Alicem : l’ANTS veut rassurer sur les risques liés au code à 6 chiffres et au clonage des téléphones

Alicem : l’ANTS veut rassurer sur les risques liés au code à 6 chiffres et au clonage des téléphones

Que récolte Alicem ?

Avatar de l'auteur
Marc Rees

Publié dans

Droit

12/11/2019 3 minutes
22

Alicem : l’ANTS veut rassurer sur les risques liés au code à 6 chiffres et au clonage des téléphones

Alicem, l’identité numérique par reconnaissance faciale, est attendue pour fin 2019 ou début 2020 selon les présages de l’Agence nationale des titres sécurisés. L’« Authentification en ligne certifiée sur mobile », qui passe par une phase biométrique, soulève toutefois des inquiétudes dans le milieu de la sécurité informatique. 

Dans nos colonnes, Pascal le Digol,  directeur France de WatchGuard, exprime en effet ses craintes à l’égard d’Alicem. Pour le représentant de cette société spécialisée dans les solutions d’authentification multifacteur, « même si je n’ai pu encore tester moi-même cette solution, je trouve très dommage qu’on n’aille pas jusqu’au bout du processus en termes de sécurité. Je ne parle pas d’éthique, qui n’est pas mon propos mais relève plus de la CNIL » (voir les critiques adressées par l'autorité).

Selon l’intéressé, le point névralgique ressort du descriptif de l’application : d’abord la création d’un compte avec phase biométrique (capture d’expression du visage) puis l’obtention d’un code à 6 chiffres à utiliser auprès des sites partenaires pour permettre les authentifications suivantes. « Le pirate ne va pas s’attaquer à la phase compliquée, la biométrie, mais celle considérée comme la plus simple, le mot de passe. On se pose des problèmes éthiques pour la création du compte, mais autant utiliser la biométrie pour ces authentifications puisque de toute manière on a déjà utilisé ce paramètre en amont ».

« La biométrie n’est pas parfaite, aucune technique ne le sera jamais, mais il faut mettre les mécanismes de sécurisation à niveau. Un code à seulement 6 chiffres me semble très léger, insiste le responsable de WatchGuard. Je n’ai même pas vu de mécanisme où ce fameux code serait à modifier dans le temps. »

Trois niveaux de sécurité 

Contacté, Jérôme Letier, directeur de l’Agence nationale des titres sécurisés, veut rassurer. Une fois Alicem mis en circulation, « ce seront les fournisseurs de services qui stipuleront le niveau qu'ils attendent pour valider l'identité d'un utilisateur ». Trois niveaux sont prévus à ce jour : faible, substantiel et élevé.

En pratique, « le cas en test correspond au niveau basique ("faible" au sens du règlement eIDAS), pour les transactions plus sensibles, les fournisseurs de services demanderont un niveau élevé (ou "substantiel"), qui supposera l'utilisation du titre à chaque usage ».

En d’autres termes, l’usage du code à 6 chiffres ne vaut que pour cette phase de test. La sécurité d’Alicem montera en gamme selon les prestataires impliqués, allant jusqu’à demander le titre sécurisé.

Un dispositif anti-clonage de téléphone

Autre point soulevé par Pascal le Digol, la question du clonage des téléphones. En cas de duplication, l’application deviendra-t-elle inopérante ? « Chez nous, c’est effectivement le cas, on sait détecter ce clonage en usant d’une notion d’ADN du téléphone » assure l’intéressé.

Sur cette problématique, le responsable de l’ANTS nous indique que « certains téléphones ont été exclus pour se limiter à ceux disposant d'un Secure Element, en principe protégés contre ce type d'attaque ». Ainsi, « les éléments secrets propres à Alicem étant contenus dans ce SE, cela rend l'application inutilisable avec le compte de l'usager présent sur le téléphone cloné ». « Là encore, insiste Jerôme Letier, dans les usages avec utilisation du titre, le risque sera encore considérablement réduit ».

22

Écrit par Marc Rees

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Trois niveaux de sécurité 

Un dispositif anti-clonage de téléphone

Commentaires (22)


“La sécurité d’Alicem montera en gamme selon les prestataires impliqués, allant jusqu’à demander le titre sécurisé.”

Faudra pas mettre son passeport et son téléphone dans le même sac ^^.


Donc in fine la sécurité du dispositif repose sur le secure element du téléphone… Pourquoi pas en vrai, mais dans ce cas ci tout leur merdier de biométrie ne sert à rien puisqu’il sera probablement moins fiable que, par exemple, FaceID.








jpaul a écrit :



Pourquoi pas en vrai, mais dans ce cas ci tout leur merdier de biométrie ne sert à rien puisqu’il sera probablement moins fiable que, par exemple, FaceID.





