L'Institut national de recherche en informatique et en automatique (Inria), vient de publier une intéressante étude technique sur le fichier TES, le fichier biométrique monstre rassemblant l’ensemble des cartes nationales d’identité et des passeports. L'enjeu ? Exposer, pas seulement aux yeux de l'Intérieur, l'existence de voies alternatives.
Après la CNIL, le Conseil national du numérique, l’ANSSI et la DINSIC notamment, au tour de cet institut de faire connaître son analyse sur la solidité de la base centralisant des données ultra-sensibles, en répondant à une question simple : « la centralisation des données biométriques est-elle vraiment inévitable ? »
Seulement, alors que l’Intérieur n’a d’yeux que pour un système centralisé, Inria remarque que « différents choix d’architecture et de techniques sont possibles ». Pour les comparer, le document signé Claude Castelluccia et Daniel Le Métayer revient sur les deux fonctionnalités attendues du fichier TES : simplifier les démarches administratives et lutter contre la fraude, en s’assurant d’un mécanisme destiné à garantir l’authentification des documents d’identité.
Cinq scénarios, dont quatre oubliés par l'exécutif
La comparaison est dressée entre différentes solutions. D’abord un système sans centralisation ni carte à puce (A0). Ensuite, la solution préconisée par l’Intérieur (A1). Le déport sur une puce embarquée sur le titre, des données personnelles et biométriques (A2). Est également envisagé, un système mixte combinant base centralisée biométrique et puces avec en outre des données personnelles (A3). Enfin, dernière option : un fichier centralisé des données d’état civil sans aucun lien vers les données biométriques où « les deux fichiers sont donc complètement séparés et il est impossible d’associer (dans un sens ou dans l’autre) une donnée biométrique à des données d’état civil » (A4).
Ces scénarios sont mis à l’épreuve de deux évènements : la vérification d’identité (VI) et la détection des doublons (DD). Les recherches menées au sein de cet institut débouchent ainsi sur ce tableau synthétique où l’architecture A4 remporte la palme en termes de fonctionnalités et de protection contre les atteintes à la vie privée.
Le respect de la vie privée
Sur les risques d’atteinte à la vie privée, deux sortent du lot : le vol de données personnelles (atteinte au traitement) et le basculement d’un système d’authentification des titres à celui de l’identification des personnes. À l’aide des traces biométriques laissées dans son sillage, les autorités pourraient remonter à la personne auxquelles ces traces sont attachées imperturbablement.
Là encore, la quatrième architecture est la seule, avec celle numérotée A2, à s’armer solidement contre le risque d’identification. L’option défendue par le gouvernement est donc critiquée puisque cette technique reste toujours possible, comme l’ont montré l’ANSSI et la DINSIC : « il suffirait d’interroger la base de données avec les noms des personnes susceptibles d’en faire partie (par exemple tous les citoyens français) pour reconstituer la base complète avec les liens bidirectionnels » résume Inria.
Quant au risque de fuite de données, même conclusion : « de toutes les architectures considérées précédemment, seules les architectures A2 et A4 protègent véritablement contre ce type de risques : A2 parce qu’elle ne comporte pas de base centralisée et A4 parce qu’elle ne permet pas d’établir de lien entre données biométriques et données d’état civil ».
Dans sa conclusion, Inria souligne que « l’objectif du présent document est d’alerter les pouvoirs publics et l’opinion sur la nécessité d’adopter une démarche plus rigoureuse et de prendre toutes les précautions nécessaires avant de déployer des systèmes pouvant présenter des risques majeurs en matière de vie privée ». Une telle prudence est, selon elle, « une condition sine qua non du rétablissement d’une certaine confiance des citoyens envers ce type de systèmes et ceux qui les mettent en place ».
Si l’on revient à son audition du 10 novembre 2016 devant le Sénat, Isabelle Falque-Pierrotin, présidente de la CNIL avait à nouveau regretté que l’Intérieur ne lui ait présenté d'autres systèmes que le fichier centralisé TES. « Cela n’a pas été discuté avec la CNIL. On n’a pas été saisi d’un dispositif d’alternatif ». Lorsqu'il avait commandé un audit à l'ANSSI et la DINSIC, le même ministère avait cadré ces travaux pour éviter que soient auscultées les architectures concurrentes.
Commentaires (65)
#1
Merci pour cet article
" />
Mais malgré tout, avec ce sujet, j’ai un frisson qui me monte le long de l’échine… pas glop, pas glop.
#2
Ce qui m’amuse, c’est qu’on connote négativement ce fichier en le traitant de monstre alors que Facebook doit avoir directement les données d’un milliard de personnes et indirectement beaucoup plus.
