Aadhaar : le «fichier des gens honnêtes» indien fonctionne sans gestion de la gouvernance
Srikanth Nadhamuni, conseiller auprès de l’UIDAI, et Pdg de Khosla Labs, présentait l’architecture du système d’information de l’important projet indien de carte d’identité unique à l’occasion de la conférence RSA qui se déroule actuellement à San Francisco. L’occasion d’apprendre que ce système à l’échelle impressionnante fonctionne actuellement sans gestion de la gouvernance et de la conformité.
A l'occasion de la RSA Conference qui se tient actuellement à San Francisco, Srikanth Nadhamuni, conseiller auprès de l’UIDAI, a levé un peu plus le voile sur les mécanismes technologiques, derrière le vaste projet de carte d’identité unique en Inde, Aadhaar.
Le projet Unique ID indien remonte, dans son concept, à 2003. Il a été approuvé à l’automne 2008 et vise à fournir un numéro d’identification unique à chaque citoyen. Numéro permettant l’accès à tout type de service public ou privé, à commencer les transferts d’argent, par exemple. Mais il doit aussi épargner aux Indiens certaines lourdeurs administratives et élargir leur identification à des populations pas toujours facilement identifiables aujourd’hui, notamment dans les zones rurales, en s’appuyant largement sur des données biométriques.
Baptisé Aadhaar, le projet indien est piloté par une agence gouvernementale – l’UIDAI – dirigée par Nandan Nilekani, l’un des co-fondateurs d’Infosys. Dans le monde de l’IT, il a attiré d’importantes convoitises. Et c’est sans trop de surprise que l’un des spécialistes occidentaux de la biométrie – Morpho – s’y est trouvé associé.
Srikanth Nadhamuni, conseiller auprès de l’UIDAI, et Pdg de Khosla Labs, n’a pas manqué de souligner l’importance du projet pour l’Inde, un pays où «seulement 30 % des indiens disposent d’un compte bancaire et où il n’y a pas de document d’identité standard ». En outre, les «documents d’identité [comme les cartes de rationnement, NDLR] sont généralement rattachés au village d’origine et sans portabilité ». Les problèmes d’usurpation d’identité seraient également fréquents, entraînant «30 à 40 % de perte» sur les subventions publiques évaluées à 40 Md$ par an. Aadhaar doit permettre, avec la biométrie, de supprimer «les doublons et les faux, tout en supportant l’authentification des individus en ligne. Enthousiaste, Srikanth Nadhamuni résume : «nous allons passer directement de l’absence d’identité à l’identité numérique ».
Et d’expliquer le fonctionnement du système : «l’UIDAI enrôle les individus et assure l’authentification en ligne. Nous comparons toutes les données biométriques avec la base de données. Un défi en termes de ressources de calcul.» Les empreintes digitales ne suffisent pas pour cela. Avec une forte population rurale, « qui travaille manuellement, il est difficile de collecter des données fiables ». D’où l’ajout de l’iris qui permet «de créer une empreinte numérique sur 1024 bits avec quasiment aucun doublon ».
Une vaste base de données...
Srikanth Nadhamuni reconnaît volontiers que le projet a provoqué «beaucoup de débats publics sur la sécurité et la protection de la vie privée» en Inde. La sécurité de la base de données apparaît donc cruciale. D’autant plus que l’UIDAI s’appuie sur bon nombre de partenaires pour l’enrôlement - et cela ne va pas toujours sans problème - ce qui implique «de définir des zones de sécurité pour isoler les partenaires qui accèdent à notre système ». Pour l’enrôlement, mais aussi pour l’authentification qui «reçoit les données, les compare à la base et répond par oui/non». Un système qui, s’il n’en est qu’à ses débuts, tourne déjà à un régime élevé : «nous avons déjà enrôlé 300 millions de personnes; nous en enrôlons 1 million chaque jour et nous procédons à 300 trillions de comparaisons de données biométriques par jour.» Trois fournisseurs de services biométriques sont mis en concurrence continue. La base de données, déjà forte de 5 Po doit voir sa taille multipliée par quatre à terme. L’ensemble fonctionne sur des serveurs lames x86 tout ce qu’il y a de standard. L’architecture logicielle ressemble à «un zoo Open Source» avec le recours au système de fichiers Hadoop pour le stockage, mais aussi à Java avec SpringSource, l’ESB Mule et RabbitMQ pour les applications, et Pentaho et Hadoop pour la partie analytique.
...très préciseuse
Mais ce système d’information apparaît d’autant plus critique qu’il permet aussi d’offrir des services de fédération d’identité et que l’une des premières applications d’Aadhaar est le transfert direct de fonds vers les individus. De quoi largement éveiller la convoitise de cybercriminels... De nombreuses briques de sécurité sont déjà en place mais, pour l’heure, la plateforme fonctionne... sans la brique qui consolider l’ensemble : le module de gestion de la gouvernance, du risque et de la conformité (GRC). Une solution pour laquelle un appel d’offres a été lancé mais n’a pas encore abouti. En attendant, le budget de l'UIDAI continue d'augmenter. De 166,9 M€ pour l'exercice 2011-2012, il est passé à 189,8 M€ pour 2012-2013 et devrait atteindre 368,4 M€ pour la période allant d'avril 2013 à mars 2014 inclus.