Parce que la France aime bien réinventer 50 fois la roue pour obtenir des roues carrées (cf le super système pour signaler les alertes dont terroristes… ou le “cloud à la française”).



Vu à quel rythme les gens change de tél, ça sera drôle, ça me rappelle aussi l’identification par certificat de sécurité sur le site des impôts quand le certificat expirait c’était la mouise pour se reconnecter à nouveau.



Si on peut avoir un système non biométrique via TOTP, ça sera bien mieux !









jpaul a écrit :



Donc in fine la sécurité du dispositif repose sur le secure element du téléphone… Pourquoi pas en vrai, mais dans ce cas ci tout leur merdier de biométrie ne sert à rien puisqu’il sera probablement moins fiable que, par exemple, FaceID.





Cela permet de ne pas être dépendant de FaceID cela dit. On sait jamais, Apple pourrait eux aussi réinventer la roue dans quelques anneés.



Xiaomi utilise une technologie similaire à faceID mais utilisable qu’en Asie à cause de brevets d’apple ?



Si j’ai bien compris l’idée du truc, la phase de biométrie est juste là pour vérifier que c’est bien le propriétaire du passeport qui est en train de l’utiliser.



Donc les commentaire au-dessus par exemple sur FaceId sont à côté de la plaque. FaceId permet d’enregistrer puis reconnaitre son visage. Là il s’agit de reconnaitre le visage de la photo utilisée à la création du passeport…


Tu as bien compris.








Wawet76 a écrit :



Si j’ai bien compris l’idée du truc, la phase de biométrie est juste là pour vérifier que c’est bien le propriétaire du passeport qui est en train de l’utiliser.



Donc les commentaire au-dessus par exemple sur FaceId sont à côté de la plaque. FaceId permet d’enregistrer puis reconnaitre son visage. Là il s’agit de reconnaitre le visage de la photo utilisée à la création du passeport…









fred42 a écrit :



Tu as bien compris.





Mon commentaire fait pourtant référence au dernier paragraphe de l’article qui indique de manière très claire que le dispositif sera limité à des téléphones contenant un “Secure Element” (dans lequel Alicem sauvegardera les données biométriques) telle que la “Secure Enclave” d’Apple qui est un dispositif de sécurité hardware dont l’accès aux données est protégé par … FaceID (ou TouchID). Il y a probablement l’équivalent de cette techno sur les téléphones Android.



Donc à l’usage, et à moins que je ne me trompe, il y aura, sur un iPhone récent tout du moins :




  1. une analyse biométrique du visage avec un capteur dédié pour débloquer les données de comparaison

  2. suivi d’ une analyse avec la simple caméra du téléphone pour comparer avec les données stockées dans le SE.



    Donc je maintiens bien qu’il y aura double analyse du visage, l’une avec un capteur “fort” (pour l’instant), l’une avec un capteur “trompable” mais avec des données de visage que pourra certifier l’état.



    Je ne dis pas que c’est mal, et c’est d’ailleurs plutôt sain comme fonctionnement afin de protéger les données biométriques, seulement que si un “pirate” arrive à passer l’étape du FaceID (probablement faisable mais tout de même pas à la portée du premier venu : analyse visuelle + mapping 3D du visage), il ne fera qu’une bouchée de l’authentification “visuelle” qui suivra.



    Ou alors je n’ai pas tout compris, auquel cas je veux bien qu’on me l’explique.



    Mais de fait, dans la mesure où j’ai plus confiance dans le capteur biométrique de mon téléphone que dans une appli développée à coup d’appels d’offres, il aurait probablement été plus efficace et moins cher d’utiliser un standard existant tel que le TOTP avec un token de signature stocké dans la Secure Enclave, combiné, pourquoi pas, avec une signature émise par la puce du titre sécurisé.



    En sécurité et plus généralement concernant les techniques de chiffrement, il existe des techniques et des protocoles ouverts qui restent, à ce jour totalement invulnérables aux attaques directes (ici le chiffrement asymétrique fort, les générateurs de tokens temporels) qu’il aurait été judicieux d’implémenter tels quels dans une jolie app “bleue blanc rouge” et pas chercher à faire un truc de biométrie bancale avec une implémentation maison (et, je suppose, fermée, pour que les méchants hackers ne regardent pas le code).