" />
Et je parie que ceux sont en bonne partie ceux qui couinent le plus sur le fichier TES, qui abreuvent tous les médias sociaux de leurs données personnelles
#3
J’en connais deux qui vont se prendre une soufflante
Dommage que ca ne servira à rien
#4
#5
#6
Absolument. Quid des données de centaines de millions d’européens hébergées aux USA en tout illégalité ? Et c’est des données colossales comparé à TES… Arrêtons d’en faire tout un plat de de fichier.
🤔
#7
#8
#9
ça + “je n’ai rien à cacher”, deux arguments qui pèsent si lourds qu’à la moindre brise, les voilà dispersés dans l’air.
#10
Si vous voulez rigoler et pleurer : cas concret d’un fichier biométrique géant dans un vrai pays. Voilà ce que ça fait une base biométrique centralisée de tous les citoyens d’un pays.
#11
#12
Je vois mal un agent public te mettre en cellule sur seule base de ton compte facebook dont les données publiques sont les seules accessibles.
TES est un outil administratif dont le but affiché est de contrôler la population. La finalité du contrôle dépend uniquement de la loi… Qui est changeante.
#13
Puisque facebook agrège déjà les données personnelles de milliards d’utilisateurs, comme ils maitrisent la technique pour ça, pourquoi l’état français ne leur soustraite-t-il pas la gestion des données personnelles de tous les français ?
Avantage : ça couterait moins cher au contribuable puisque on ne supportera pas les frais de gestion du fichier. Mieux, contre l’utilisation des données des citoyens facebook pourrait même reverser un petit quelque chose à l’état, oh pas grand chose, mais c’est toujours ça.
Avantage pour le citoyen : au lieu de faire la démarche volontaire de donner toutes ses informations à facebook, c’est l’état qui s’en chargera. Ça reviendra au même qu’aujourd’hui mais sans aucun effort.
Pour les contrôles d’identité ce sera plus simple : pas besoin de demander ses papiers au type, il suffit que le policier se connecte sur la page facebook de l’individu contrôlé pour avoir tout ce qu’il désire.
il n’y a que des avantages…
#14
Merci pour avoir mis en lumière ce document.
#15
Le modèle A4 semble remplir tous les besoins, est-ce qu’ils vont finir par pousser en ce sens?
J’en ai juste marre que mes cartes d’identité soient truffées de fautes à chaque fois que je les récupère… C’est vraiment terrifiant ce système de renouvellements…
#16
Ils auraient dû étudier les coûts aussi, parce que c’est là où ça va taper fort pour dire que c’est irréalisable en ces temps difficiles pour tant de sans-dents concitoyens dans le besoin et sans travail, blabla snif…
#17
#18
#19
#20
#21
#22
C’est pour ca que l’on préfère la version ou il sera impossible techniquement d’utiliser ton outil de la mauvaise façon. Parce que aujourd’hui ils vont l’utiliser correctement mais dans 2 ou 3 quinquennats personne ne peut dire … donc les gardes fou on les veut maintenant.
Ton histoire de retour en arrière utopiste est juste un blague, des exemples ils y en a à la pelle (tiens rappelle toi ils ont même arrêtez leur histoire de portique payant pour les camions alors que tout était en place… )
De plus ta vision est un peu machiavélique, il n’y a pas que 2 possibilités, ça c’est ce que le gouvernement veut te faire croire… si tu a lu l’article tu sais maintenant que des solutions il y en a au moins 5….
#23
bien sûr que non.
si le gouvernement avait la moindre intention de mettre en place un système bien conçu et respectueux du citoyen, il aurait demandé un étude. c’est pas les moyens ni les compétences qui manquent (la preuve).
Le gouv (surtout l’intérieur mais bon c’est tout comme aujourd’hui) est au contraire très intéressé par l’identification, mais pour l’instant c’est encore un peu chaud patate pour sortir un truc pareil en conférence de presse.
Alors on va attendre encore un peu que l’opinion publique soit bien mûre pour une telle connerie, par exemple à l’occasion d’un n-ième évènement dramatique qui créerait un “point de bascule” dans l’opinion.
Partant de là c’est facile, on déroule les éléments de langage habituels avec usage immodéré du désormais classique “si on n’a rien à se reprocher, on n’a rien à craindre”, et les poncifs du style “si vous n’en voulez pas c’est que vous êtes pour Daesh”, “c’est pour le bien de nos enfants”, “c’est un outil indispensable à la lutte anti-terroriste et anti-pédophile”, ou encore “c’est pour défendre nos valeurs”.
et hop, emballé c’est pesé, je suis même pas sûr qu’il y ait besoin d’une loi pour débloquer l’identification.
