Le Sénat a adopté en deuxième lecture la proposition de loi relative à la protection de l'identité, néanmoins avec des modifications. Comme l'expliquait jeudi soir dernier, dans un amphithéâtre souterrain de Telecom ParisTech menacé à tout moment de submersion soudaine par les pluies torrentielles qui s'abattaient alors sur les contreforts de la Butte-aux-Cailles, Fabrice Matatia, qui avait largement contribué au dossier de cette carte d'identité électronique dès 2004 lorsqu'il était conseiller technique à l'éphémère Secrétariat d'Etat chargé de la prospective et du développement de l'économie numérique de NKM, le recours à la biométrie pour les données stockées dans la « puce » électronique de la nouvelle carte d'identité avait causé un émoi général et provoqué de houleux débats laissant, en 2005, le projet inabouti.
L'enfer (numérique) étant pavé (à très haut débit) de bonnes intentions, rappelons que, destinée, selon ses auteurs, à lutter contre la multiplication du nombre d'usurpations d'identité — ici dans la vie réelle pas dans la vie numérique —, estimé en France à 200 000 par an, la proposition de loi prévoit une série de dispositions visant à garantir une fiabilité maximale — je souligne — des passeports et cartes nationales d'identité. Il s'agit ainsi d'équiper les cartes nationales d'identité de puces électroniques sécurisées qui, non seulement contiendront des données biométriques numérisées (état civil, adresse, taille et couleur des yeux, empreintes digitales — les doigts pour le digital world —
, photographie, bientôt peut-être l'ADN), mais pourront également — peut-être pour faire passer la pilule, ou plutôt la puce — offrir à leurs titulaires de nouveaux services tel que l'authentification à distance et la signature électronique. Or, paradoxalement, en France l'usurpation d'identité ne constituait pas, avant cette année, un délit, sauf bien sûr, si l'usurpation se fait dans des circonstances qualifiables de délit pénal. Cela ne pouvait durer par les temps de sourde bienveillance sécuritaire actuels. Dans une rédaction fort imprécise, la loi LOPPSI, du 14 mars 2011, crée deux nouvelles infractions pénales concernant l'usurpation d'identité, numérique inclus cette fois : « Le fait d'usurper l'identité d'un tiers ou de faire usage d'une ou plusieurs données de toute nature permettant de l'identifier en vue de troubler sa tranquillité ou celle d'autrui, ou de porter atteinte à son honneur ou à sa considération, est puni d'un an d'emprisonnement et de 15 000 Euros d'amende. Cette infraction est punie des mêmes peines lorsqu'elle est commise sur un réseau de communication au public en ligne. ». Le champ d'interprétation semble donc heureusement assez vaste aux esprits byzantins qui professeront sans doute l'exégèse du texte dans le contexte de la loi Hadopi, par exemple — contre qui prononcer l'ostracisme de la cité numérique en lui coupant tout accès à la manne Internet, lorsque le voisin, sous votre identité numérique, utilise le WiFi d'un troisième voisin pour télécharger « Born this way » de Lady Gaga ? Délit pénal plus infraction ? Quelle est l'identité, réelle et numérique, du ou, peut-être, des coupables ? L'exception culturelle française s'en porte-t-elle vraiment mieux ?
La doxa traitera-t-elle de cette moderne déclinaison de la controverse de Valladolid : les individus qui bloguent collectivement sous un pseudo partagé — comme on l'a supposé parfois de Maître Eolas ou de Robert X. Cringely — ont-ils légalement une identité numérique ? Faut-il les poursuivre au pénal ou les admettre au grand concert de l'humanité virtuelle ? Symétriquement, l'internaute qui multiplie les pseudos d'un réseau social à l'autre, d'un serveur de courrier électronique à l'autre, utilisant l'un pour ouvrir un nouveau compte auprès du suivant est-il un usurpateur compulsif qu'il convient de réprimer avec la dernière sévérité ? Ce ne sont plus là des échafaudages d'une casuistique spéculative au moment où, à la conférence ACM SIGCOMM/USENIX IMC'11 tenue la semaine dernière à Berlin, les brillants esprits de l'INRIA dévoilent comment retourner les algorithmes mêmes des réseaux P2P pour identifier, localiser et analyser le comportement en ligne des internautes individuels. De la carte nationale d'identité (CNI) numérique à la carte d'identité nationale (CIN) numérique il n'y a plus que quelques octets !
Lors de sa première lecture, le 1er juin, le Sénat avait modifié le texte d'origine afin d'apporter une garantie matérielle rendant impossible l'identification d'une personne à partir de ses seules empreintes biométriques enregistrées dans la base de données pour réconciliation avec celles figurant dans la smartcard. Il s'agit du système des fichiers dits à « liens faibles ». Les députés, lors de l'examen du texte, le 7 juillet dernier, ont supprimé cette garantie, revenant au projet d'origine qui prévoyait l'identification sur la base de l'empreinte biométrique. La commission des Lois du Sénat, saisie pour la deuxième lecture, a rétabli cette technique du « lien faible » pour le fichier. La commission a également interdit l'utilisation d'un dispositif de reconnaissance faciale à partir des images numérisées des visages qui sont enregistrés dans ce fichier — cf., cette fois, la controverse de Facebook dans cette même tribune.
