Rien de moins que le fonctionnement correct de notre société moderne dépend du traitement sécurisé de nos données d’identité

Il y a quelques jours, le gouvernement fédéral annonçait que le citoyen pouvait utiliser une nouvelle appli pour s’identifier auprès des instances publiques officielles. Outre Itsme qu’on connaît depuis des années déjà, myID était désormais agréée par le SPF Stratégie et Appui (BOSA). Le plaisir a cependant été de courte durée, puisque moins de 48 heures plus tard, cet agrément a été retiré après un sérieux cyber-incident.

Pour rappel, l’enregistrement et la conservation de nos données identitaires sont l’apanage du gouvernement fédéral. Des applications comme Itsme et myID garantissent de leur côté l’identification en ligne du citoyen et établissent le lien vers le site web sur lequel le citoyen désire s’inscrire. Les applis le permettant sont définies par un Arrêté Royal de 2017, comme l’a répété le secrétaire d’Etat à la numérisation Mathieu Michel la semaine dernière à la Chambre dans le cadre d’un débat sur l’incident. L’Arrêté Royal décrit avec précision la procédure à suivre en vue d’obtenir l’agrément.

Malgré les affirmations de Michel, selon lesquelles nous suivons les règles européennes en matière de cybersécurité, rien n’est moins vrai parce que l’Arrêté Royal en question, Michel ne l’a jamais actualisé ou mis en conformité avec les cyber-obligations européennes. Pour pouvoir proposer des services d’identification au niveau européen, diverses procédures strictes sont nécessaires, dont un audit par un Conformity Assessment Body. myID a donc passé avec succès les normes belges, mais ne pourra proposer nulle part ailleurs ses services en Europe, au contraire d’Itsme.

Le secrétaire d’Etat Mathieu Michel n’applique pas le principe de la ‘sécurité d’abord’.

Sur le plan de la cybersécurité, 2017 remonte évidemment à une éternité. Entre-temps, nous avons dans notre pays connu déjà plusieurs piratages importants ciblant nos pouvoirs publics, dont les départements de la Défense et de l’Intérieur. Le secrétaire d’Etat Michel ne peut dès lors pas non plus se retrancher derrière un Arrêté Royal désuet. Il lui appartient de relever le niveau de sécurité.

Etat d’esprit laxiste

Comment savoir que la nouvelle appli n’était pas sûre? J’adresse ici mes félicitations au Cybersecurity Centrum Belgique (CCB) qui a contrôlé de sa propre initiative la sécurité du système de myID, le lendemain de son lancement. Le secrétaire d’Etat a bien dû le reconnaître à contre-coeur suite aux questions que j’ai posées au sein de la commission. Au bout d’à peine quelques tentatives du CCB, il est apparu que des personnes extérieures purent accéder au système. Cela signifie qu’un pirate pourrait s’approprier l’identité de quelqu’un d’autre. Une faille de sécurité catastrophique aux conséquences potentiellement importantes. Supposons en effet que vous puissiez alors ainsi apporter des modifications au registre des entreprises, consulter des données médicales, télécharger de fausses déclarations fiscales, émettre des certificats, voire initier des transactions financières.

Le fait que le CCB, une instance gouvernementale en fait, ait contrôlé de sa propre initiative le sécurité de l’appli, après son lancement il est vrai, au lieu que le secrétaire d’Etat le lui ait demandé avant l’agréement, illustre bien l’état d’esprit laxiste de ce gouvernement sur le plan de cybersécurité.

Chine

Mais le problème est plus profond encore. Dans un monde changeant, il nous faut également oser remettre en question des décisions du passé. Alors qu’en 2017, notre pays avait opté pour un système ouvert, où chaque entreprise qui accomplit des étapes déterminées, peut accéder aux données identitaires de nos citoyens, d’autres pays européens ont choisi une tout autre solution. Dans ces pays, seule une entreprise, qui est contrôlée et suivie minutieusement, peut accéder au système via une adjudication publique qui est renouvelée régulièrement. Or un tel système est bien entendu nettement plus sûr.

Rien de moins que le fonctionnement correct de notre société moderne dépend du traitement sécurisé de nos données d’identité.

Sans vouloir favoriser l’acteur existant Itsme, le risque que cette entreprise tombe par exemple entre les mains d’investisseurs chinois, est particulièrement faible, si on regarde qui sont ses actionnaires. Il s’agit en effet des opérateurs télécoms belges, d’un groupe de banques et du gouvernement belge comme principal actionnaire. Cette garantie n’existe à tout le moins pas avec de nouveaux acteurs privés sans collaboration public-privé.

Vision et audace

Ce qui manque clairement au secrétaire d’Etat, c’est la vision et l’audace de vouloir évaluer et adapter le système à la réalité actuelle. De plus, c’est l’ensemble de l’état d’esprit de la ‘sécurité d’abord’ qui est subordonné à son idée de fournir au citoyen en priorité accès à ses données. Normalement, on s’attendrait à ce que ce soit l’inverse qui soit vrai. Je n’insisterai jamais assez sur l’importance d’un accès sécurisé à nos données identitaires et sur l’aspect crucial que revêt le gestionnaire de ces données appelé à exécuter son travail de manière absolument sûre. Rien de moins que le fonctionnement correct de notre société moderne dépend du traitement sécurisé de nos données d’identité. Il nous faut exiger la garantie que cela se fasse de la façon la plus absolument sûre qui soit.

Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici

Contenu partenaire