#24
#25
tout ça est, je le rappelle, du ressort de la liberté de chacun.
chacun est libre de refiler toutes les données qu’il veut à n’importe qui, en connaissance de cause.
et franchement avec tout le foin qu’on fait sur FB & co depuis des années, je pense que tout le monde est maintenant au courant.
donc partant de là, je vois absolument pas le problème.
#26
#27
#28
J’ai faillit lui répondre, mais c’est clairement un troll là, y a pas de doute ^^
#29
Juste une question un peu bête, pourquoi ils veulent faire un fichier centralisé avec tous les français ?
La police, les renseignements, etc… on déjà de belles listes de personnes dangereuses (fichiers S…), il semblerait qu’ils connaissent déjà tous le monde mais qu’ils se noient sous la quantité d’information et ils en veulent encore plus ?
J’ai du mal à saisir l’intérêt premier du TES pour notre Etat.
#30
Ton détecteur de sarcasme est en panne non?
#31
la raison officielle sous-tendant le décret était (est toujours, à priori) la lutte contre la falsification de document d’identité (cartes d’identité/passeports) et l’usurpation d’identité et faciliter les renouvèlements desdits documents.
#32
Faudrait peut être que certains se rappellent de la base :
Le fichier TES existe déjà : fichier des Titres Electroniques Sécurisés (le fichier des passport).
De l’autre côté existe le FNG qui contient les informations détenus par l’état lors de la création de la CNI.
Le loi veut fusionner les deux fichiers. Donc pour ce qui est des données détenues par l’état ça ne change rien à ce qui existe depuis juste quelques décennies.
Ce qui change c’est que l’état indique vouloir mettre en place un système de traitement automatisé, c’est à dire qu’un agent des forces de l’ordre pourra vérifier de façon automatisé que votre carte d’identité est vraie (faux papier) et que les informations qui figurent dessus sont vraies (falsifications).
Ce qui peut faire peur également, c’est que le traitement automatisé des données puissent permettre derrière l’identification automatisé : je rentre dans un équipement publique (préfecture) en mettant mon doigt sur un capteur d’empreinte.
#33
#34
Tu fais de la désinformation.
Il n’y a pas aujourd’hui de fichier (informatique) des empreintes digitales recueillies pour la carte d’identité. De plus, ces empreintes sont stockées au niveau des départements, c’est donc décentralisé et plus difficilement accessible.
De plus, ce n’est pas parce que le fichier TES existe déjà que l’on ne peut pas étudier une solution meilleure et plus respectueuse des données très privées que sont les données biométriques. D’autant plus que l’on veut le généraliser (environ 5 fois plus de personnes concernées)
#35
Mouais…
" /> C’est qui ces gars là ? Ils sont qui pour donner conseil au gouvernement ? Sincèrement, il faut arrêter la parano, les accès à ce genre de fichier sont suffisamment blindés pour éviter tout piratage et toute mauvaise utilisation, les gars de l’informatique dans les ministères ne sont pas des branquignoles. A un moment donné, il faut arrêter la mauvaise foi et faire confiance aux autorités compétentes.
#36
Tu as lu:https://www.nextinpact.com/news/102934-les-points-noirs-fichier-tes-epingles-par… ??
C’est marqué noir sur blanc par les experts que le travail effectué à de grosse lacunes avec une demande de ce référentiel sur le sujet: “préconisations du Référentiel Général de Sécurité concernant les mécanismes cryptographiques mis en œuvre pour construire les liens unidirectionnels.”
#37
Surtout que l’un des 2 n’a pas l’air d’être bien français ! Il a peut-être peur qu’on ne lui renouvelle pas sa carte d’identité.
Encore de la désinformation par une puissance étrangère.
#38
J’aime bien le Possible/impossible/difficile, chez moi difficile ça veut dire possible, point.
#39
#40
les gars de l’informatique dans les ministère n’existent pas.
ce genre de solutions est pondu par des boites privées qui embauchent, entre autres, des gars comme ceux de l’INRIA.
Étant donné qu’il est possible (on le voit ici) d’implémenter une solution à la fois efficace en regard de l’objectif, un minimum sécurisée (malveillance ET bascule vers l’identification), et respectueuse des données privées des citoyens, la question qu’il faut se poser est: pourquoi l’État refuse-t-il cette solution?
la réponse est évidente, je l’ai développée plus haut: l’État ne veux pas se priver de la possibilité de faire de l’identification massive.
#41
#42
En ne citant que 2 lignes de son message, c’est facile.