Bon, on va faire court. Parler de FaceID pour une application disponible uniquement pour Android est hors sujet.



Après, comme déjà expliqué dans les articles précédents sur ce sujet et même rappelé ici, la reconnaissance faciale n’est utilisée qu’une fois lors de la création de compte et lors de cette phase sont stockés les éléments secrets qui serviront ensuite mais la photo du titre d’identité (passeport) qui ne sera donc pas comparée ultérieurement. Donc, oui, tu n’as pas tout compris.



Si tu veux mieux comprendre le fonctionnement, va lire les autres articles sur le sujet, celui-ci n’est pas le plus explicite, parce que ce n’est pas le sujet.



De toute façon, cet article gratuit est un peu bâclé : on ne comprend pas bien cette histoire de code à 6 chiffres qui sort de nulle part faute d’explication claire de son utilisation. Et il y a ensuite des réponses sans plus de contexte du directeur de l’ANTS, tout ça retranscrit par Marc qui n’est pas spécialisé en technique de sécurité, ça donne un article dont on ne peut pas tirer grand chose.


C’est justement ce que fait alicem : la reconnaissance faciale sert uniquement à valider que le porteur du smartphone est bien celui de la photo du passeport (c’est comme la validation du facteur dans l’idn v2). Cela valide le smartphone lui-même (ou sa puce TPM) comme facteur d’authentification.

L’appli agit alors de la même façon qu’un authenticator, protégé selon le niveau demandé par un code pin ou par un round-trip NFC avec le passeport sans refaire cette authentification biométrique.

Par ailleurs rien n’interdit de remplacer rapidement le code pin du niveau “faible” par la sécurisation native du téléphone (face id, empreinte, yubikey, windows hello…), mais pour une certaine catégorie de personne c’est juste trop compliqué à utiliser.



Par ailleurs, j’ai du mal avec le fait que les médias considèrent alicem comme un outil de pistage biométrique, quand il s’agit concrètement uniquement de la remise du “passeport électronique” par un agent (semi-auto) effectuant UNE FOIS une vérification visuelle de l’identité de la personne.

Ce n’est pas une caméra dans l’espace publique qui va te “flasher” en loggant date, lieu, activité, avec qui tu discute, etc…





Par ailleurs, travaillant sur la fourniture de recommandé électronique pour les juristes, la seule solution qualifiée aujourd’hui, c’est la grille de code prépartagée sur page A4 remise en main propre… autant vous dire qu’on attends de pied ferme des solutions dématerialisée…


Monsieur Jérôme Letier, directeur de l’Agence Nationale des Titres Sécurisés, ferait mieux de s’attaquer aux margoulins qui squattent le mot clef “ANTS” sur Adwords et compagnie, pour arnaquer les gens qui cherchent d’urgence à déclarer volés les papiers d’identité qu’ils viennent de se faire dérober. Il y en a deux à l’heure où j’écris… Leurs pubs sont gentiment affichées au-dessus du résultat naturel (ants.gouv.fr), avec un look tout à fait similaire aux résultats normaux. Maman Michu s’y est faite prendre la semaine dernière. Grrr.



Pourquoi les banques et le eCommerce font-ils ce nettoyage mais pas l’ANTS ? Ça éviterait plus de fraude que de mettre toute son énergie dans des solutions hightech qui ne servent qu’à faire bander les starteupeurs d’état de Macronie : avant d’authentifier les gens avec 50 facteurs, il faut déjà s’assurer qu’ils arrivent sur le bon site !








Aloryen a écrit :





Merci à tous les deux pour ces explications, tout cela n’est donc pas si mal ficelé. Tant mieux. J’avoue avoir certes lu mais survolé les articles précédents et effectivement celui-ci n’est pas une synthèse. Mea culpa.



Il y a donc même des chances pour que ce truc soit pratique.



Reste que je n’ai pas totalement compris du coup où se faisait la reconnaissance initiale, mais je vais retourner lire les autres articles.



Ahah le code à 6 chiffres… Mais le LOL en barres (désolé) !

Et comme d’habitude en France on fait des usines a gaz qui sont incomplètes, codées sous exta, ou encore avec des trous géants de sécurité.

Alors qu’en Europe, on fait des fois des choses intéressantes.

Par exemple Luxtrust (au Luxembourg, cherchez sur un moteur de recherche), vous avez une identité numérique pour :




  • les banques

  • les organismes d’état : impots, caf, sécurité sociales, etc…

  • 3D secure



  • Ce truc (un GIE donc) s’ouvre soit lors de l’ouverture d’un compte bancaire soit via une demande personnelle. Dans tous les cas il faut présenter un document prouvant votre existance légale (CNI / Passeport + jutificatifs).

