Fichier TES : la lettre de mission bien cadrée du ministère de l’Intérieur

Nous diffusions la lettre de mission datée du 17 novembre, signée par Bernard Cazeneuve et adressée à l’ANSSI et la DINSIC. C’est ce document qui a commandé le rapport sur le fichier TES. Une mission très bien tracée. 

Ce matin, le rapport de l’ANSSI et de la DINSIC était présenté en audition à l’Assemblée nationale. Guillaume Poupard et Henri Verdier, directeurs respectifs de ces deux instances, ont rendu compte de leurs conclusions (voir notre analyse).

Des conclusions peu glorieuses pour la solidité du fichier centralisant bientôt l’ensemble des cartes nationales d’identité et des passeports, données biométriques comprises : des vulnérabilités « plus ou moins graves », dixit le représentant de l’Agence nationale pour la sécurité des systèmes d’information. « Une sécurité perfectible », etc.

Pour rectifier le tir, le document final propose différentes pistes, mais surtout pas d’alternative à la base centralisée. « On s’est interdit de regarder les autres architectures » ont-ils expliqué en Commission des lois ce matin. Voilà qui ne va pas satisfaire la grincheuse CNIL, celle qui regrettait en novembre dernier qu’« aucun autre système n’a été étudié et présenté comme voie alternative »!

Cette restriction du champ d’investigation n’est pas due au hasard, ni à une politesse et encore moins à une quelconque paresse. La faute tient à la lettre de mission du 27 novembre, signée par Bernard Cazeneuve. Celui qui était alors ministre de l’Intérieur a bétonné la route de l’ANSSI et la DINSIC et monté de belles barrières le long du trajet. 

Sa commande a réclamé en effet une analyse de « l’architecture technique du dispositif » en préparation d’une phase d’ « homologation », un examen « des conditions d’hébergement, d’exploitation et d’administration », une auscultation de solidité du système face aux risques cyber, etc. Par contraste, il fallait surtout comprendre qu'un ministre régalien leur demandait d’ignorer les autres pistes que cette base centralisée, pourtant sujette à de vives inquiétudes.

Les finalités, un sujet sans fin

Un passage de la missive concerne aussi les finalités de TES. On s’en souvient, le décret flèche le dispositif : efficacité administrative et surtout authentification du porteur de la carte.

TES permet en effet de comparer des empreintes digitales d’un demandeur avec celles précédemment enregistrées sous la même identité pour déceler une possible fraude. Le décret interdit toutefois de renverser la vapeur pour permettre l'identification d’une personne à partir de l'image de son visage ou de ses empreintes digitales.

Le 9 novembre, devant les députés, Bernard Cazeneuve avait assuré qu’un détournement des finalités serait même impossible. Légalement, la jurisprudence du Conseil constitutionnel l’interdirait, du moins selon sa grille de lecture. Techniquement, l’identification serait empêchée par « l'architecture » du système, qui n’autoriserait que l’identification des titres d'identité, non celle des personnes. « C'est une technologie radicalement différente de celle censurée par le Conseil constitutionnel en 2012. Nous maintenons la lutte contre la fraude, sans possibilité de remonter à la personne depuis ses données. L'architecture de l'application devrait être totalement rebâtie pour permettre cette identification ».

Le lien unidirectionnel et la robustesse de TES

Face aux doutes exprimés notamment par le Conseil national du numérique, le ministère a remis une couche, réclamant que l’audit puisse « garantir à nos concitoyens la robustesse du caractère unidirectionnel du lien qui unit le comportement de l’application contenant les éléments alphanumériques au compartiment contenant les données biométriques ». Avec une lourde insistance : « je tiens absolument à ce que ce lien asymétrique, qui permet de passer du premier compartiment au second, mais en aucun cas du second au premier, puisse être techniquement inviolable dans le temps ».

On connait le résultat : le rapport révèle que ce système « peut techniquement être détourné à des fins d’identification, malgré le caractère unidirectionnel du lien informatique mis en œuvre pour relier les données d’identification alphanumériques aux données biométriques ». Devant les députés, Henri Verdier et Guillaume Poupard ont même répété que le ministère de l'Intérieur (ou un tiers) pouvait passer de l'authentification à l'identification, par exemple en reconstituant une base de données complète à partir du lien unidirectionnel existant.