L'identification électronique : Facilité et contraintes

Qu'il s'agisse d'une carte de banque, d'une carte SIM de gsm, d’une carte d’identité, d’un passeport ou encore d'une étiquette de prix, consciemment ou non, nous côtoyons la carte à puce au quotidien. Aussi, l’ESI, en collaboration avec l’IUT « A » de Lille, a proposé l'identification électronique comme sujet de réflexion éthique lors de l'après-midi « Informatique et société » du 14 mars dernier.[0] Voici un aperçu des quatre exposés cités en notes et de quelques interventions majeures.

La carte à puce, dont le brevet a été déposé dans les années '70, constituée d'un grain de silicium dans un support plastique, est un micro-ordinateur à elle seule. On la transporte dans la poche tous les jours et elle nous suit tout au long de nos déplacements. Elle permet la vérification d’informations et peut se comporter comme un «représentant électronique» de l'utilisateur. C'est un objet portable multi-applicatif facile à utiliser, un ordinateur capable de communiquer de l'information à la demande de l'utilisateur, mais aussi à son insu.[1]

En marge de la campagne de distribution orchestrée en Belgique, cette carte à puce particulière qu’est la carte d'identité électronique a alimenté notre réflexion. Elle est l’aboutissement d’une longue histoire visant à certifier l’identité des individus et à éviter des aventures comme celle de Martin Guerre, ce paysan français né en 1524, disparu pendant plusieurs années et dont l’identité avait été usurpée auprès de sa famille par un imposteur. En effet, à l’époque : nulle carte d’identité, nulle preuve d’existence si ce n’est par les dires de la famille. En 1539 apparaissent officiellement en France les registres paroissiaux, répertoriant les naissances et décès des habitants ayant reçu le baptême. Les registres de mariages, eux, sont créés à partir de 1579. Mais les registres sont périssables, ils sont souvent détruits par les guerres, incendies, … et en 1667 la tenue des registres en double devient obligatoire. Lors de la révolution française, ces registres paroissiaux perdent leur caractère officiel grâce à l’instauration de l’Etat Civil. En Belgique, on le retrouve dès 1830. Les actes (de naissance, de mariage, de décès) ne sont plus gérés par les autorités religieuses mais par un service public. C’est avec la guerre 14-18 qu’arrive la carte d’identité, qui, depuis quelques années, est devenue électronique.

Elle est constituée d'une partie visible mais aussi d'une puce électronique qui contient une photo numérique, l’adresse, des clés d'identification et de signature. Elle nous permet de nous identifier via le numéro de registre national. Le Registre national a une existence légale depuis 1983. Il facilite l'échange entre les administrations et la mise à jour d'informations civiles sur les citoyens, rationalise la gestion communale des registres de population et simplifie certaines formalités administratives. Le numéro de registre national, constitué de onze chiffres dont la date de naissance et un numéro de contrôle, permet d’atteindre ces informations. Celles-ci ne sont pas accessibles à tout un chacun mais il nous est possible de prendre connaissance de nos données personnelles et d’en demander la rectification s’il en est besoin. La demande peut être faite via Internet à partir d'un lecteur de carte compatible. [4][2]

Mais à l’heure du vote électronique, on peut penser au risque d’un lien facile entre le fichier des électeurs et celui des votes émis, ce qui briserait le secret du vote. De manière plus générale, on peut craindre une connexion plus facile entre divers fichiers (registre national, sécurité sociale, fichiers professionnels et commerciaux, …).

La carte d'identité contient aussi la signature électronique équivalente à la signature manuscrite. Signer, c'est s'identifier en tant que signataire, c'est manifester son adhésion à un certain contenu à un moment donné. Un document électronique est sujet, au même titre qu'un document papier, à différentes sortes de falsifications. L'identification électronique doit apporter des solutions à différents problèmes : elle doit vérifier que le contenu n'a pas été changé, qu'il s'agit bien du bon signataire et que seul le destinataire sera autorisé à lire ces informations. La signature électronique va ajouter une signature cryptée au contenu (à un moment donné) du document. Cette signature sera vérifiée à l'arrivée du document et en assurera ainsi l'authenticité. L’utilisation de cette signature soulève le problème de la confiance aveugle que l’on pourrait être amené à avoir en l’informatique. Lors d’un appel d’offre, par exemple, les enveloppes scellées, arrivant isolément, sont ouvertes toutes en même temps devant le Conseil d’administration de l’organisme. Lors de la dématérialisation des réponses par Internet, il y a un risque que les administrateurs puissent connaître leur contenu à l’avance et fausser ainsi une concurrence équitable. [3]

Nous avons une carte d’identité électronique, un passeport électronique, nous sommes identifiés numériquement mais pourquoi tout cela? Le but premier est la simplification de nos contacts avec les administrations, et avec l’Etat en général. Un autre objectif est la non-usurpation d’identité, et, de façon plus générale, la sécurité individuelle et collective. Mais comment empêcher le clonage d'une carte, comment empêcher une attaque logicielle des informations contenues ? Déjà à la fin des années 90, l’ingénieur français Humpich a démontré que le système des cartes bleues était faillible. Plus on augmente la technicité, plus on augmente le risque de déficience.

