

Avatar de guimoploup Abonné
Avatar de guimoploupguimoploup- 04/02/20 à 20:31:45

Signaler ce commentaire aux modérateurs :

La tronche n'est pas un facteur d'authentification forte :

  • Si tu n'est pas dans les bonnes conditions de lumière, barbe etc l'authentification ne fonctionne pas
  • Une tête est facile à copier
Avatar de Idiogène Abonné
Avatar de IdiogèneIdiogène- 04/02/20 à 20:35:25

Signaler ce commentaire aux modérateurs :

Vrai aussi. Mais comme la cryptographie doit protéger la presse... Ô c'est signé.

Avatar de jackjack2 Abonné
Avatar de jackjack2jackjack2- 04/02/20 à 21:45:42

Signaler ce commentaire aux modérateurs :

guimoploup a écrit :

La tronche n'est pas un facteur d'authentification forte :

  • Si tu n'est pas dans les bonnes conditions de lumière, barbe etc l'authentification ne fonctionne pas
  • Une tête est facile à copier

Le 1 est maintenant faux

Avatar de Idiogène Abonné
Avatar de IdiogèneIdiogène- 04/02/20 à 21:57:44

Signaler ce commentaire aux modérateurs :

Référence ? Article ?

Il n'est plus possible de commenter cette actualité.
Page 1 / 2