La sécurité du « mégafichier » TES jugée « perfectible »
La sécurité du « mégafichier » TES jugée « perfectible »
Les deux agences gouvernementales spécialisées en sécurité informatique ont rendu leur rapport très attendu sur le controversé fichier TES.
Le fichier TES concerne les détenteurs de carte d’identité et de passeport. | REMI VINCENT / CC BY 2.0
La création d’un « mégafichier », nommé TES (titres lectroniques sécurisés), rassemblant les données de 60 millions de Français afin de limiter la fraude lors d’une demande de titre d’identité avait fait l’objet d’une vive polémique à l’automne. A cette occasion, le ministère de l’intérieur avait saisi deux agences gouvernementales spécialisées, l’Anssi (Agence nationale de la sécurité des systèmes d’information) et la Dinsic(Direction interministérielle du numérique et du système d’information et de communication de l’Etat) afin qu’elles se prononcent sur la fiabilité technique de ce fichier ultra-sensible.
Leur rapport très attendu a été rendu public par le gouvernement mardi 17 janvier. Verdict : « l’audit a montré que, du point de vue de la sécurité informatique, les principes de conception du système TES sont compatibles avec la sensibilité des données qu’il contient ». Le fichier contiendra notamment des informations comme l’identité, l’adresse, la photo, les empreintes digitales ou encore la couleur des yeux des personnes qui y figurent.
« Le système peut techniquement être détourné »
Néanmoins, les deux agences soulignent que le système reste « perfectible » et recommande un « durcissement des mesures de sécurité », en évoquant des « risques résiduels ». Les deux agences estiment notamment que, « du point de vue des usages, (...) le système TES peut techniquement être détourné à des fins d’identification ».
C’était l’une des grandes craintes des opposants à ce projet. En principe, ce système doit permettre d’authentifier un demandeur de carte d’identité ou de passeport, c’est-à-dire qu’un agent peut comparer les empreintes de cette personne avec celles en mémoire pour s’assurer qu’elle est bien qui elle prétend être. En revanche, affirme le gouvernement, cette base de données ne doit pas être utilisée pour identifier une personne à partir, par exemple, de ses empreintes digitales. Selon l’Anssi et la Dinsic, si l’outil ne le permet pas tel qu’il est conçu, il est toutefois possible de le détourner pour parvenir à ces fins.
Déjà en place en Bretagne et dans les Yvelines
Les deux agences ont transmis une série de recommandations au gouvernement. « J’ai d’ores et déjà mis en œuvre un plan d’action correspondant à ces recommandations », se félicite Bruno Le Roux dans un communiqué. Le ministre de l’intérieur explique que ce rapport permettra « le respect du calendrier de généralisation » de ce dispositif, déjà testé en Bretagne et dans les Yvelines.
Les deux agences tiennent toutefois à rappeler « qu’il est impossible de garantir l’inviolabilité technique absolue d’un système d’information dans le temps. » Avant de développer :
« La question de la sécurité du système TES renvoie in fine à l’arbitrage que doit faire l’Etat en matière d’acceptation des risques résiduels inévitables liés à la mise en œuvre de ce système, au regard des bénéfices escomptés pour la gestion des titres, comme c’est le cas pour tout système d’information, quelle que soit sa sensibilité. »