Guillaume Poupard (ANSSI) : ne mélangeons pas Alicem avec la reconnaissance faciale
Dans ta face
Le 04 février 2020 à 15h38
9 min
Droit
Droit
À l’occasion du Forum international de la cybersécurité (FIC) de Lille, Guillaume Poupard a bien voulu répondre à nos questions. Parmi les sujets, la souveraineté européenne, l’ENISA, ou encore la reconnaissance faciale.
Au FIC, l’ANSSI a plaidé pour « une souveraineté européenne en matière de cybersécurité ». Comment assurer cet objectif dans un secteur si régalien ?
C’est le cœur du sujet. La souveraineté nationale est un sujet de longue date, toujours d’actualité. À côté de cela, il y a trois ans, celui qui parlait de souveraineté européenne, et cela m’est arrivé, se faisait taper sur les doigts, car par définition elle ne peut être que nationale.
Aujourd’hui, cela a changé. Au niveau national, le Président de la République est le premier à parler de ce sujet. La nouvelle Commission est très « pushy » pour l’évoquer. Tout l’enjeu est donc de bien expliquer que ce ne sont pas deux souverainetés qui s’opposent, mais qui se répondent et s’aident mutuellement. En tout cas c’est comme ça que je le comprends et que j’ai envie de le jouer.
Comme je l’ai dit lors de l’ouverture du FIC, de super puissances sont en train de se dégager au niveau du numérique. La volonté de la France est de rester dans le premier cercle de ces super puissances sauf que c’est un petit pays. Grand par plein d’aspects, mais petit pays. Et donc que si on a envie d’y rester, on a absolument besoin de la souveraineté européenne.
La souveraineté nationale française a besoin de l’Europe pour se réaliser dans le domaine cyber. À l’inverse, à un moment où l’EU veut développer sa souveraineté européenne, elle a besoin de la France comme un État membre leader. Ce ne sont pas que des mots. L’idée est de se demander comment faire cela pour mettre cela en œuvre très concrètement.
Des choses ont été faites et où les aspects nationaux et européens s’emboitaient. Ce fut le cas avec la directive NIS, finalement. La LPM et la loi allemande ont été apportées à la commission, puis transformées en directive et ensuite transposées. C’est là où les souverainetés miroitent et où on a toujours veillé à ce cela n’empiète pas sur les souverainetés, mais les renforcent. Voilà pourquoi on a refusé que l’ENISA soit une agence supranationale, mais qu’elle aide les États à travailler ensemble.
Un autre exemple très récent, c’est la 5G. Tous les États européens sont soumis à une pression monstrueuse, et chinoise et américaine, trop forte pour un État tout seul. En France, on arrive encore à résister, et encore. Dans la plupart des pays, cela a créé des clashs. Le fait de reprendre le sujet ensemble, à 28, avec la Commission, de faire une analyse de risques commune, publiée en octobre, de construire une toolbox présentée mercredi dernier… voilà une manière de concilier les intérêts européens et les questions nationales.
Comment faites-vous pour assurer une égalité des chances entre des pays différents ?
En termes de droits, il y a égalité. C’est le même droit qui s’applique. Les valeurs sont les mêmes. C’est plus qu’un marché, il y a vraiment quelque chose en commun. Moi, cela fait longtemps que je dis de faire attention aux idées naïves de protection en Europe des petits par les gros !
Ce n’est pas que les gros ne veuillent pas aider, c’est que cela ne marchera pas. L’idée est de développer des capacités dans chaque État membre, jusqu’aux plus petits, et ensuite se demander comment ces capacités vont s’aider avec cette fois un vrai devoir des gros, ceux en avance, pour protéger les plus mal placés.
On a joué à un exercice début juin à paris avec l’ensemble des États membres et la Commission. Pour la première fois on s’est posé la question : il y a un pépin, une vraie crise européenne niveau cyber, comment fait-on pour jouer ensemble ? C’était très intéressant : on n’est pas prêt au niveau opérationnel.
