À une semaine du FIC, le Forum international de la cybersécurité à Lille, l’ANSSI et la DINSIC ont remis leur rapport sur le fichier des titres électroniques sécurisés, cette méga base agrégeant les données notamment biométriques des cartes nationales d’identité et des passeports. Une certitude : les conclusions du document sont très mitigées.
La naissance de TES par un décret en Conseil d’État publié le 30 octobre 2016 a provoqué un bel émoi : ce fichier monstre, contre le principe duquel le PS s’était opposé en 2012, a pour ambition de devenir le plus grand fichier biométrique français. Cela en rassemblant les empreintes et la photo du visage de tous les porteurs de ces titres.
Potentiellement, comme l'a souligné la CNIL, il peut concerner l’ensemble de la population française. Les aigreurs de la Commission sont d’autant plus vives qu’« aucun autre système n’a été étudié et présenté comme voie alternative. Cela n’a pas été discuté avec la CNIL. On n’a pas été saisi d’un dispositif d’alternatif ».
La CNIL, comme le Conseil national du numérique ou le Conseil d’État dans son avis, et bien d’autres, ont tous regretté l’absence de procédure parlementaire qui aurait permis d’ouvrir un débat solide. Et pour cause, pour Isabelle Falque-Pierrotin, présidente de la gardienne des données personnelles, « en constituant cette base, on franchit un pas dans le type de société qui est la nôtre. La menace terroriste est évidente (…) Mais est-ce que pour autant cette menace justifie que l’État constitue un fichier qui enregistre de manière permanente et indélébile des données biométriques sur l’ensemble de la population, ceci permettant le cas échéant d’identifier les personnes ? ».
Pour éteindre l’incendie institutionnel et médiatique, Bernard Cazeneuve a finalement demandé un audit à l’Agence nationale de la sécurité des systèmes d'information (ANSSI) et à la Direction interministérielle du numérique et du système d'information et de communication de l'État (DINSIC). Leur rapport a été publié hier sur le site du ministère.
Pas de publicité de la lettre de mission, un rapport scanné
Regrettons d’ores et déjà que la lettre de saisine n’a pas fait l’objet de la moindre publicité (nous allons donc la solliciter, au besoin par procédure CADA). On découvre cependant que la demande de Bernard Cazeneuve « porte uniquement sur le fichier TES existant ».
En bons éclairagistes, la DINISC et l’ASIC expliquent qu’ «en effet, l’objectif n’a pas été de concevoir un nouveau système de gestion des cartes nationales d’identité, fondé sur d’autres types d’architectures techniques et logicielles, potentiellement plus distribuées et couplées à des moyens techniques différents, notamment en matière de capture de données biométriques ». En clair : le ministre n’a pas voulu que ces deux entités puissent imaginer d’alternative à TES, les obligeant à se concentrer uniquement sur la beauté du système litigieux.
Autre petite contrariété, seul a été diffusé un scan du rapport, non le texte source. Judicieux : cela évite toute indexation par les moteurs incapables de reconnaissance de caractère.
L'identification par empreinte techniquement possible
Pour lire cet avis, il est amusant de faire des allers-retours avec les conclusions tirées par le ministère de l’Intérieur. « Je prends pleinement acte des conclusions de ce rapport, qui établissent clairement que le système « TES » est « compatible avec la sensibilité des données qu’il contient », dans son architecture comme dans ses conditions d’usage » tambourine Bruno Le Roux.
Le nouveau ministre de l’Intérieur tient à ajouter que « le rapport établit que les usages de ce système par les agents de préfecture et ceux de l’Agence nationale des titres sécurisés, le cas échéant à la demande de la police judiciaire ou des autorités judiciaires, sont pleinement conformes aux textes qui régissent ce traitement de données ».
Cependant, la sélection est très sélective. Le Roux oublie de poursuivre sa lecture notamment ce passage du rapport où est pointé une sécurité globale « perfectible ». Pire : ce système « peut techniquement être détourné à des fins d’identification, malgré le caractère unidirectionnel du lien informatique mis en œuvre pour relier les données d’identification alphanumériques aux données biométriques ». Et ce contrairement à ce qu’assurait Bernard Cazeneuve, à savoir un TES cantonné à un processus d’authentification et non pas d’identification à l’aide des seules données biométriques.