Si nous sommes conscients d'utiliser notre carte de banque en l'insérant dans un appareil, il n'en est pas de même avec le nouveau passeport européen muni d'une antenne permettant l'accès aux données personnelles à distance ou encore avec un gsm qui est un véritable localisateur à quelques centaines de mètres près. Ne sommes-nous pas surveillés dans nos faits et gestes ? Nous sommes tracés à chaque dépense, lors de chaque signature, à chaque appel téléphonique, ... Une illustration en a été donnée lors de cette alerte à la salmonellose dans une grande surface française où les clients ayant acheté la marchandise suspecte ont été retrouvés grâce à leur paiement bancaire. Un drame sanitaire a ainsi pu être évité. Mais on voit également qu'un simple dispositif de paiement permet de traquer n'importe quel usager et ceci sans son consentement.

Se pose le problème du type de données inscrites sur la carte d'identité qui n’affiche plus d’informations visibles utiles en cas d’urgence (adresse, nom du conjoint, …) mais qui contient dans la puce ce qui, actuellement, oblige, par exemple, de fournir la photo en signant à distance. [4]

Quid aussi de la personne désarmée devant le numérique, qui ne maîtrise plus la communication au centre de laquelle elle se trouve? Que penser du processus anti-démocratique qui consiste à imposer un service sans donner réellement la possibilité à la personne de le refuser puisque la procédure est extrêmement compliquée ? En principe, on doit pouvoir choisir d'utiliser un service si on le désire et on ne devrait pas être dans l’obligation de se battre pour le refuser.

Nous sommes désormais identifiés par le numéro de registre national. Ne sommes-nous d’ailleurs pas réduits à ce simple numéro ? Notre carte d’identité contient notre signature électronique. A plus ou moins long terme, nous ne possèderons peut-être plus qu’une seule carte qui nous permettra de nous identifier, de voyager, de signer; sa puce contiendra les certificats de naissance, de mariage, de décès. Et pourquoi pas nos empreintes digitales ou la couleur de l’iris ? Cette carte seule sera notre lien avec les administrations, les banques, les assurances,… Mais quid du jour où elle sera copiée, craquée, falsifiée ? Qu’arrivera-t-il en cas de guerre, de coup d’Etat ? N’aurons-nous plus d’endroit où nous cacher ? Notre société deviendra-t-elle comme celle des films de science fiction où tout est contrôlé par un simple ordinateur et où l’être humain a totalement perdu sa liberté ?

La carte à puce est une avancée considérable, elle nous facilite la vie au quotidien et elle continue d’évoluer. Sa sécurité s'améliore et son utilisation se simplifie. Mais il est important que la société dans laquelle nous vivons reste une société ouverte, y compris aux « sans papier ». La société que nous bâtissons doit toujours laisser place à la confiance. L'outil électronique offre un grand nombre de possibilités, facilitant les actes de la vie quotidienne, mais il apporte aussi son lot de contraintes. Or, dans un système démocratique, pour être valide, toute contrainte doit recueillir l'adhésion, sinon de l'ensemble, d'au moins la majorité des usagers. Que ce soit au niveau de l'identification, de l'authentification, de la consommation ou encore de la santé, aucune avancée ne peut se faire sans un effort important d'information et de transparence. C'est dans cet esprit que s'est inscrite notre réflexion où les aspects techniques, économiques, sociaux, juridiques et moraux ont été abordés.



Catherine LERUSTE, Maître assistante à l’ESI
Patrick LEBEGUE, Maître de conférences à l’Université de Lille

[0] http://www.heb.be/esi/infosoc_fr.htm

[1] "Introduction aux technologies des cartes à puce et à la notion d'identité numérique" par Gilles Grimaud

[2] "Le Registre national et la carte d'identité" par Luc Smet

[3] " Présentation des projets CESAME/SALADIN, Belgian e-Gov Award 2006" par Philippe Canon

[4] "Approche juridique des enjeux éthiques et sociaux" par Daniel Fesler