Inscrivez-vous gratuitement à la Newsletter BFM Business
Les titres émis par les États et intégrant une carte à puce font l'objet de perspectives de déploiement très importantes à l'échelle de la planète. L'usage d'un microprocesseur ne suffit pas à sécuriser ces nouveaux documents.
C'est un phénomène planétaire qui se déroule avec l'arrivée des nouveaux titres administratifs électroniques. Des centaines de millions de cartes à puce pourraient être émises chaque année, avec l'intégration d'un microprocesseur dans les passeports, les cartes d'identité, les permis de conduire ou les cartes de santé. Rien que pour le passeport électronique, on évoque trente millions de titres par an. La carte d'identité électronique a également un vent favorable. Le Maroc, par exemple, va commencer à produire vingt millions de cartes sans contact sur quatre ans. On parle de deux cents millions de cartes sans contact par an pour la Chine à partir de 2007, pendant cinq ans. En attendant le permis de conduire indien.En France, la carte Vitale 2 représente à elle seule cinquante-neuf millions d'exemplaires sur quatre ans à partir de 2007. Si les industriels se frottent les mains, déployer autant de cartes exige de robustes procédures de délivrance, sous peine de rater l'objectif de lutte contre la fraude. D'autant que certains de ces titres devraient servir à authentifier leur porteur sur internet.
La carte à puce déjà critiquée
Or, la carte à puce elle-même est déjà critiquée. ' Elle ne fait qu'ajouter les problèmes de l'informatique aux technologies documentaires ', affirme Lukas Grunwald, de la société DN-Systems. Cet expert allemand en sécurité a fait parler de lui cet été, en clonant les informations de son passeport électronique sur une Java Card. Un clonage qui a déclenché une vive réplique de la Smart Card Alliance, qui réunit des industriels et des organisations du programme de passeport électronique américain : ' Copier les informations ne sert à rien. Elles sont scellées et il est impossible de les modifier. ' Impossible, par exemple, de remplacer la photo par une autre. Lukas Grunwald admet en effet que ce n'est pas si simple. Il promet pourtant une solution, combinant la modification du contrôle du fichier de la photo et un malware.
Une base nationale biométrique
En attendant, cet épisode remet sur le devant de la scène l'importance des sécurités visuelles sur ces documents (photo, hologramme, etc.). ' Une pièce d'identité à microprocesseur doit aussi être lisible à l'?"il nu ', rappelle Philippe Robin, directeur technique de Thales Security Systems. D'où la criticité des procédures qui aboutissent à l'impression de la photo du porteur sur le titre, qu'il s'agisse du passeport ou de la carte Vitale 2. Ainsi, pour cette dernière, on note que l'on enverra par la Poste sa photo, accompagnée de la photocopie (!) de sa carte d'identité pour vérification.Le back-office sera-t-il apte à détecter les risques de fraude (vol d'identité, invention d'identité, photo peu discriminante, et carte déjà délivrée, perdue ou renouvelée) à l'heure où le ministère de l'Intérieur évoque, pour sa part, une base nationale biométrique pour s'assurer de la bonne délivrance de notre future carte d'identité électronique, fin 2008 (lire 01 Réseaux, n?' 162, p. 84) ?
