Une étude discrédite l’ajout des empreintes digitales sur la carte d’identité

© iStock

Une étude du groupe de recherche Computer Security and Industrial Cryptography (COSIC) de la KU Leuven discrédite complètement la décision du gouvernement Michel d’ajouter les empreintes digitales sur la carte d’identité électronique (eID). Cette mesure, qui entrera en vigueur en avril, est, selon la conclusion sans appel de l’étude, équivoque, superflue, disproportionnée, voire particulièrement risquée.

La Chambre a en novembre dernier, et malgré un avis négatif émis par l’Autorité de protection des données, avalisé une proposition de loi introduite par le ministre de l’intérieur de l’époque, Jan Jambon (N-VA). A partir d’avril 2019, la carte d’identité inclura donc les images des empreintes digitales numériques, qui ne seront pas stockées plus de trois mois dans une banque de données centrale.

Selon les chercheur de COSIC, la loi est trop confuse quant au fonctionnement et à l’accès au lieu de stockage central: “En outre, la loi ne fait aucunement mention, pas même une suggestion des mesures techniques destinées à protéger les données, ni pour ce qui est du stockage sur la puce de la carte d’identité, ni en ce qui concerne l’accès à ce stockage, ni à propos du stockage central. L’absence totale de mesures de protection techniques dans la loi est préoccupante.”

Disproportionnée

De plus, l’étude prétend que la mesure, qui a officiellement comme but de combattre la fraude à l’identité, est disproportionnée. Selon les chercheurs, le gouvernement exploite à présent déjà insuffisamment les possibilités des données biométriques, qui se trouvent, elles, déjà sur la carte, à savoir la photo du visage.

En outre, la mesure n’est efficace que pour un seul cas de fraude à l’identité, par laquelle une personne présente à un contrôle une carte d’identité valable sur laquelle elle vient de mettre la main. Or ce genre de fraude peut être aisément détecté sur base de la photo. Pour divers autres scénarios de fraude à l’identité, la mesure n’a aucune utilité. Les chercheurs en énumèrent six.

Peu sûr

Le fait que la loi impose aussi qu’une “image numérique” des empreintes digitales doive être conservée sur la puce de l’eID et puisse en outre être “lue”, est également problématique. “Néanmoins, il suffit que les personnes et organisations concernées soient capables de comparer les empreintes digitales stockées avec celles du titulaire de la carte. Pour cela, la lecture n’est pas nécessaire”, selon les chercheurs. “La loi empêche la prise des mesures techniques adéquates pour obtenir une protection optimale des données biométriques.”

Les chercheurs citent ainsi quatre alternatives plus sûres pour éviter un stockage et une lecture des empreintes digitales, qui sont notamment déjà utilisées par MasterCard et dans les eID espagnoles. L’une d’elles est ce qu’on appelle la “sensor-on-card”, où l’eID est équipée d’un capteur de lecture des empreintes digitales, de sorte que la carte elle-même peut indiquer si l’empreinte digitale présentée correspond ou non. “Les cartes dotées d’un capteur offrent des garanties nettement meilleures sur le plan de la protection des données, étant donné que seule la carte même entre en contact avec les empreintes digitales et qu’il n’y a aucune possibilité de lecture des empreintes digitales stockées dans la puce.”

La technologie, telle qu’elle est utilisée actuellement, n’offre pas de garanties suffisantes pour empêcher la lecture des empreintes digitales par des personnes non-autorisées

Les chercheurs dénoncent aussi l’utilisation d’une banque de données centrale, alors que les empreintes digitales peuvent être parfaitement ajoutées sur la puce, lors du retrait de l’eID. Ils craignent le détournement d’usage (‘function creep’), par lequel les données sont utilisées dans un autre but que celui prévu à l’origine, ainsi que les fuites, les abus et la manipulation des données.

Enfin, l’étude indique que le protocole de sécurité que les autorités utilisent pour les puces des eID, “ne suffit plus dans l’état actuel de la technique”. “La technologie, telle qu’elle est utilisée actuellement, n’offre pas de garanties suffisantes pour empêcher la lecture des empreintes digitales par des personnes non-autorisées”, affirment les chercheurs.

Réactions

Dans une réaction, le cabinet De Crem insiste sur le fait qu’il s’agit d’un dossier qui a été entériné par le ministre de l’intérieur précédent, Jan Jambon (N-VA). “Nous n’avons-nous-mêmes pas encore eu accès à l’étude”, déclare un porte-parole. “Nous avons pris contact avec l’administration et demandé à des spécialistes de se pencher sur l’étude et de l’analyser.” Quant au porte-parole de Jan Jambon, il qualifie l’étude de “douteuse” sur Twitter

Le juriste en matière de respect de la vie privée Matthias Dobbelaere-Welvaert se déclare, lui, satisfait de l’étude. L’initiateur de “Stop à l’empreinte digitale“, une action de crowdfunding (financement participatif) en vue de s’opposer à la loi devant la Cour Constitutionnelle, apprécie le fait qu’un institut indépendant se prononce contre la mesure gouvernementale sur la base d’une analyse technique. “C’est une nouvelle fantastique pour notre cause”, dit-il. “Les arguments juridiques, éthiques ou sociaux sont souvent difficiles à défendre, mais ici, tout se trouve noir sur blanc sur la base d’une analyse technique.”

Aujourd’hui déjà, plus de 800 personnes ont offert une contribution financière à “Stop à l’empreinte digitale”. Hasard ou non, le montant collecté a franchi justement le cap des 20.000 euros vendredi. Dobbelaere-Welvaert s’attend à ce que la requête contre la mesure soit introduite cette semaine ou la semaine prochaine auprès de la Cour Constitutionnelle.

Contenu partenaire