Passeport biométrique France décret Sarkozy Vidéo biométrie hacking piratage Le passeport biométrique en France, on y est ! Mais pourquoi ? la passeport biometrique en france cnil decret sarkozy video hack hacking passeport biometrie

Par décret, le gouvernement a officialisé la création du passeport biométrique, embarquant empreintes digitales et photos dans une puce électronique. La CNIL, qui souhaitait un débat parlementaire, ronge son frein. Petit résumé des risques de ce nouveau système...

piratage hacking passeport biometrique video

Le décret n° 2008-426 du 30 avril 2008 a été publié au journal officiel le dimanche 4 mai. Il officialise la création d'un passeport biométrique contenant dans une puce électronique la photo de la personne et ses empreintes digitales. Ce décret transcrit une directive européenne, fortement inspirée par le gouvernement américain. Alors s'agit-il d'une décision purement politique ou d'une avancée technologique ? Enquête...

La CNIL est dépitée

L'avis de la CNIL, uniquement consultatif, rendu le 11 décembre 2007 a été publié au Journal officiel du 10 mai, "un sujet d'une telle importance devait passer devant le Parlement et nous n'avons pas obtenu les éléments qui permettent de justifier la création de cette banque de données", a résumé à l'AFP son président, Alex Türk. La CNIL note aussi que la France va plus loin que la directive européenne, qui ne prévoit pas le recueil de l'empreinte de huit doigts mais seulement de deux, ni la conservation des données en base centrale. Le dispositif français comporte "des risques d'atteintes graves à la vie privée et aux libertés individuelles" et il "ne peut être admis que dans la mesure où des exigences en matière de sécurité ou d'ordre public le justifient". La CNIL estimait que "l'ampleur de la réforme justifierait que le Parlement en soit saisi", mais le gouvernement s'est assis sur son avis. Et le décret est passé. C'est fait.

Données personnelles - empreintes digitales et photos

Un premier problème... les empreintes digitales sont aisément falsifiables. En mars 2008, des hackers allemands ont réussi à falsifier les empreintes digitales du ministre de l'Intérieur allemand. la méthode est simple, voir cette vidéo, diffusée par Arte. Ce n'est qu'un exemple.

 

 

Base de données centralisée

Second problème... récemment, plusieurs incidents liés à la sécurité de ces bases de données sont apparus. En Grande-Bretagne, en novembre 2007, les données de plus de 25 millions de britanniques ont été malencontreusement "perdues". La raison ? Deux cédéroms du FISC ont été égarés par un coursier... Quelques jours plus tard, ce sont les fiches de 3 millions de candidats au permis de conduire qui avaient été perdues. Début 2008, en Grande-bretagne, toujours, un ordinateur a été volé à la Navy, qui contenait les données de 600 000 citoyens. Il y a quelques jours au Chili, les données personnelles de 6 millions de personnes se sont retrouvées diffusées sur le Web après le hacking de plusieurs systèmes d'informations de l'Etat chilien. Noms, adresses, numéros de téléphones, déclarations d'impôts, numéros de cartes d'identités, et e-mails ont ainsi été disséminés sur le Web en provenance des administrations du Service électoral, de la Direction générale de mobilisation, du ministère de l'Education et de l'annuaire téléphonique professionnel de Santiago. Aux Etats-Unis, au cours des quatre dernières années, 160 ordinateurs ont été dérobés aux services sensibles de l'Etat, qui renfermaient des données personnelles. Mais le secret défense règne, et il est impossible de savoir quelles données ont été ainsi égarées. Bref. Partout, tout le temps, des données sont perdues ou piratées, par les Etats, par les banques...

Sécurité - Infalsifiabilité

Le passeport biométrique utilise la technologie RFID (radio frequency identification) : une puce contient les informations, et un détecteur qui envoie des impulsions électro-magnétiques arrive à lire son contenu à distance. Un expert, Lukas Grunwald, a déjà réussi à copier le contenu d'une puce d'un passeport biométrique allemand et à en reprogrammer les données. A la conférence BlackHat 2006 à Las Vegas, il a même été démontré que la technologie RFID pourrait être utilisée pour créer des bombes qui n'exploseraient qu'à proximité d'une personne donnée, en filtrant selon sa nationalité par exemple ! D'autres possibilités de hacking sont possibles : Buffer overflows, attaques en « brute force », denis de service... pour les intimes.

La seule avancée que pourrait apporter cette technologie serait le fait de réduire les files d'attente aux aéroports, bien loin de l'infaillabilité avancée par nos politiciens improvisés experts technologiques. Autre avancée, celle des sociétés qui remporteront le marché : 100 millions d'euros pour le consortium qui sera choisi, Thalès-Accenture, Atos-Sagem, Cap Gemini-Sopra ou Bull-Zeltes selon Bakchich.info. Alors pourquoi cette technologie, et pourquoi vouloir à tout prix éviter le débat parlementaire, au mépris de l'avis de la CNIL ? Vaste question...

 

 

Mise à jour du 19 mai 2008 14h30 : ajout de cette vidéo "La CNIL s'inquiète..."

 

 

(Article publié sur le site "Les mots ont un sens")

 

partagez cet article : FACEBOOK partagez cet article : TWITTER partagez cet article : DEL.ICIO.US partagez cet article : GOOGLE partagez cet article : VIADEO 

Catégories :

Et dire que les allemands

Et dire que les allemands manifestent pour moins que ça. Plus de 10 000 personnes à berlin en septembre dernier contre la rétention de données informatiques. (article ici) Je n'imagine pas ce que cela serait si on leur imposait un passeport de ce genre !
J'ai découvert ce blog il y a quelques temps via scoopeo, j'aime beaucoup le contenu