Pour renverser cette logique, il suffirait de reconstruire une base de données complète « à partir du lien unidirectionnel existant ». Un tel changement de finalité sera difficile, mais seulement si « des mesures de sécurité techniques, fonctionnelles et organisationnelles auront été mises en place ». Démonstration douloureuse que ces mesures ne l’ont pas encore été.
Les avantages et les autres points noirs de TES
La DINSIC et l’ANSSI remarquent que TES a des avantages. Pour les passeports, seuls documents concernés avant le décret, il permet « de lutter plus efficacement contre les usurpations d’identité », il simplifie la vie de l’usager, autorisant la prédemande en ligne, la dématérialisation du timbre fiscal, tout en accélérant la phase d’instruction avant la remise du titre. De plus, il renforce la traçabilité lors des accès par les agents. « Sous réserve d’offrir un niveau de sécurité suffisant », module les deux entités, ces garanties seraient étendues aux demandes de carte nationale d’identité.
Compte tenu de la sensibilité des données biométriques, ces deux acteurs recommandent toutefois que ces informations soient chiffrées, du moins pour la gestion des titres depuis les mairies ou les préfectures, tout en confiant à une autorité tierce « la capacité de les déchiffrer ». Ainsi, « ni le ministère ni l’autorité tierce n’aurait seul les moyens de déchiffrer complètement ces données, dès lors que plusieurs clés de chiffrement seraient utilisées ».
Dans le cadre des réquisitions judiciaires, les mêmes rappellent qu’OPJ, procureurs et juges d’instruction peuvent déjà obtenir communication des informations détenues par TES ou les préfectures et les autres administrations. Les OPJ peuvent ainsi butiner les empreintes digitales collectées sur formulaire papier dans le cadre de la CNI. De son côté, TES devrait permettre d’assurer le traitement et la traçabilité des requêtes, systèmes qui n’existent pas aujourd’hui.
Cependant, ANSSI et DINSIC recommandent malgré tout que soient analysés « les risques de dévoiement de l’utilisation des données traitées par TES ou d’exfiltration de tout ou partie de ces données ». On en retient là encore qu’une telle analyse n’a donc pas été faite complètement en amont de la publication du décret « Halloween », puisque son existence n’aurait pas rendu nécessaire une telle remarque.
Avant son déploiement, il y a eu certes bien eu des analyses de risques reposant sur plusieurs scénarios d’actes malveillants, d’où ont été déduites des mesures de réponse. Le rapport demande cependant que ces analyses soient « affinées (…) notamment en adaptant davantage les scénarios de risque à la nature des données à protéger ». Même remarque : si un tel affinage est sollicité, c’est que son absence est jugée problématique.
Des sous-traitants du fichier TES
D’autres craintes émergent s’agissant du choix par l’ANTS, l’Autorité nationale des titres sécurisés, de faire appel à des sous-traitants pour gérer ces données ultra-sensibles. Une telle politique « est susceptible d’augmenter la surface d’exposition du système à d’éventuelles attaques ». Le rapport plaide du coup pour « la mise en place d’une gestion stricte et formalisée des sous-traitants intervenant sur le système TES notamment à travers des exigences contractuelles adaptées ». Là encore, cette gestion manque à l’appel aujourd’hui, mais heureusement, cette démarche a été « engagée » dans le cadre du renouvellement du marché de prestation. Ouf !
Pour revenir à la problématique du lien unidirectionnel, la recommandation n°6 du rapport demande au gouvernement de prendre en compte « les préconisations du référentiel général de sécurité concernant les mécanismes cryptographiques ». Promis juré, cependant, l’ANTS aurait déjà prévu d’y revenir dès cette année, tout en optant pour un chiffrement des données biométriques et des pièces justificatives versées au dossier par les citoyens confiants.
Des vulnérabilités classées secret-défense
Page 9 du document, on découvre qu’un « certain nombre de vulnérabilités de gravité variable » ont été relevées lors des tests d’intrusion. « La configuration et les pratiques d’administrations de certains équipements du centre serveurs ne sont pas conformes à l’état de l’art ».
D’autres failles ont été épinglées « dans l’application métier ». ANSSI et DINSIC demandent en réaction qu’un « référentiel de sécurisation applicable à l’ensemble des équipements du système TES, ainsi qu’un référentiel de développement sécurisé des applications » soit défini et surtout mis en œuvre. Impossible d’en savoir plus sur le détail des vulnérabilités : ces lacunes ont été listées dans un rapport séparé protégé par le secret défense.
