«La sécurité globale du système TES est perfectible.» Les termes sont feutrés, mais le constat n’est pas flatteur. Or il émane de l’Agence nationale de la sécurité des systèmes d’information (Anssi) et de la Direction interministérielle du numérique et de la sécurité du système d’information de l’Etat (Dinsic), chargées conjointement il y a deux mois par Bernard Cazeneuve, alors ministre de l’Intérieur, de plancher sur le fameux «mégafichier» qui a provoqué début novembre une levée de boucliers.

Le système TES (Titres électroniques sécurisés), qui concerne aujourd’hui les quelque 15 millions de titulaires d’un passeport, a en effet été étendu par décret aux cartes nationales d’identité. Il doit ainsi regrouper à terme les données personnelles de 60 millions de Français : état civil, noms et prénoms des parents, adresse, couleur des yeux, taille, ainsi que des données biométriques – photo du visage et empreintes digitales.

A lire aussi«Mégafichier», bordel monstre

Le résultat de l’audit a été publié ce mardi sur le site du ministère, après avoir été transmis aux présidents des commissions des lois de l’Assemblée nationale et du Sénat, Dominique Raimbourg (PS) et Philippe Bas (LR). Dans ses courriers aux deux parlementaires, le nouveau locataire de la Place Beauvau, Bruno Le Roux, se félicite des conclusions du rapport, selon lequel «les principes de conception du système TES sont compatibles avec la sensibilité des données qu’il contient». Sauf que dans le détail, le document cosigné par Guillaume Poupard, le patron de l’Anssi, et Henri Verdier, celui de la Dinsic, relève plusieurs problèmes, qui entrent en résonance avec les craintes précisément exprimées par les opposants à la création du «mégafichier».

A lire aussi «Mégafichier» : Beauvau prié de revoir sa copie

Des «risques de dévoiement»

Le fichier TES, rappellent l’Anssi et la Dinsic, a plusieurs usages. Le premier, largement mis en avant par ses promoteurs, c’est la simplification de la délivrance des titres d’identité et la lutte contre la fraude et la falsification. Mais les forces de l’ordre peuvent accéder «à une application permettant de consulter les données à l’exception des empreintes» digitales, et les réquisitions judiciaires permettent d’obtenir toutes les informations collectées «correspondant à une identité donnée».

Les possibilités d’identification – remonter à l’identité d’une personne à partir de ses données – sont limitées par rapport au projet de la droite en 2012 (surnommé à l’époque le «fichier des gens honnêtes», et censuré par le Conseil constitutionnel), et le lien entre les données d’état civil et les données biométriques ne fonctionne que dans un sens : le système ne doit pas offrir de possibilité d’identifier une personne à partir de ses empreintes digitales ou de sa photo.

Problème : selon l’audit, même avec ce lien unidirectionnel, «le système TES peut techniquement être détourné à des fins d’identification […] ne serait-ce que par reconstitution d’une base de données complète». Or, alors même que l’extension du fichier TES aux cartes d’identité va «mécaniquement induire une augmentation des réquisitions des données du système», il n’existe pas d’«application dédiée» permettant d’assurer la traçabilité de ces consultations…

Le rapport recommande à la fois d’analyser «de manière approfondie» les risques de détournement des finalités du fichier et d’exfiltration des données, et de mettre en place des «mécanismes techniques robustes et automatisés» pour contrôler l’accès au système. Il préconise également «un chiffrement des données biométriques et des pièces justificatives», pour l’heure absent. L’Agence nationale des titres sécurisés (ANTS) a prévu de le mettre en œuvre en 2017.

«Vulnérabilités de gravité variable»

Au chapitre de l’«audit organisationnel», l’Anssi et la Dinsic relèvent que l’ANTS s’appuie beaucoup sur des sous-traitants (Thalès, Orange, Atos, ou encore Amesys, la société française tristement connue pour avoir vendu des technologies de surveillance à la Libye de Khadafi), ce qui est un facteur de risque supplémentaire. Elles constatent néanmoins que les exigences de sécurité imposées aux prestataires extérieurs sont d’ores et déjà relevées pour les marchés à venir. Autre problème, celui de la «gouvernance globale» du système TES, qui réclamerait de «formaliser précisément les modalités de coordination et de partage de responsabilité» entre les différents intervenants…

Dernier point d’inquiétude, la cybersécurité. Si l’audit conclut que l’architecture du système «prend en compte les problématiques de cloisonnement et de filtrage», le test mené par l’Anssi n’en a pas moins mis en lumière «un certain nombre de vulnérabilités de gravité variable». On n’en saura pas beaucoup plus, les détails ayant fait l’objet d’un rapport séparé couvert par le secret défense… Reste que le «processus de suivi» des mises à jour de sécurité et la «politique de durcissement des mots de passe» sont manifestement perfectibles, puisque le rapport préconise de les améliorer.

Un choix politique

Au-delà de l’audit du «mégafichier» tel qu’il existe et des recommandations, le rapport de l’Anssi et de la Dinsic ne se prive pas de rappeler qu’il est «impossible de garantir l’inviolabilité technique absolue d’un système d’information dans le temps». Et qu’il s’agit bien, au final, d’un choix politique à opérer entre les gains escomptés – l’extension du fichier TES aux cartes d’identité a aussi vocation à faire des économies, dans le cadre du plan Préfectures nouvelle génération – et les risques «inévitables» liés à l’existence même d’une base centralisée de données sensibles.

A lire aussi Comment (et pourquoi) Bernard Cazeneuve a décidé de ficher 60 millions de Français

Un constat dont le ministre de l’Intérieur a pris «bonne note». Pas question pour autant de revenir en arrière, puisque l’objectif, tel qu’il est rappelé aux présidents des commissions des lois, reste bien le «respect du calendrier» de l’extension du fichier TES aux cartes d’identité. Sera néanmoins «scrupuleusement» examinée une possibilité évoquée par la Commission nationale de l’informatique et des libertés (Cnil) dans son avis sur le décret : la conservation des empreintes digitales sous forme de «gabarits», c’est-à-dire des identifiants calculés à partir de points caractéristiques du doigt, en lieu et place des empreintes «brutes».

Pourrait alors être étudiée, écrit Bruno Le Roux, une piste que le rapport suggère «si la volonté de réaliser une base complète des images des empreintes est confirmée» : la séparation entre le système TES lui-même et la base des empreintes digitales recueillies pouvant faire l’objet de réquisitions judiciaires. Une évolution qui «ne manquerait pas de susciter débat», juge le ministre. En tout état de cause, renoncer à l’existence d’une vaste base centralisée de données biométriques n’est pas à l’ordre du jour. Or c’est bien elle qui fait frémir les défenseurs des libertés civiles.