Chacun a compris qu’il n’y avait pas de bouclier européen. Jusqu’à deux trois ans, en cas de problème, on se disait que l’OTAN nous protègerait. C’est en train de changer en termes d’état d’esprit. On ne cherche pas à avoir 28 pays identiques, chacun est différent, par sa taille, par sa maturité, mais chacun doit avoir sa propre capacité au niveau défensif.
Après la question va se poser de savoir comment faire pour s’aider, envoyer des équipes. L’expérience qu’on avait jusque-là c’est qu’à chaque fois qu’on a essayé cela, cela a été un échec. Lorsqu’un réseau critique au sein d’un État est attaqué, c’est la souveraineté nationale qui se joue. Faire entrer même des alliés européens n’est pas possible.
Qu’est-ce qui a échoué dans le test effectué cet été ?
On sait qu’au niveau technique et tactique, il y a une coopération en place. Elle a été officialisée par la directive NIS, mais préexistait en fait. Les CERT (computer emergency response team, ndlr) des différents pays travaillaient ensemble. C’est dans leur ADN d’échanger de l’information.
Tout en haut, il est aussi prévu des mécanismes d’entraide entre les États membres. Ils sont génériques, non spécifiques cyber. Mais nous savions que le réseau des patrons d’agences n’était pas en place. Il faut le construire. Fixer des règles, des moyens de communication. Il revient aux États membres de faire en sorte que les différentes agences créent elles-mêmes ce réseau opérationnel.
Et l’Agence de l'Union européenne pour la cybersécurité (ENISA) ?
L’ENISA c’est un facilitateur du réseau qui veille à ce que les règles soient en place, mais ce n’est pas un super nœud du réseau qui va ensuite répartir les instructions.
Depuis le départ, on ne veut pas d’une ENISA qui soit une agence supra nationale. D’abord parce qu’il y a une question de moyens et parce que cela empièterait sur les souverainetés nationales. On revient à cet équilibre assez subtil avec la souveraineté européenne.
À l’ENISA, depuis l’arrivée du nouveau directeur général, cela se passe très bien. C’est une personne politique au bon sens du terme. Il était à la Commission européenne et connaît tous ces sujets-là par cœur. Il a vraiment envie de bien faire et est très doué.
Je n’ai aucun état d’âme à afficher le fait qu’on a besoin d’eux, et eux de nous, mais ce n’est pas un qui va être chef de l’autre. Ça n’a pas de sens.
J’ai entendu dire qu’il y avait eu un problème de sécurité avec le fichier TES, possiblement un bug de sauvegarde...
Rien de marquant, rien de majeur, rien qui m’empêche de dormir. Nous ferons un audit de contrôle très bientôt pour s’assurer que, suite à l’audit que nous avions fait il y a plus deux ans, le plan d’action qui avait été décidé et les mesures proactives qui devaient être faites ont réellement été mis en place.
J’ai cru comprendre aussi qu’ALICEM était actuellement ausculté par l’ANSSI. Quel est votre « job » sur ce système biométrique ?
C’est le travail habituel d’un auditeur qui a commencé il y a plusieurs mois. On regarde les systèmes d’information qui sont derrière, pour s’assurer qu’ils sont bien sécurisés, mais aussi l’appli sur le téléphone. Le sujet le plus complexe ? L’efficacité des mécanismes d’appairage par reconnaissance numérique, ausculté par un centre d’évaluation.
Je ne donnerai pas d’agrément tant que les feux ne seront pas au vert. Il y a aujourd’hui une polémique que je trouve un peu contreproductive et dangereuse, une confusion entre reconnaissance faciale et le mécanisme d’Alicem d’appairage entre passeports et téléphone. Le sujet reconnaissance faciale est tout autre.
Les questions sont nombreuses aujourd’hui : que fait-on en termes de reconnaissance faciale ? Qu’autorise-t-on comme technique pour la sécurité publique ? Que déploie-t-on dans les rues ou pour les Jeux olympiques ? Autorise-t-on l’expérimentation ou pas ? Est-ce que, par crainte d’atteinte aux libertés individuelles, on gèle tout comme certains voudraient le faire du côté de Bruxelles ?
