S'abonner Se connecter
Journal d'investigation en ligne et d'information‑hacking
À la Une
Technos
par Antoine Champagne - kitetoa

Alicem : l'État choisit la sécurité par l'obscurité

Le code permettant une authentification certifiée restera secret

Notre demande CADA pour accéder au code source de l'application Alicem a été rejetée. L'État souhaite jouer la sécurité par l'obscurité sur un produit essentiel permettant l'authentification certifiée de l'identité des français via leur smartphone.

Installation interactive Assemblée redondante à Montréal (2015) - Rafael Lozano-Hemmer - Wikipedia - CC BY 2.0

Si l'on en croit le ministère de l'intérieur, Alicem est « la première solution d’identité numérique régalienne sécurisée (...) développée par le ministère de l’Intérieur et l’Agence nationale des titres sécurisés (ANTS) [elle] permet à tout particulier, qui décide de l'utiliser, de prouver son identité sur Internet de manière sécurisée, à l’aide de son smartphone et de son passeport ou de son titre de séjour. » Pour attester de l'identité d'une personne, Alicem repose notamment sur la reconnaissance faciale, une technologie qui fait débat en matière de sécurité informatique. Sachant que le code produit par l'État est communicable, nous avions demandé au ministère de l'Intérieur de nous fournir le code source d'Alicem. Notre demande était restée sans réponse.

Nous nous étions tournés en janvier 2020 vers la La Commission d’accès aux documents administratifs (CADA).

De manière plutôt inhabituelle, la CADA ne nous a jamais répondu directement. C'est un avocat qui a repéré la publication de l'avis rendu sur le site de la CADA.

La commission relève que, comme nous le soulevions, elle avait déjà statué en faveur de la communication du code source produit par l'administration, l'assimilant à un document administratif.

Secret défense

Mais après avoir rappelé que Alicem permet de s'authentifier de manière sécurisée sur plus de 500 services via notamment FranceConnect, la CADA explique que le ministère lui a fait une réponse définitive :

« La commission relève que, dans ce cadre, le code source d’ALICEM intègre des procédures permettant, au cours de ces différentes phases, de garantir un haut niveau de sécurité et de contribuer à la lutte contre la fraude documentaire et contre l’usurpation d’identité ou d’état civil. Il constitue ainsi l’un des facteurs de sécurité de l’application. Le ministre de l’Intérieur indique d’ailleurs à ce titre qu’il est placé en diffusion restreinte au sens de l’arrêté du 23 juillet 2010 portant approbation de l'instruction générale interministérielle sur la protection du secret de la défense nationale ».

Le code est donc protégé par le secret de la défense nationale. A ce titre, « la commission estime que la divulgation du code source sollicité serait de nature à fragiliser la sécurité de l’application « ALICEM » et à rendre ses utilisateurs plus vulnérables. Elle considère par suite que ce code source est couvert par le d) du 2° de l'article L311-5 du code des relations entre le public et l'administration, qui prévoit que ne sont pas communicables les documents dont la communication porterait atteinte à la sécurité des personnes ou à la sécurité des systèmes d'information ».

La sécurité par l'obscurité n'a jamais fait ses preuves. Bruce Schneier a écrit de nombreux textes sur le sujet dont celui-ci. « La sécurité qui repose sur le secret est également fragile ; une fois le secret perdu, il n'y a aucun moyen de le récupérer. Tenter de fonder la sécurité sur le secret est tout simplement mal concevoir son produit », estime-t-il. Mais qu'importe... Ici c'est la France, monsieur !

4 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée