Norme

ALICEM : au pays de l’identité numérique

-
3/12/2019
OWN Security

ALICEM : au pays de l’identité numérique

https://www.numerama.com/politique/559511-alicem-tout-comprendre-au-dispositif-de-reconnaissance-faciale-controverse-du-gouvernement.html

ALICEM, qu’est-ce que c’est ?

Non, cette histoire-là n’est pas écrite par Lewis Carroll, ALICEM c’est plutôt pour Authentification en LIgne CErtifiée sur Mobile, une solution d’identité numérique souveraine sécurisée. Elle a été développée par Gemalto (maintenant acquise par Thales) à la demande du ministère de l’Intérieur et de l’Agence Nationale des Titres Sécurisés (ANTS). ALICEM propose des fonctionnalités similaires à FranceConnect mais sur plateforme mobile, elle vise à simplifier la connexion aux services en ligne en donnant accès à plus de 500 services publics. L’application se veut simple d’utilisation : un smartphone (uniquement Android pour le moment), son adresse email, son passeport et son visage suffisent à créer un compte. Oui, c’est votre visage qui servira de preuve lors de la création de votre compte via reconnaissance faciale.

Pourquoi tant de controverses ?

L’utilisation de la reconnaissance faciale, voici ce qui fait tant polémique. Beaucoup critiquée par des défenseurs des libertés du numérique, comme La Quadrature du net soulevant des questions de sécurité et alimentant le sujet d’une société sous surveillance (comme en Chine ou au Royaume-Uni par exemple).

Egalement, l’utilisation de la reconnaissance faciale est en contradiction avec la nouvelle loi du 20 juin 2018 (article 63), qui stipule que toute utilisation et traitement de données biométriques par le secteur privé ou public ne peut se faire en dehors d’un consentement. C’est là que se trouve le problème : l’utilisation d’ALICEM doit forcément passer par une reconnaissance faciale si l’on veut créer un compte pour accéder à ses services, il n’y a donc plus de consentement. La Quadrature du net a d’ores et déjà déposé un recours devant le conseil d’Etat contre cette application.

La CNIL (Commission Nationale de l’Informatique et des Libertés), en plus de dénoncer les faiblesses techniques de sécurité de l’application, met aussi en évidence le fait que la reconnaissance faciale est une technologie utilisée à distance et donc aux dépens de la personne. Le risque de fichage et de surveillance des individus préalablement ciblés est donc présent.

Quels sont les risques ?

Les risques autour de cette application et de la technologie qu’elle utilise sont nombreux :

  • Des risques liés à l‘authentification (code PIN à seulement 6 chiffres) ;
  • Des atteintes aux libertés fondamentales ;
  • Des atteintes à la vie privée (pouvoir aller et venir anonymement dans la rue) ;
  • L’existence d’une société sous surveillance avec le fichage des individus ;
  • Des données à caractère personnel mal protégées ou utilisées hors de leur cadre d’origine.

Ces craintes se basent sur des cas de figure déjà existants. Les récents cas chez nos voisins anglais alimentent davantage ces peurs. La reconnaissance faciale via des caméras de surveillance installées dans les rues de Londres et utilisées par Scotland Yard pour repérer des individus dangereux et prévenir des crimes.

En Chine ce type de technologie est largement répandue. D’une part avec l’application WeChat où les Données à Caractère Personnel (DCP) peuvent être communiquées et divulguées par l’application (explicitement écrit dans leur politique de confidentialité). D’autre part avec l’utilisation de la reconnaissance faciale pour repérer les citoyens au mauvais comportement dans la rue.

En France, ce sujet fâche d’autant plus que ce genre de technologies n’a toujours pas de cadre légal et où toute utilisation sans consentement est considérée comme hors la loi.

Et par rapport au RGPD ?

La gestion des données à caractère personnel est aussi remise en question. La protection des données biométriques est un enjeu clé car ces données peuvent être la cible de cybermenaces : vol, modification, usurpations, revente etc.

Pour rappel, au regard du RGPD, il est interdit de traiter des données à caractère biométrique afin d’identifier une personne physique de manière unique sans consentement de la personne concernée. Le consentement doit être libre et dans ce cas de figure, ALICEM devrait proposer une solution alternative à la reconnaissance faciale, ce qui n’est pas le cas aujourd’hui. Un usager voulant utiliser l’application n’aura pas d’autre choix que de passer par la reconnaissance faciale.

Un niveau de sécurité insuffisant ?

Autre menace que met en avant Pascal le Digol, Directeur France de WatchGuard, société spécialisée dans l’authentification à multiples facteurs, est la sécurité même de l’application ALICEM. En effet, s’il est nécessaire d’utiliser la reconnaissance faciale pour créer un compte, il suffit par la suite d’un simple code PIN à 6 chiffres pour s’y connecter. Un niveau de sécurité jugé insuffisant. Ces mots de passe pourront être très facilement récupérés par des Cyber attaquants par le biais de campagnes de phishing par exemple.

L’Etat veut renforcer l’aspect « sécurité » de son application et ainsi faire disparaître la plupart des craintes à ce sujet en travaillant conjointement avec l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI).

Quels types de DCP seront prélevées ?

Trois types de DCP seront prélevées, principalement relevant de l’utilisateur, du titre en lui-même et celles liées aux diverses transactions associées au compte.

Et la suite ?

Malgré les différentes alertes et recours, ALICEM est toujours en phase de test sur quelques milliers de personnes et devrait être déployée à grande échelle, selon ses responsables, d’ici début 2020. Si l’Etat veut que son application voie le jour, il devra d’abord résoudre plusieurs problématiques : rassurer sur la liberté des individus, gérer le traitement des données à caractère personnel, garantir la sécurité des comptes, bref renforcer la sécurité dans son ensemble. De plus, l’Etat pourrait également proposer un débat citoyen sur l’utilisation de la reconnaissance faciale afin d’examiner les questions légitimes sur les usages, la protection et les libertés.

ALICEM, en ayant recours à la reconnaissance faciale, remet au centre des débats l’utilisation légale de cette technologie, qui oppose donc innovation technologique et compétitivité, aux libertés fondamentales.

Sources :

Partager l'article :

Your OWN cyber expert.