Ce sont de vraies questions d’éthique, de droit, d’efficacité et de sécurité. Des questions globales, et même de civilisation pour l’Europe.
À l’inverse, sur Alicem, nous sommes sur une fonctionnalité technique permettant de faire quelque chose de très précis sans créer de base de données biométriques : aller vérifier que la photo dans le passeport correspond bien à la tête devant le téléphone. On n’est pas dans la reconnaissance faciale ou de l’identification de personne. C’est juste ce lien-là.
À mettre dans le même sac tous ces sujets, on risque de passer à côté des débats de fond sur ce qu’on veut, ce qu’on accepte en termes de libertés individuelles et publiques par ce qui est aujourd’hui permis par la technologie.
Alicem c’est une identité de niveau élevé. Aujourd’hui, on a une identité sans le savoir dans notre poche, en tout cas pour 20 millions de Français, via le passeport. L’idée toute bête est d’utiliser cette identité parce qu’on manque cruellement en France de solutions numériques.
Guillaume Poupard (ANSSI) : ne mélangeons pas Alicem avec la reconnaissance faciale
-
Au FIC, l’ANSSI a plaidé pour « une souveraineté européenne en matière de cybersécurité ». Comment assurer cet objectif dans un secteur si régalien ?
-
Comment faites-vous pour assurer une égalité des chances entre des pays différents ?
-
Qu’est-ce qui a échoué dans le test effectué cet été ?
-
Et l’Agence de l'Union européenne pour la cybersécurité (ENISA) ?
-
J’ai entendu dire qu’il y avait eu un problème de sécurité avec le fichier TES, possiblement un bug de sauvegarde...
-
J’ai cru comprendre aussi qu’ALICEM était actuellement ausculté par l’ANSSI. Quel est votre « job » sur ce système biométrique ?
Commentaires (17)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 04/02/2020 à 20h31
La tronche n’est pas un facteur d’authentification forte :
Le 04/02/2020 à 20h35
Vrai aussi. Mais comme la cryptographie doit protéger la presse… Ô c’est signé.
Le 04/02/2020 à 21h45
Le 04/02/2020 à 21h57
Référence ? Article ?
Le 04/02/2020 à 23h35
Les questions sont nombreuses aujourd’hui : que fait-on en termes de reconnaissance faciale ?
Ben on fait rien.
Qu’autorise-t-on comme technique pour la sécurité publique ?
Ben euh…rien?
Que déploie-t-on dans les rues ou pour les Jeux olympiques ?
Oui mais là tu saoules, Guillaume…on a dit “rien”.
Autorise-t-on l’expérimentation ou pas ?
…
Est-ce que, par crainte d’atteinte aux libertés individuelles, on gèle tout comme certains voudraient le faire du côté de Bruxelles ?
Mais on gèle pas, on te dit qu’on n’en veut pas.
Vive l’Allemagne pour une fois, ils savent ce que ça veut dire, eux, le contrôle des citoyens…et ils accepteront jamais ce genre de dérive (en tout cas pas avant une ou deux générations).
Ce sont de vraies questions d’éthique, de droit, d’efficacité et de sécurité. Des questions globales, et même de civilisation pour l’Europe.
On est d’accord, c’est une question de civilisation…et on a ptet pas envie d’en changer?
À mettre dans le même sac tous ces sujets, on risque de passer à côté des débats de fond sur ce qu’on veut, ce qu’on accepte en termes de libertés individuelles et publiques par ce qui est aujourd’hui permis par la technologie.
Faire peur aux gens pour qu’ils renoncent à leur liberté…on pourrait pas trouver plus original, pour une fois?
C’est un bon scénario de bd (Alan Moore l’a montré), mais dans la réalité, il n’y a même pas la contrepartie de la sécurité (cf. le patriot act).
