Mégafichier TES : un rapport dénonce les lacunes sécuritaires du projet de fichier de la population

Le fichier qui rassemblera les empreintes digitales de 60 millions de Français garantira-t-il la confidentialité des données ? Un audit estime que sa sécurité est «perfectible» et suggère une série de recommandations destinées à limiter les risques.
La DINSIC (Direction interministérielle du numérique et du système d’information et de communication de l’Etat) et l’ANSSI (Agence nationale de la sécurité des systèmes d’information) ont rendu le 17 janvier leur audit très attendu concernant la sécurité du projet gouvernemental controversé destiné à ficher tous les Français. Leur verdict : un «durcissement des mesures de sécurité» est nécessaire.
Système TES : publication du rapport de l'ANSSI et de la DINSIC https://t.co/WzEDsYZCxV
— Emmanuel Cosperec (@ECosperec) 18 janvier 2017
Le rapport pointe notamment toute une série de vulnérabilités, qui ne sont pas détaillées pour ne pas donner de pistes aux potentiels pirates informatiques. Sont évoqués des «mécanismes de cloisonnement et de filtrage» insuffisamment «robustes», ainsi que des mots de passe trop simples devant être durcis.
#FichierMonstre Oups, on a détecté de belles vulnérabilité mais on est sympa cette fois, c’est classifié #TraduisonsLes#FichierTESpic.twitter.com/Lrg9DcsHsk
— Alec ن Archambault (@AlexArchambault) 17 janvier 2017
Le Laboratoire spécification et vérification de Cachan, qui a lui aussi étudié le cas, y voit «un risque inhérent majeur d'attaque, de vol et de détournement», ne voyant «pas de solution technique centralisée [...] garantissant la confidentialité des données des citoyens».
@AlexArchambault cela dit, la mise en garde du Laboratoire Spécification et Vérification de Cachan n'est pas classifée... #FichierTESpic.twitter.com/Kw7NdGCK4Y
— Charlotte Truchet (@chtruchet) 17 janvier 2017
Un risque de «détournement» du fichier par les autorités
Un risque «technique» de «détournement à des fins d'identification» est également évoqué, c'est-à-dire qu'il serait possible de retrouver un individu sur la base de ses empreintes digitales sans disposer de l'autorisation requise pour le faire. Un risque que Bernard Cazeneuve écartait d'un revers de la main face aux critiques des opposants, affirmant que l'architecture même du fichier empêchait cela.
Le fichier #TES "peut techniquement être détourné à des fins d'identification" #LT /2 pic.twitter.com/vYseF6ELc3
— jean marc manach (@manhack) 17 janvier 2017
L'audit recommande donc de chiffrer les données à l'aide de plusieurs clés, dont l'une serait confiée à une autorité tierce, afin d'éviter que les pouvoirs publics puissent y accéder sans contrôle, mais uniquement sur réquisition judiciaire.
D'autant que le système actuel n'offre pas une traçabilité satisfaisante selon les auteurs du rapport, qui appellent à une «traçabilité renforcée des accès et des sollicitations du système», notamment par la mise en place de registres.
L'Intérieur estime que le TES est «clairement compatible» avec la sensibilité des données
Malgré toutes ces réserves, le ministère de l'Intérieur s'est satisfait des conclusions de ce rapport, n'y voyant pas d'obstacle à la mise en place du TES. «Je prends pleinement acte des conclusions de ce rapport, qui établissent clairement que le système TES est compatible avec la sensibilité des données qu'il contient», a indiqué Bruno Le Roux dans un communiqué publié le 17 janvier.
La propension qu'ont les gens à ne lire que le premier paragraphe d'un rapport d'audit de sécurité est quand même fabuleuse. #Tes#anssipic.twitter.com/7q7OOPKjSv
— Heat Miser ♻︎ (@H_Miser) 18 janvier 2017
Objet d'un décret paru le 30 octobre au Journal Officiel, le fichier réunit dans une seule base de données (identité, couleur des yeux, domicile, photo, empreintes digitales...) les détenteurs d'un passeport et d'une carte d'identité. Il concerne potentiellement près de 60 millions de Français. Ce décret avait causé une polémique parmi les députés, la grogne gagnant même l'équipe gouvernementale, Axelle Lemaire, secrétaire d'Etat chargée du Numérique et de l'Innovation, dénonçant le TES.
La Commission nationale de l'informatique et des libertés, ainsi que le Conseil national du numérique avaient eux aussi exprimé leurs réserves sur ce fichier.
Lire aussi : Mégafichier TES : Bernard Cazeneuve admet des erreurs mais ne recule pas