Il a dit et c’est cela qui m’avait fait réagir :
“Le loi veut fusionner les deux fichiers. Donc pour ce qui est des données détenues par l’état ça ne change rien à ce qui existe depuis juste quelques décennies. ”
Cela est faux.
Pour toutes les nouvelles cartes d’identité, ceux qui n’auront pas demandé explicitement à ce que leurs empreintes ne soient pas stockées informatiquement, auront ces données biométriques de stockées avec toutes les dérives futures possibles dont on a déjà parlé. Comme je disais dans mon premier message, on va ainsi augmenter d’un facteur 5 environ les personnes ainsi fichées.
#43
Non. Le contraire a déjà été présenté aux autorités de contrôle.
La CNI ne possède pas de moyen de contrôle des empreintes digitales et celles-ci ne continueront à être prise que dans le cadre du passeport. Les gens qui n’ont que la CNI seront dans le fichier du passeport sans avoir d’empreintes enregistrées.
C’est justement ce qui rends pour moi le débat caduque. On ne change rien au paradigme existant.
#44
Oui, tu as raison. On se dirige grandement vers là.
Mais sans faire aucun changement techniques aux fichiers existants, il suffirait de dire “hop, plus de CNI, que des passeports” et bingo, tu aurais la base avec l’ensemble de la population et leurs empreintes.
Parce que des pays qui n’ont pas de dualité CNI/Passeport, y’en a un paquet.
Et que dire des pays où un numéro centrale sert à l’identification partout (Cf les US ou à moindre mesure la Suisse avec le numéro AVS)
#45
on est d’accord.
mais franchement c’est pas tant les empreintes palmaires que les photos qui me posent un gros souci.
#46
J’en suis resté au fait (ici aussi) que le stockage des empreintes serait facultatif pour la CNI. Tu as une source plus récente qui dit autre chose ?
Edit : Il faudra un acte explicite de refus pour que les empreintes ne soient pas stockées informatiquement.
#47
un petit article sur le magnifique système Indien de titre d’identité biométriques.
quand on fait de la merde avec la biométrie, c’est pour la vie.
#48
#49
#50
#51
#52
#53
#54
Sheldon, c’est toi ?!
#55
Lapin compris…
Sinon, rien de plus constructif à répondre hormis les attaques personnelles ? Car c’est peut-être plus constructif de critiquer le rapport si critique tu as que l’attaque gratuite de ses auteurs.
#56
Une bloc-chain qui contient tout sur tout le monde allez hop !
" />
un peu comme les nombres univers ^^
Faudra juste chercher longtemps pour vérifier les données
#57
je crois que t’as pas compris le sarcasme. c’est du 2nd degré depuis le début.
" />
" />
d’où le “sheldon c’est toi?” (cf The Big Bang Theory, si tu connais pas).
#58
#59
#60
Je t’aurais dit “lurk moar” mais je crains que tu n’aies pas la référence et/ou que tu le prennes mal.
S’il y a quelque règles qui régissent internet, il y en existe certaines qui sont spécifiques à la section commentaire de NxI :
#61
#62
J’ai du mal avec les pseudo et j’identifie généralement les personnes via leur avatar… malheureusement, picatrix n’a pas d’avatar, il a trouvé une parade qui est très efficace contre moi… (et arrêtez de changer vos avatar, c’est chiant à la longue!)
La liste est non exhaustive de toute façon.
C’est malheureusement l’un des défauts de la tradition écrite face à la tradition orale. Il est tellement simple d’aller dans les dernière page et savoir qui est le meurtrier.
#63
La dernière règle est particulièrement INtéressante.
" />
#64
Je me suis bloqué tout seul avec mon pseudo, je ne peux changer d avatar sans changer de pseudo
" />
#65
Je parlais en France, que les agents américains obligent à donner ses identifiants de compte, c’est hors contexte.
Une récupération d’information “discrète” et hors de tout contrôle, c’est illégal donc attaquable devant la justice. C’est ni simple ni facile et en général ça demande pas mal d’investigations.
Qu’une fois légale, comme tu dis, c’est dur de s’en débarrasser mais se baser sur le postulat “de toute façon ça se fait déjà” n’est pas très sain, à mon sens, pour accepter qu’on légalise ce genre de fichier.
Et oui, l’utilisation d’un outil dépend de la main qui le tient, de même qu’on ne vise pas une mouche avec un bazooka, il est préférable d’adapter son outil au but affiché. Les usurpations d’identité sont, de mémoire (désolé pour les sources et la précision), ridiculement faibles en France. Et pour cela on créé un fichier gargantuesque dont on ne sait quel sera son avenir alors que, à la lecture de cet article, des solutions plus sûres pour le citoyen sans diminuer l’objectif visé.