Dans ses conclusions, l’étude note que toutes les questions soulevées par la biométrie et le fichage exigent « un important débat de société ». En clair, le rapport dézingue lui aussi le choix gouvernemental d’avoir choisi ce véhicule administratif plutôt qu’un débat parlementaire, suivi d’une loi comme l’autorisaient pourtant les textes...
Malgré la perfection de son fichier TES, le gouvernement promet de reprendre « à son compte l’ensemble des recommandations proposées par cet audit visant à améliorer la protection de l’application contre les risques d’intrusion ainsi que la robustesse du lien unidirectionnel entre ses données alphanumériques et biométriques ». Celles-ci devraient être prises en compte. De plus, associée aux deux auteurs du rapport, une commission d’homologation se réunira d’ici février « pour se prononcer sur l’analyse des risques et la conformité des mesures de maîtrise de ces risques ».
On reste malgré tout stupéfait des conclusions de ce document dont l’existence même traduit un léger problème organisationnel dans la gestion de cette base fichant 60 millions de Français. Notons enfin que la DINSIC et l'ANSSI sont auditionnées ce matin à l'Assemblée nationale. Nous reviendrons sur cette audition.
Commentaires (37)
#1
ah tiens, l’impossibilité technique de l’identification à partir des données biométriques, argument phare de l’actuel premier ministre, serait du gros bullshit?
je tombe des nues. " />
#2
Ca donne juste envie de pleurer
Ils trafiqueront 2-3 trucs, diront que tout a été comblé, et tout ira bien sans avoir à consulter de nouveau ces autorités mal polies…
Et dans quelques années la France rejoindra la liste des pays dont la liste des habitants contenant des infos biométriques a été piratée
Et on aura toujours des écervelés pour nous dire que c’était l’avenir, qu’il faut en passer là, que c’est pas grave, que tout a été mis en oeuvre pour la sécurité mais que là c’était des super giga HaXXor de la mort et qu’ils ont rien pu faire contre, etc
#3
Pour avoir un fichier regroupant les photos du visage de l’ensemble de la population, n’aurait-il pas été plus simple d’utiliser les données de facebook ? " />
#4
le type de société qui est la nôtre
une sécurité globale « perfective »
J’ai mal à ma langue.
#5
Si en plus c’est mal fait, cela fait vraiment très très peur… Vraiment n’importe quoi ce gouvernement. On aura touché le fond et creusé à la dynamite.
#6
Alors on a “un certain nombre de vulnérabilités de gravité variable”, un rapport scanné pour éviter l’indexation, un déni total des libertés et des recommandations de la CNIL, un truc passé en loucedé pendant un pont….
Ça mériterais bien une bonne claque dans la gueule moi je dis… " />
#7
#8
#9
#10
#11
#12
#13
#14
#15
Tout le monde s’offusque de ce médiatique fichier TES alors que les outils de Palentir à côté t’es sûrement dans une autre dimension… Comme quoi on occupe les journalistes d’un côté mais les vraies choses se passent ailleurs…
" />" />" />" />
Ok il y a des ratés dans le TES mais tout n’est pas pourri là-dedans. Avec les modifications nécessaires ce fichier deviendra utile pour combattre toutes les diverses formes de crimes et délits.
" /> " /> " /> " />
#16
“Pas de publicité de la lettre de mission, un rapport scanné” -> " /> Moi j’appelle ça passer en douce, après d’accord y’avais moyen de s’en informer de par soi-même, comme la plupart des gens font, ou pas….
#17
#ctOS
#18
#19
#20
#21
T’as rien compris à mon ressenti et à mon commentaire. Je suis plutôt pour le fichier TES avec les modifications nécessaires mentionnées par l’ANSSI.
" />
#22
Moi ce qui me rend fou c’est que ça passe dans les mains de sous traitants. Selon moi tout devrait être géré dans et par une antenne du gouvernement spécifiquement créé pour l’occasion. Quitte a embaucher des vrais pros de la sécurité, des gens qui reflechissent… là ça pue les coflits d’intérêts si les Thales et Cie s’en occuppent. Toute la chaîne devrait être maîtrisée et gérée en interne.
#23
pour le run pourquoi pas, mais pour le build c’est pas très pratique d’embaucher. ou alors en CDD, mais dans le secteur, le CDD c’est pas vraiment la norme. ^^
#24
Peu importe, il faut évoluer et s’adapter avec son temps (je parle du secteur public). Là c’est une question extrêmement importante, s’il faut remiser au grenier des vieux principes pour embaucher différemment, faut y aller.