    A la fin vous avez un truc “simple”:

  • un login UNIQUE (que vous ne choisissez pas)

  • un mot de passe fort (lettres / chiffres / caractères spéciaux / pas testé des trucs en UTF genre caractères chinois)

  • un token hardware type RSA Secure ID.



    Luxtrust fait donc avec ça une carte d’identité virtuelle, quand on “signe” des opérations avec ça, c’est la preuve irréfutable que VOUS êtes bien la personne qui signe l’opération.



    Le principe est SIMPLE, efficace et probablement peu piratable…. et surtout tellement pratique. Alors pourquoi réinventer la roue et faire des usines a gaz avec un trou de sécu de la taille d’un 38 Tonnes derrière ?








traknar a écrit :



Monsieur Jérôme Letier, directeur de l’Agence Nationale des Titres Sécurisés, ferait mieux de s’attaquer aux margoulins qui squattent le mot clef “ANTS” sur Adwords et compagnie, pour arnaquer les gens qui cherchent d’urgence à déclarer volés les papiers d’identité qu’ils viennent de se faire dérober. Il y en a deux à l’heure où j’écris… Leurs pubs sont gentiment affichées au-dessus du résultat naturel (ants.gouv.fr), avec un look tout à fait similaire aux résultats normaux. Maman Michu s’y est faite prendre la semaine dernière. Grrr.



Pourquoi les banques et le eCommerce font-ils ce nettoyage mais pas l’ANTS ? Ça éviterait plus de fraude que de mettre toute son énergie dans des solutions hightech qui ne servent qu’à faire bander les starteupeurs d’état de Macronie : avant d’authentifier les gens avec 50 facteurs, il faut déjà s’assurer qu’ils arrivent sur le bon site !



La réponse tient en 4 lettres : ANTS.



En dehors de la gestion des amendes où ils doivent être absolument irréprochables, ils produisent énormément de merde. On l’a vu quand ils ont repris la gestion des certificats d’immatriculation, pendant près d’un an c’était la merde intégrale, si tu avais le malheur d’être sur un truc hors des sentiers battus ou d’avoir un bug dans la procédure tu pouvais aller brûler un cierge et prier… Parce que bien entendu, absolument aucun moyen de contacter un humain.

Et à mon taf nous aussi on doit les subir avec un système de gestion de certificats absolument dégueulasse à utiliser tellement ca merde, géré par eux…









Patch a écrit :



La réponse tient en 4 lettres : ANTS.



En dehors de la gestion des amendes où ils doivent être absolument irréprochables, ils produisent énormément de merde. On l’a vu quand ils ont repris la gestion des certificats d’immatriculation, pendant près d’un an c’était la merde intégrale, si tu avais le malheur d’être sur un truc hors des sentiers battus ou d’avoir un bug dans la procédure tu pouvais aller brûler un cierge et prier… Parce que bien entendu, absolument aucun moyen de contacter un humain.

Et à mon taf nous aussi on doit les subir avec un système de gestion de certificats absolument dégueulasse à utiliser tellement ca merde, géré par eux…





En mettant de côté leur mise en production de leurs logiciels mais testés c’est plus l’absence de phase de transition an laissant les guichets disponibles de mémoire. Une MEP en mode Big Bang quoi









the_frogkiller a écrit :



En mettant de côté leur mise en production de leurs logiciels mais testés c’est plus l’absence de phase de transition an laissant les guichets disponibles de mémoire. Une MEP en mode Big Bang quoi



Le fait de ne pas laisser les guichets préf ouverts n’est pas forcément le plus gênant (enfin ca l’est pour ceux qui ne maîtrisent absolument pas l’informatique et le Net, mais ce n’est pas le plus gros problème qu’il y a eu), ca évite qu’il y ait plusieurs administrations qui s’occupent de la même chose et que ca provoque des conflits sur certains dossiers. Ce qui a été gênant, c’est de n’avoir mis aucune possibilité de contact, a minima via une adresse mail ou un formulaire de contact générique (en plus d’un foutage de gueule complet. Les concessionnaires qui envoyaient les dossiers à l’ANTS qques jours avant le début officiel (sachant pertinemment que les préfectures n’auraient pas le temps de les gérer) ont vu TOUS leurs dossiers refoulés. Mais pas dans les jours qui suivent, ca aurait été bien trop simple. Le refoulement a été fait 4 à 6 mois après… et les CC ont dû tout reprendre à zéro, et leur renvoyer les mêmes dossiers, aux mêmes gestionnaires qui ont perdu leur temps à refouler au 1er coup au lieu de gérer directement, alors qu’ils avaient déjà un retard monstrueux (3 à 7 mois de délai selon la région))…

Et depuis, ils n’ont toujours rien appris. Dans qques semaines, on change de système de gestion des certificats. L’actuel s’arrête le jour où l’autre démarre. 150% de chances que ca merde.



