La DINSIC (Direction interministérielle du numérique et du système d’information et de communication de l’Etat) et l’ANSSI (Agence nationale de la sécurité des systèmes d’information) ont rendu le 17 janvier leur audit très attendu concernant la sécurité du projet gouvernemental controversé destiné à ficher tous les Français. Leur verdict : un «durcissement des mesures de sécurité» est nécessaire.
Le rapport pointe notamment toute une série de vulnérabilités, qui ne sont pas détaillées pour ne pas donner de pistes aux potentiels pirates informatiques. Sont évoqués des «mécanismes de cloisonnement et de filtrage» insuffisamment «robustes», ainsi que des mots de passe trop simples devant être durcis.
Le Laboratoire spécification et vérification de Cachan, qui a lui aussi étudié le cas, y voit «un risque inhérent majeur d'attaque, de vol et de détournement», ne voyant «pas de solution technique centralisée [...] garantissant la confidentialité des données des citoyens».
Un risque de «détournement» du fichier par les autorités
Un risque «technique» de «détournement à des fins d'identification» est également évoqué, c'est-à-dire qu'il serait possible de retrouver un individu sur la base de ses empreintes digitales sans disposer de l'autorisation requise pour le faire. Un risque que Bernard Cazeneuve écartait d'un revers de la main face aux critiques des opposants, affirmant que l'architecture même du fichier empêchait cela.
L'audit recommande donc de chiffrer les données à l'aide de plusieurs clés, dont l'une serait confiée à une autorité tierce, afin d'éviter que les pouvoirs publics puissent y accéder sans contrôle, mais uniquement sur réquisition judiciaire.
D'autant que le système actuel n'offre pas une traçabilité satisfaisante selon les auteurs du rapport, qui appellent à une «traçabilité renforcée des accès et des sollicitations du système», notamment par la mise en place de registres.
L'Intérieur estime que le TES est «clairement compatible» avec la sensibilité des données
Malgré toutes ces réserves, le ministère de l'Intérieur s'est satisfait des conclusions de ce rapport, n'y voyant pas d'obstacle à la mise en place du TES. «Je prends pleinement acte des conclusions de ce rapport, qui établissent clairement que le système TES est compatible avec la sensibilité des données qu'il contient», a indiqué Bruno Le Roux dans un communiqué publié le 17 janvier.
Objet d'un décret paru le 30 octobre au Journal Officiel, le fichier réunit dans une seule base de données (identité, couleur des yeux, domicile, photo, empreintes digitales...) les détenteurs d'un passeport et d'une carte d'identité. Il concerne potentiellement près de 60 millions de Français. Ce décret avait causé une polémique parmi les députés, la grogne gagnant même l'équipe gouvernementale, Axelle Lemaire, secrétaire d'Etat chargée du Numérique et de l'Innovation, dénonçant le TES.
La Commission nationale de l'informatique et des libertés, ainsi que le Conseil national du numérique avaient eux aussi exprimé leurs réserves sur ce fichier.
Lire aussi : Mégafichier TES : Bernard Cazeneuve admet des erreurs mais ne recule pas