Si vous n'êtes ni Giscard Reventlov, ni Daneel Olivaw, tout ceci peut vous sembler confus et bien peu cartésien. C'est peut-être parce que dans l'esprit (bien peu positronique) du législateur et de sa clientèle, trois notions d'identité numérique s'amalgament :
- celle que l'on emploie pour publier et pour se présenter sur Internet, l'avatar ;
- celle que l'on exhibe à première demande sur son passeport et sa CNI numérique, le titre d'identité numérique, qui vise à prouver sa nationalité ;
- celle que vous utilisez dans vos transactions sur le Web et qui permet au fournisseur de service de vous authentifier comme étant le client véridique du service rendu.
Dans cette dernière catégorie on peut également classer la « signature électronique » qui, en miroir, permet à l'utilisateur d'authentifier ses messages sortants. Les questions de signature électronique sont, eles-aussi, empreintes de certaines circonvolutions, ainsi que le rappelait l'éminent représentant de l'ANSSI à cette même réunion par temps de mousson rue Barrault. Nous vivions jusque là, innocents et naïfs, depuis Napoléon. Les questions relatives à la signature font partie de ce que les juristes appellent le « droit de la preuve » et le texte fondamental est le Livre III, Titre III, Chapitre VI du Code Civil intitulé « De la preuve des obligations et de celles du paiement ». Ce texte, remontant à 1804, a été mis à jour par la loi du 13 mars 2000 (2000-230), suite à une directive européenne de 1999. Cette véritable révolution juridique vise à reconnaître l'équivalence juridique entre une signature manuscrite et une signature électronique. Dans le décret qui suivit, sont introduites deux types de signatures :
- La signature électronique simple, qui ne pourra être refusée en justice au titre de preuve (principe de l'équivalence avec l'écrit), mais dont il faudra démontrer la fiabilité au tribunal en cas de litige — c'est strictement celle à laquelle vous êtes habitués dans la vraie vie, une signature à l'encre sur du papier.
- La signature électronique présumée fiable (ou signature électronique avancée, dans la terminologie européenne), pour laquelle la charge de la preuve pourra être renversée : il faudra démontrer une défaillance du système de création de la signature pour pouvoir la contester devant les tribunaux : c'est celle enfouie dans les puces de nos cartes bancaires de crédit, par exemple, mais dans le cadre d'une convention spécifique puisqu'elles sont antérieures aux décrets.
Pour être présumée fiable au sens de la loi, une signature devra satisfaire trois conditions:
- être « sécurisée » (non-répudiation, indissociabilité du document, intégrité du document signé),
- avoir été produite par un « dispositif sécurisé de création de signature électronique », ce qui signifie que le dispositif doit avoir été certifié par l'ANSSI (en France),
- la vérification de la signature repose sur l'utilisation d'un certificat électronique qualifié. Ces certificats devront avoir été émis par des prestataires de services dûment accrédités par les pouvoirs publics.
Le coût de cette signature présumée fiable, autrement dit de l'authentification forte, est évidemment très élevé dans ce cadre législatif pour la signature électronique. Comme il n'y a, par ailleurs, aucun encadrement législatif de l'authentification forte pour l'instant, l'habitude prise dans la vie réelle de se satisfaire de signatures (non électroniques) simples persiste dans la vie numérique et, combinée au coût, retarde l'implémentation et la généralisation de la signature électronique présumée fiable. Malgré des initiatives du secteur privé cherchant à offrir des solutions commerciales tous azimuts, la France reste cependant en retard — ou en avance, c'est selon votre sensibilité à la Nouvelle Surveillance — sur d'autres pays européens qui ont rendu la CNI électronique obligatoire.
Au regard de ces perspectives encourageantes, trois types d'objets physiques se distinguent aujourd'hui comme supports de signatures fortes : les puces des cartes bancaires, les cartes SIM des téléphones cellulaires et, dans la mesure où il serait connecté en permanence au Net, un terminal lié à un service de stockage cloud décentralisée. Dans la première catégorie, les banques et leurs groupements type Visa et Mastercard sont les acteurs (privés), nationaux et étrangers, prévalents ; dans la seconde dominent les opérateurs de télécommunications, nationaux et étrangers, publics ou privés ; la troisième est ouverte, où se positionnent également des acteurs techniques, par exemple autour des certificats pour PKI (Verisign, Keynectis...), et des startups prometteuses comme MassiveRand, en France.
La bataille pour le contrôle de l'identité numérique est en cours d'initialisation. Loading...