“certains téléphones ont été exclus pour se limiter à ceux disposant

d’un Secure Element, en principe protégés contre ce type d’attaque”



En pratique, ça limite l’usage de leur bousin aux téléphones IoS et Android récents et moyen / haut de gamme non ? Ou c’est un peu plus générique / ouvert ?


Pour être presta immatriculation sur une partie de mon activité, je confirme que l’ANTS c’est un gros trou noir. Même en temps que pro presta, on a du mal a obtenir des humains et de l’information.

Et par expérience on apprend que des éléments sont obligatoires alors que les documentations officielles les décrivent comme optionnels…

Enfin bref… L’ANTS quand son dossier passe sans aucun soucis, il faut penser à jouer au loto.


En France ça s’appelle France-Connect, dont Alicem sera un fournisseur d’identité “forte”. Comme l’idn de la poste v2, et d’autres.

Le problème c’est qu’aujourd’hui, FC ne fait que des identités faibles (impots, sécu…) car on se touche la nouille sur les données personnelles des fournisseurs d’identité forte.

Quand ce sera disponible, tous les services pourront l’implémenter librement.



 Il reste que FC est orienté vers les particuliers, et donc tjrs aucun moyen d’authentifier proprement une personne morale, son role et ses droits dans l’entreprise, etc.








Toorist a écrit :



Pour être presta immatriculation sur une partie de mon activité, je confirme que l’ANTS c’est un gros trou noir. Même en temps que pro presta, on a du mal a obtenir des humains et de l’information.

Et par expérience on apprend que des éléments sont obligatoires alors que les documentations officielles les décrivent comme optionnels…

Enfin bref… L’ANTS quand son dossier passe sans aucun soucis, il faut penser à jouer au loto.



Pour ma part, je n’ai jamais eu de pb (correction de carte grise erronnée, changement d’adresse, nouvelle carte grise…)… Mais ce n’est pas pour ca que je gagne plus souvent au loto <img data-src=" />









kiwi35 a écrit :



Par exemple Luxtrust (au Luxembourg, cherchez sur un moteur de recherche), vous avez une identité numérique pour :




  • les banques

  • les organismes d’état : impots, caf, sécurité sociales, etc…

  • 3D secure



  • Ce truc (un GIE donc) s’ouvre soit lors de l’ouverture d’un compte bancaire soit via une demande personnelle. Dans tous les cas il faut présenter un document prouvant votre existance légale (CNI / Passeport + jutificatifs).

    A la fin vous avez un truc “simple”:

  • un login UNIQUE (que vous ne choisissez pas)



    &nbsp;

  • un mot de passe fort (lettres / chiffres / caractères spéciaux / pas testé des trucs en UTF genre caractères chinois)

  • un token hardware type RSA Secure ID.



    Luxtrust fait donc avec ça une carte d’identité virtuelle, quand on “signe” des opérations avec ça, c’est la preuve irréfutable que VOUS êtes bien la personne qui signe l’opération.





    &nbsp;Y a du bon et du moins bon dans Luxtrust :

    le GIE est un machin co-étatique en fait vu les actionnaires

  • on utilise les banques notamment pour la vérif des papiers. C’est typiquement luxembourgeois parce que le besoin a commencé à se faire sentir là avec la banque à distance

  • le mot de passe n’est pas nécessairement&nbsp; très fort

  • l’appel de l’authentification est plus ou moins bien implémenté et/ou long selon les organismes

    -&nbsp; le login Luxtrust, tu ne le choisis pas mais bon 2 lettres du nom de famille, du prénom et un numéro d’ordre en enregistrement, ahem….

    &nbsp;- t’as oublié le choix de la photo…

    &nbsp; - le coût de ton token est pris en charge par les banques faut dire.

  • Quand Luxtrust en rade, toutes les banques à distances du pays sont en rade&nbsp; – rare mais rigolo à vivre

    &nbsp;



Un code à 6 chiffres est vraiment considéré comme sûr ????????