Les illusions d’optique des titres d’identité « sécurisés »

A la mi-décembre, le gouvernement a fait preuve d’une franchise inhabituelle. Environ 10% des passeports biométriques en circulation seraient des faux, selon un « dossier » qui a fait la une d’un grand journal d’investigation, Le Parisien. Un chiffre qui a fait l’objet d’un démenti du ministère de l’Intérieur. Mais sur le principe de la possibilité de la fraude, on est d’accord place Beauvau:

Des chiffres « très alarmistes » catégoriquement démentis par le ministère de l’Intérieur et qualifiés de « totalement farfelus, à des années-lumière de la réalité ». La Place Beauvau, qui « ne nie pas qu’on puisse se faire indûment remettre un passeport », refuse de dévoiler ses propres statistiques « pour des raisons de confidentialité ».

Les soldats de l’anti-fraude savent pourtant que même si un seul de ces passeports ne correspond pas à l’identité du porteur, c’est toute la confiance de l’ensemble de a chaîne qui s’effondre.

Diable, comment donc cette merveilleuse technique d’authentification numérique — que l’on nous vend sans cesse comme « infalsifiable » — a-t-elle pu se laisser abuser? Le talon d’Achille du dispositif n’est pas la belle puce électronique made in France, ni même la conception et l’archivage des éléments biométriques, dont le savoir-faire français n’est plus à démontrer, mais la délivrance d’un simple acte d’état civil, en l’occurrence l’acte de naissance de l’intéressé — l’une des pièces nécessaires à l’obtention de ces papiers —, qui est, lui, totalement falsifiable.

Si le gouvernement a organisé cette vrai-fausse révélation, c’est qu’il a évidemment LA solution en stock. Et il l’a immédiatement faite adopter par le serpent de mer législatif du moment, la loi sur la « protection de l’identité », adoptée en 2ème lecture par l’Assemblée le 13 décembre. C’est cette même loi qui autorise désormais — malgré l’opposition des sénateurs au tour précédent — les services de police judiciaire (et de renseignement) à utiliser les empreintes faciales (tirées des visages numérisés de chaque usager) des « titres sécurisés » — passeports, mais aussi ceux de la future carte d’identité électronique — à des fins de « police préventive ». C’est ce que les rapporteurs de cette loi ont nommé joliment « les fichiers de gens honnêtes », qui concernera, à terme, 60 millions de gogos.

La solution à cette faille documentaire de grande ampleur, c’est « le renforcement de la sécurité de l’acte de naissance », dixit Le Parisien. Il faudra donc sécuriser « ces supports papiers comme le sont les billets de banque et les formules de chèque dernière génération ». Encore une belle occasion pour les industriels de prouver leurs savoir-faire. Alors que ces mêmes industriels ont fait preuve d’un négligence grossière en basant leur « sécurité » sur des documents qui ne l’étaient pas (« sécurisés »). « Une solution dont le coût global serait d’environ 1,5 M€ pour l’ensemble des mairies émettrices » poursuit le journal en mettant l’exergue sur la nécessaire « contre-attaque » des Jedi du ministère:

A l’Agence nationale des titres sécurisés (ANTS), qui dépend du ministère de l’Intérieur, on ne nie pas la vulnérabilité des passeports biométriques. Pour y faire face, un dispositif spécifique et expérimental, Comedec (Communication électronique des données de l’état civil), est en place depuis février 2011. (…) Pour garantir la fiabilité maximale des passeports biométriques et des futures cartes d’identité biométriques que la loi veut mettre en place, l’article 4 prévoit la généralisation du système Comedec à toutes les mairies. Par ailleurs, l’article 5 prévoit la création d’une base centrale des titres d’identité et de voyage.

Cécité volontaire

Le problème, c’est que cette histoire d’un gouvernement « responsable » qui agit en urgence pour corriger une faille géante n’est qu’une fable.

Michèle André, une sénatrice PS du Puy-de-Dôme, avait déjà pointé du doigt, il y a plus d’un an, les conséquences néfastes de la RGPP — traduction novlangue : réduction généralisée des politiques publiques — sur la délivrance des papiers d’identité.

Son rapport, publié le 13 octobre 2010 à la commission des finances du Sénat, en qualité de «rapporteure spéciale des crédits de la mission ‘administration générale et territoriale’», a soulevé des dysfonctionnements qui menaçaient indirectement la fiabilité des passeports biométriques. La sénatrice André expliquait dans cette interview l’ampleur du désastre:

