Sur son blog « FS0C131Y », le spécialiste en cybersécurité, Baptiste Robert aka Elliot Alderson a pu essayer la version « demo » du système de reconnaissance faciale décrété en mai dernier par le gouvernement : Alicem. Ce système d’« Authentification en ligne certifiée sur mobile » (Alicem) doit être généralisé d’ici novembre. L’application Android de démo s’appelle « Utopia eGovernement services », comme le rapporte l’article.
Un contrat à 2,8 millions d’euros
Au-delà de l’aspect logiciel, on en sait désormais plus sur les côtés opérationnels : quelle est l’entreprise prestataire de service, ce que ça a coûté au gouvernement mais aussi quels sont les potentiels risques liés à la sécurité. Et ce n’est pas forcément rassurant pour la suite.
Selon l’appel d’offres, « la réalisation, le maintien et la sécurité » ont été attribués à l’entreprise Gemalto, qui appartient au groupe français Thalès depuis 2019. Il a été conclu le 14 décembre 2016 pour plus de 2,8 millions d’euros. Le contrat public lie le sous-traitant et l’Agence nationale des titres sécurisés (ANTS) pendant quatre ans et dix-huit mois supplémentaires si besoin.
1. Dans l'application Android #Alicem, la solution d'identité numérique Française aka "The French #Aadhaar", on trouve un système de démo de @Gemalto appelé "Utopia eGovernment Services". En plus, d'avoir un nom "inopportun", il possède un petit pb de sécurité pic.twitter.com/IlvxZ0Ed6p
— Baptiste Robert (@fs0c131y) September 23, 2019
2 millions de dollars alloués par les États-Unis
« Spoiler : la solution utilisée n’est pas française », peut-on lire sur le blog du hacker. Ce qui n’est pas rassurant, c’est que cette solution aurait été financée par le gouvernement des États-Unis. Un mois avant la signature du contrat public avec le service gouvernemental français, le 14 novembre 2016, Gemalto a reçu 2 millions de dollars de la part de l’Institut national des standards et technologies (NIST). Cette somme a été allouée à un programme pilote de permis de conduire dématérialisé testée dans « cinq juridictions américaines » pendant « deux ans ».
Outre l’aspect politique, le test de la version démo révèle des vulnérabilités. L’application démo est « super facile à craquer », selon le spécialiste de la cybersécurité. Selon le hacker, cela est dû à l’ancienneté de la version d’Apache Tomcat utilisée.
Un dispositif a priori anti-RGPD
Même si ce n’est pas la version définitive de l’application, cet amateurisme n’est pas un très bon signal. D’autant plus que la généralisation d’Alicem est prévue pour le mois prochain. Au terme de son test, le hacker conclut que l’application semble plus « utopique » pour le « gouvernement que pour la population elle-même ».
Tous ces éléments techniques s’ajoutent au fait qu’a priori, la solution décrétée par le gouvernement en mai dernier violerait le RGPD puisqu’elle obligerait tous les citoyens à l’utiliser sans consentement au préalable. Car rappelons qu’aux yeux de la législation européenne, un consentement forcé ne vaut pas. Un recours au Conseil d’État a été déposé par l’association La Quadrature du Net contre le dispositif en juillet.
Source : FS0C131Y
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
