Jakub Jirsk - Fotolia
Sécurisation du fichier TES : peut (beaucoup) mieux faire
Tout juste rendu public, le rapport d’audit de la Dinsic et de l’Anssi fait ressortir de nombreuses faiblesses, dont certaines particulièrement préoccupantes.
Le ministère de l’intérieur vient de rendre public l’audit du système dit TES – « titres électroniques sécurisés » – commandé à la Direction interministérielle du numérique et du système d’information et de communication de l’Etat (Dinsic) ainsi qu’à l’Agence nationale de la sécurité des systèmes d’information (Anssi). Et ses conclusions ne devraient pas rassurer les opposants à ce nouveau « fichier des gens honnêtes » décrété à l’automne, car pour la Dinsic et l’Anssi, « la sécurité globale du système TES est perfectible ».
Elles relèvent en particulier que le système « peut techniquement être détourné à des fins d’identification, malgré le caractère unidirectionnel du lien informatique mis en œuvre pour relier les données d’identification alphanumériques aux données biométriques », un usage illicite qui peut être réalisé « ne serait-ce que par reconstruction d’une base de données complètes à partir du lien unidirectionnel existant ». Mais la Dinsic et l’Anssi multiplient les recommandations.
Puisque les données biométriques collectées lors de la demande de pièces d’identités ne doivent être utilisées que dans le cadre de réquisitions judiciaires, les deux organismes recommandent leur chiffrement avec plusieurs clés confiées au ministère de l’Intérieur ainsi qu’à une autorité tierce. Dès lors, aucun des deux ne pourrait seul déchiffrer complètement ces données.
Et la qualité du chiffrement mis en œuvre apparaît largement questionnable puisque Dinsic et Anssi recommandent de « prendre en compte les préconisations du Référentiel Général de Sécurité concernant les mécanismes cryptographiques mis en œuvre pour construire les liens unidirectionnels » et de « mettre en place à court terme un chiffrement des données biométriques et des pièces justificatives ». Autrement dit, ce n’est pas encore le cas. D’ailleurs, l’Agence nationale des titres sécurisés (ANTS) prévoit de mettre en œuvre ces deux recommandations cette année.
Mais ce n’est pas tout. La traçabilité des actions menées dans le cadre des réquisitions judiciaires n’est pas assurée par des moyens techniques, mais uniquement organisationnels. Et si « l’architecture actuellement mise en place prend en compte les problématiques de cloisonnement et de filtrage », « un certain nombre de vulnérabilités de gravité variable » a été observé. D’ailleurs, si le « processus de suivi des mises à jour des correctifs de sécurité sur les systèmes et applications » mérite d’être amélioré, aucun « référentiel de sécurisation applicable à l’ensemble des équipements du système TEST » n’apparaît aujourd’hui en place. Et manifestement, une « politique de durcissement des mots de passe » semble nécessaire.
La Dinsic et l’Anssi pointent aussi des analyses insuffisantes des risques « de dévoiement » de TES voire d’exfiltration de ses données, et plus généralement des risques pour l’homologation du système dans son ensemble : là, l’éventail de scénarios étudiés apparaît trop limité.
Et c’est sans compter avec le recours important à la sous-traitance qui devrait commander de « mettre en place une gestion stricte et formalisée » de ceux qui interviennent sur TES, mais également la formalisation des « modalités de coordination et de partage de responsabilité entre les différents intervenants ».
Dans un communiqué, le ministre de l’Intérieur, Bruno Le Roux, assure que « le Gouvernement reprend à son compte l’ensemble des recommandations proposées par cet audit » et donne des éléments de calendrier pour leur suivi. Surtout, pour lui, « le système TES est compatible avec la sensibilité des données qu’il contient ».