En tout cas ça ne me convient absolument pas qu’une ou des société(s) privée(s) s’occupent du SI qui gère, traite, et stocke de telles données. Il ne s’agit pas d’un simple mot de passe quoi…. Ils fument les mecs.
Puisque cela nous concerne tous, quitte à ne pas avoir le choix du “Go / No go” on devrait avoir à minima notre mot à dire sur l’implémentation et sur le choix des intervenants.
#25
ce que je dis c’est que l’Etat va pas embaucher en CDI X ingénieurs à X mille par mois pour une mission de quelques mois. donc on fait quoi? du CDD? de l’intérim (lol)?
quel ingé va se barrer de sa boite en CDI pour aller se faire embaucher par l’Etat en CDD pour une mission de 6 mois / 1 an?
personne.
donc tu paies du presta pour le build, c’est évident.
après pour le run, où les mecs touchent réellement aux données, pourquoi pas une équipe en interne (ce qui est sans aucun doute le cas, au moins en partie).
#26
#27
#28
Ben moi ça ne me plaît pas. Je comprends le modèle économique derrière, mais c’est pas pour autant que je le trouve normal. Au contraire, l’état devrait embaucher (même en CDI) des gens techniquement compétent, car ce genre de projet nécessitera toujours de la maintenance importante, des upgrades conséquents en terme de sécurité, etc. Et même, au delà de ça, ces gens peuvent être parfaitement utiles sur plein d’autres projets.
Les conflits d’intérêts sont simples : ces sociétés ont d’autres clients que l’Etat. Et ces clients peuvent être dans d’autres pays. Pour le reste, salariés formés ou pas, triés sur le volet ou pas, c’est du domaine du chantage et de la corruption.
#29
L’État dispose aussi de gens compétents en interne, mais la majorité des tâches informatiques est confiée à des prestataires, jugés plus à jour et plus expérimentés. L’expérience d’un chef de projet ou d’un architecte qui fait ça depuis quelques années est intéressante et c’est plus difficile d’avoir la même en restant employé par l’État sur des missions plus étroites.
A noter aussi qu’un ministère bien géré (comme l’est probablement Bercy) répartit le recours au privé en mettant aussi en concurrence et en contrôle croisé : par exemple une équipe de maintenance à Bercy est constituée essentiellement de gens de Cap Gemini, mais est contrôlée en parallèle par un interne et par quelqu’un d’Atos. Le site de la télédéclaration des impôts est développé par Accenture (c’est arrivé) et peut être “recetté”/validé par des gens d’une autre SSII.
J’ai déjà travaillé comme prestataire pour le ministère des finances, j’ai parfois eu accès physique à un de leurs serveurs, mais il y avait toujours un interne qui regardait ce que je faisais. Pour l’accès aux données sensibles, je ne suis pas sûr que les prestataires ont accès à tout facilement et la possibilité de faire n’importe quoi.
#30
Merci pour ce partage d’expérience.
J’espère que c’est toujours fait comme ça. Néanmoins je n’arrive pas à m’en convaincre …
#31
Vu le nombre de SI au niveau de l’état, je trouverais étonnant que l’état ne soit pas capable d’avoir les compétences en internes, et serait incapable d’avoir des experts à jour.
Ensuite c’est un choix : tout décentraliser et donner les clés des SI à plusieurs entreprises, ou internaliser.
L’intérêt d’externaliser ce n’est pas le cout , ou les compétences, mais une question de contrat (pénalités possibles, délais et date butoir, obligations de résultats, …).
L’intérêt d’internaliser est souvent moins cher (on supprime un certain nombre de marges, commissions, et marketing/avant-vente/marge.) avec la main sur le SI.
Par contre demande plus de travail niveau RH (recherche de profil plus complexe / différents que d’habitude, avancement différents car ces des profils qui attendent autre chose ) , et l’incapacité de se retourner contre quelqu’un si il y a une merde.
#32
Au vu des discussions sur le SI de l’Etat, les CDI, CDD et presta, je pose ça là à toute fins utiles, ça pourrait bousculer quelques idées reçues :
https://beta.gouv.fr/communaute.html
#33
Est-ce que tu as bien compris de quoi il s’agissait ?
Il y a un total de 33 personnes concernées par ton joli graphique.
#34
#35
#36
#37