La sécurité de la carte d'identité électronique allemande en débat
Suite à une démonstration du groupe de hackers Chaos Computer Club lors de l'émission Plus Minus sur la chaine allemande ARD, le débat fait rage en Allemagne sur la sécurité des futures d'identité électroniques germaniques qui doivent faire leur apparition en novembre. Il semble en fait que ce ne soit pas tant la carte que le lecteur qui sera distribué qui pose problème. De quoi donner matière à réflexion, alors que la carte d'identité électronique doit en principe faire son apparition dans l'Hexagone au second semestre 2011.
Le Chaos Computer Club (CCC), un célèbre groupe de hackers né en Allemagne, est parvenu à relancer la polémique sur la sécurité des futures cartes d'identité électroniques chez nos voisins d'outre-Rhin. La carte, qui doit être généralisée en Allemagne à partir de novembre, renferme une puce RFID contenant des informations personnelles (dont les empreintes digitales de son propriétaire) et elle peut être utilisée en tant qu'identifiant pour des applications commerciales (badge de parking, sécurisation d'accès à des sites en ligne...). Pour cela, le gouvernement va distribuer près de d'un million de lecteurs RFID USB aux premiers possesseurs de la carte, lecteurs qu'ils devront connecter à leur ordinateur s'ils veulent utiliser les services additionnels de la carte pour des services en ligne.
Un projet qui traine depuis 2003 en France |
Lancé en 2003, le projet français de carte d'identité électronique (baptisé à l'origine INES) a été maintes fois repoussé au fil des critiques de la CNIL et des défenseurs des droits de l'homme... Finalement la carte nationale d'identité életronique devrait faire ses débuts à partir du second semestre 2011. Les dispositions législatives permettant la naissance de cette carte seront ajoutées via un amendement dans le projet de loi Loppsi 2 (en débat au Sénat à partir du 7 septembre). La délivrance des nouveaux titres devrait se faire dans les mairies déjà équipées pour délivrer les passeports biométriques. Un moyen de réduire les coûts de mise en œuvre pour l'Etat et les communes. |
Cliquez pour dérouler |
C'est là qu'intervient le CCC. Dans une émission réalisée par la télévision allemande ARD, les membres du club de hackers ont mis en lumière comment il était possible via un spyware (logiciel espion) de lire à distance le code PIN de l'utilisateur de la future carte électronique lorsque celui-ci utilise le lecteur RFID gouvernemental. Jusque là rien que de très classique, le même spyware aurait pu intercepter tout autre code de sécurité ou mot de passe tapé sur le clavier par l'utilisateur. Mais, comme on est à la télé et que le CCC n'est pas étranger aux méthodes de l'agip prop, la conclusion tirée par les hackers est que la carte d'identité (facturée 28,8 € au citoyen allemand) n'est pas sûre. Et la machine médiatique de s'emballer, l'ensemble des médias grand public allemands interrogeant le ministre de l'Intérieur, Thomas de Maizière, sur la sécurité de la carte. Même le parti socialiste allemand, le SPD, s'est laissé prendre par la manœuvre et a demandé au ministre de mettre en place une carte plus sécurisée.
En fait, à ce jour, la démonstration télévisée du CCC ne remet pas en cause la sécurité de la carte. Tout au plus le CCC a-t-il démontré qu'en l'absence d'un clavier placé directement sur le lecteur ou d'un mécanisme de reconnaissance d'empreintes digitales intégré, c'est le processus de lecture de la carte via le lecteur sans fil qui n'est pas sûr. Tant qu'il faudra taper un code PIN sur le clavier du PC, celui-ci pourra être intercepté par le premier spyware ou cheval de troie venu. Alors que si le code confidentiel était tapé sur un lecteur sécurisé et que l'information était ensuite transmise sous forme cryptée vers le PC ou le service en ligne, ce problème disparaitrait.
Un constat qu'avait fait en son temps le GIE Carte Bancaire français en concevant un lecteur sécurisé, qui aurait permis à l'utilisateur d'utiliser sa carte bancaire à la maison avec la même sécurité que sur un DAB ou un terminal de paiement. Mais ce lecteur coûtait bien plus cher qu'un banal lecteur non sécurisé, un léger détail qui avait torpillé tout le projet, les banques n'étant pas prêtes à en supporter le coût (pas plus d'ailleurs que les utilisateurs). Pas sûr toutefois que le gouvernement allemand soit prêt à payer pour un lecteur plus sûr en ces temps de disette budgétaire. Il sera intéressant de voir si la France tire les leçons de l'expérience allemande lorsque la future carte d'identité électronique française - qui aura elle aussi des applications "commerciales" - fera son apparition.
En savoir plus :
les vidéos de l'émission PlusMinus sur le site de NetzPolitik.org