Je suis depuis trois ans les services des préfectures dans le cadre de la mission « administration générale et territoriale ». J’ai, en 2009, contrôlé les effets du passage au passeport biométrique. La révision générale des politiques publique (RGPP) prévoit la suppression de 2 107 équivalents temps plein travaillés entre 2009 et 2011. Cette année, ce sont encore 700 postes qui vont être supprimés. La baisse des effectifs dans les préfectures sur trois métiers (la délivrance des titres d’identité, le contrôle de légalité et la gestion des fonctions supports), a provoqué de réels problèmes d’organisation en interne. Au niveau de la mise en place des titres (identité, système d’immatriculation de véhicules) j’ai pu constater que les conditions de travail se sont détériorées. (…) La suppression des postes s’est traduite par un allègement du contrôle de la légalité. Avec la décentralisation, les collectivités locales ont joui d’une plus grande liberté en matière de gestion avec, en contrepartie, un contrôle de légalité de la part des préfectures. Toutes les décisions issues des délibérations d’un conseil municipal, par exemple, sont censées passer par ce contrôle, pour vérifier leur légalité vis-à-vis du droit français. C’est une mission qui demande un vrai travail de documentation. Avec la diminution du nombre de postes, les élus craignent qu’un contrôle ne soit pas réalisé et que la Cour régionale des comptes les rappelle à l’ordre. Cela génère une forme d’insécurité pour les élus et les soumet à plus de pression. L’État a affaibli l’organisation des préfectures, qui était pourtant forte.

Même si ce « contrôle de légalité » concerne toute la chaîne de vérification des procédures dans les préfectures, cela révélait au grand jour un maillon faible évident dans la délivrance des titres d’identité. Pour le coup, la faille technique — acte de naissance falsifiable — a donc d’abord été révélée par un dysfonctionnement d’origine budgétaire. Toutes les mairies de France permettent à n’importe qui de recevoir chez lui l’acte de naissance de n’importe qui d’autre. Si les préfectures n’ont ensuite aucun moyen de vérifier de la légitimité d’une demande de passeport selon la fiabilité de cet acte de naissance, cela a forcément dû attirer l’attention des soldats anti-fraude du ministère de l’Intérieur. Ils ont pourtant attendu de longs mois avant d’agir. Le temps pour les industriels de préparer leur « solution » technique.

 

Twitter Facebook Google Plus email

19 thoughts on “Les illusions d’optique des titres d’identité « sécurisés »”

  1. Ça ne change pas la volonté primaire derrière le passeport bio : non pas qu’il soit infalsifiable, mais qu’on ne puisse plus le voler.

    Comedec est en place depuis un bout de temps maintenant, et les préfecture font (doucement) le passage vers ce fonctionnement, qui permet d’éviter les abus.

    Le maillon faible reste et restera l’humain, que ce soit l’agent dans la mairie, ou l’agent qui vérifie les données sur le serveur avant de lancer la production du passeport.

    Rien à voir, mais pour information, le correctif qui permettait de n’envoyer que deux empreintes au lieu des huit à la base centrale est en production depuis novembre (peu ou prou) (l’ACT ne faisait pas son boulot)

  2. Effectivement, et ce n’est pas une découverte pour ceux qui se sont penchés sur la question, le maillon faible du dispositif est (était ?) l’extrait de naissance.
    A ce titre, on ne peut d’ailleurs guère parler de « faux passeports », mais de vrais passeports, basés sur de fausses identités.
    Après, vouloir faire mieux et « plus sûr » en massacrant le service public comme c’est fait actuellement, faut pas rêver.

    Hors sujet : vous avez vu cet artile ?
    http://www.20minutes.fr/high-tech/848387-anonymous-jouent-peres-noel-piratant-informations-bancaires

    1. Ce qu’il y a de plus rigolo c’est que la procédure est très aisée à sécuriser : au lieu de demander à la personne son acte de naissance, il suffit de le demander directement à sa mairie de naissance. Hop, plus de man in the middle possible.

      La plupart des procédures administratives requièrent du demandeur un marathon d’obtention des papiers et constituent une faille de sécurité grandiose. Les fonctionnaires feraient leur boulot, à savoir mettre en place des procédure de communication entre les différentes administrations, ça n’arriverait pas.

      1. Accessoirement, cette histoire d’extrait de naissance, qu’on nous demande maintes fois dans une existence, m’a toujours fait marrer, ou pleurer, selon l’humeur du jour :
        ne pouvait-on imaginer, il y a déjà fort longtemps, en fabriquer un + ou – « infalsifiable », qui soit fait une bonne fois pour toute ?
        A bien y réfléchir, il semble n’être né qu’une seule fois, toujours le même jour, au même endroit…

  3. J’ai fait mon passport il y a 1 an, je vais a la mairie demander un acte de naissance, puis vais pour faire mon passport, et la, ils me l’on même pas demander.

    Merde je me suis déplacé pour rien a la mairie.

  4. « Même si ce « contrôle de légalité » concerne toute la chaîne de vérification des procédures dans les préfectures, cela révélait au grand jour un maillon faible évident dans la délivrance des titres d’identité. »

    Rien. Compris. Du. Tout.

    Quel rapport entre le contrôle de légalité des décisions des conseils municipaux et les actes de naissance???

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *