La carte d’identité électronique est dangereuse !
13 juin 2008
9
L’info est dans le Morgen de ce vendredi. Selon un rapport de la KU Leuven présenté à La Haye lors d’un congrès e-Identity, la carte d’identité électronique belge « n’est absolument pas sûre et son utilisation doit être déconseillée.Les chercheurs estiment qu’il faut arrêter d’utiliser la carte électronique et que le logiciel doit être redeveloppé. »
En cause, le mécanisme de sécurité de la carte qui peut être facilement détourné et le fait qu’on puisse utiliser la carte sans installation ou mise en marche du logiciel reconnu par la Fedict.
Qui a dit gabegie d’argent public ?
Et dire que j'attends ma première carte électronique que je vais payer bien cher pour une qualité de m… si je comprends bien et qui devra voler au bac d'ici quelques mois… Je l'aime bien moi ma carte « normale en plus elle est encore valable quelques années !
Eh ben ça, c'est fait! C'est Zetes qui va être content… C'était presque LEUR référence de réalisation et elle est considérée comme pas adéquate… pas mal!
J'ai une copine qui travaille un peu là-dessus à l'ULg. Clairement, c'est un gadget électoral propulsé sans le moindre sérieux ni préparation. Des Conseils des Ministres réunis pour évaluer la chose où les Ministres ne savent même pas de quoi on va parler…
C'est le bordel. Une amie qui était à Londres en mai dernier a du prouver son identité. N'ayant jamais reçu le fameux papier A4 qui accompagne le progrès technologique de la CI électronique, elle s'est logiquement rendue au consulat. Et bien, au consulat de Londres, elle s'est fait signaler avec la dernière sécheresse qu'ils ne « savaient pas lire ces machins-là, ici ». Je parle même pas d'une quelconque antenne belge en Ouzbékistan…
Peut-être pas secure….
Mais la carte « papier » ne l'est pas plus.
Cette histoire est montée en épingle par des journaleux. La puce en tant que telle n'est pas violée ou falsifiable, l'encryption non-plus.
L'eID utilise des technologies standards et son middleware est basé sur un composant opensource (OpenSC) qui implémente le stand PC/SC. Cette standardisation et cette ouverture permettent de garantir une certaine publicité de la technologie et donc la possbilité pour des tiers de la mettre à l'épreuve. Et évidemment, cela permet aussi d'utiliser la carte « sans installation ou mise en marche du logiciel reconnu par la Fedict ». Peut-être préféreriez-vous une modèle de « sécurité par le secret » (security through obscurity) où seuls quelques initiés auraient le pouvoir de décider ce qui est sécure et ce qui ne l'est pas ? Cfr. le vote électronique qui, lui, fonctionne selon ce modèle.
Ce qui est bidon depuis le début c'est la pseudo-sécurité offerte par le « privacy firewall » pour éviter de lire les infos présentes sur la carte. Je ne peux que supposer que cette mesure a été mise en place à la va-vite et après-coup pour rassurer le bon peuple qui n'y comprend rien à la technique (car comme déjà signalé, quand un tiers a ma carte d'identité en main il peut aussi y lire toutes les infos). Evidemment quand cette « protection » (qui n'aurait selon moi jamais du exister) saute, c'est l'effet inverse qui se produit et terme d'image auprès du grand public.
Le problème de sécurité des cartes à puces n'est pas un problème technologique en tant que tel, c'est un problème d'usabilité.
1°
Ce n'est pas pour jouer au trouble fête mais à parler de gabegie d'argent public, existe-t-il un seule, je précise bien une seule pièce d'identité qui n'est falsifiable sur le globe ? C'est passablement léger comme critique que de revenir sur le coût de l'évolution technologique qui trouvera toujours au tournant des faussaires. De l'antiquité à nos jours…
2°
Quant au consulat de Londres et la lecture des données sur la carte d'identité, je voudrais quand même rappeler qu'il ne faut pas confondre la fainéantise d'un agent consulaire avec la réalité de terrain. Le numéro de registre national n'a pas été inventé pour identifier les boeufs et les lignes BT sont excellentes pour joindre Bruxelles, seulement voilà, faut-il seulement passer au-delà du réflexe de bon fonctionnaire qui s'exporte même hors des frontières.
(petit avis d'un ancien employé d'Ambassade à une autre époque)
@Katchina et Promethée Un prof d'unif qui dit qu'un bidule électronique est dangereux pour la sécurité du bon peuple … c'est du caviar pour les journalistes. Perso, c'est plutôt le barouf que le gvt a fait avec Crosoft autour du bidule qui me chipote. Effets de manche grandiloquants, millions à la pelle, tout ça pour un résultat tout dégueu et qui nécessitera encore plus de brouzouf de nos impôts pour colmater le trous.
Le fait qu'il un des composants opensource est plutôt bon signe, ça va peut-être permettre de résoudre le chbinz plus rapidement.
@Prom: si monsieur l'ambassadeur veut bien m'excuser cette légerté …
« monsieur l'ambassadeur veut bien m'excuser cette légerté passagère »
Le point 2 de mon intervention portait sur l'histoire des services dépendants de Grovesnor crescent qui est évoquée par l'un de tes commentateurs.
Ne vous sentez pas toujours épinglé par la contradiction, Nestor….
« Un prof d'unif qui dit qu'un bidule électronique est dangereux pour la sécurité du bon peuple »
Je ne vois pas en quoi j'aurais écris que le cas ne présente pas de danger en terme d'usage frauduleux. Il me semble m'être surtout prononcé sur la question financière qui est un non-sens en termes de sécurisation des papiers d'identité ou de passeport: quel que soit le montant investi ou le système adopté, il y aura toujours une course folle entre les pouvoirs publics et les corps criminels. Si j'ai bonne mémoire, le passeport actuel des Belges (oui, celui à 100 EUR par tête de type!) est déjà contrefait à HKG….
Ce n'est pas le budget investi qui est à critiquer mais bien plus le Ministre qui affirme la main sur le coeur que le choix pris relève de l'inviolable. Une foutaise véritable…
En même temps, s'il n'y avait pas d'évolution, il y aurait encore des gens pour râler qu'il leur faut alors faire la file pour obtenir un visa pour débarquer à Washington ou à Tokyo.
[...] en plus un problème de sécurité de la carte d’identité, voilà qui malheureusement me force à retourner à la version [...]