Guillaume, je t’insulterais bien mais j’ai pas le droit " />
Le 05/02/2020 à 01h06
Le 05/02/2020 à 08h20
Le 05/02/2020 à 09h01
Le 05/02/2020 à 10h02
https://www.newscientist.com/article/2146703-even-a-mask-wont-hide-you-from-the-latest-face-recognition-tech/
Le 05/02/2020 à 23h00
Merci de l’explication, c’est précisément ce que j’avais compris de l’interview. La reconnaissance faciale, c’est mettre un nom sur une visage. La l’application ne fait que vérifier l’authenticité du porteur du passeport, comme si le porteur avait en quelque sorte signé son document avec son visage (pour faire une analogie crypto)…
Le 10/02/2020 à 14h07
”…suite à l’audit que nous avions fait il y a plus deux ans…”
Quel amateur ce Guillaume Poupard…
Le 04/02/2020 à 16h03
sur Alicem, nous sommes sur une fonctionnalité technique permettant de
faire quelque chose de très précis sans créer de base de données
biométriques : aller vérifier que la photo dans le passeport correspond bien à la tête devant le téléphone. On n’est pas dans la reconnaissance faciale ou de
l’identification de personne. C’est juste ce lien-là
Heuuuuuu… " />
Si ce n’est pas de la reconnaissance faciale, faudra expliquer ce que c’est.
“je n’aime pas le terme reconnaissance faciale parce que ça laisse entendre que la reconnaissance automatique des visages serait de la reconnaissance faciale…”
Ça me rappelle un certain président qui n’aime pas parler de pénibilité parce que ça laisse entendre que le travail pourrait être pénible…
On a des champions de la com’ en ce moment… " />
Le 04/02/2020 à 16h35
Je pense qu’il veut dire qu’ils ne font que s’assurer que la personne qui est devant le téléphone correspond à la photo du passeport.
C’est juste de la comparaison d’images, aucune info sur les personnes n’est nécessaire.
C’est un peu la différence entre authentification et identification
Ce n’est que mon interprétation " />
Le 04/02/2020 à 16h52
Sauf que la comparaison doit bien se faire par rapport une base de données dans laquelle est identifiée la personne.
A défaut, ça ne marche pas et ne sert à rien.
Le 04/02/2020 à 17h16
On peut imaginer stocker les données biométriques de manière totalement locales sur le passeport sans créer la base nationale qui inévitablement sera à terme couplée à la vidéosurveillance pour espionner 60 millions de Français. Après, techniquement je crains que la concordance ne soit pas testée par un processeur embarqué sur le passeport (trop cher, et sans doute trop consommateur pour du sans contact), donc il faudra faire confiance pour que la donnée ne fuite pas lors du contrôle. Et si c’est une application sur smartphone qui fait le boulot, comment dire…
Le 04/02/2020 à 17h29
Le 04/02/2020 à 17h56
Alicem c’est une identité de niveau élevé. Aujourd’hui, on a une identité sans le savoir dans notre poche, en tout cas pour 20 millions de Français, via le passeport. L’idée toute bête est d’utiliser cette identité parce qu’on manque cruellement en France de solutions numériques.
Les solution sont connues, elles sont même dans les ordiphones… Mais comme le rappel l’objet de ce forum, la cybersécurité vise à protéger la gouvernance. Ce n’est pas anormal, mais c’est ennuyeux pour l’état qui n’a pas le mode d’emploi le privé n’en ayant pas produit… même outre-manche.
Si a chaque fois que la question de civilisation se pose, c’est avant tout car il n’est pas possible de dialoguer de ces sujets sans tomber dans la caricature et c’est bien ce qui occupe (voir préoccupe, ne soyons pas inutilement stupides) une partie du ministère de l’intérieur.
Le plus simple, ce serait de dire qu’il n’existe pas de gain particulier. Seulement des risques à traiter. Après à qui de prendre ses responsabilités voilà qui s’annonce extrêmement difficile.