L’Enisa (European Network and Information Security Agency) publie un rapport de 24 pages entièrement consacré à l’étude des différentes cartes d’identité « électroniques » dans les divers pays de la Communauté. Encore inconnue en France –son instauration est toutefois prévue- elle est déjà en application ou en phase de déploiement en Autriche, Belgique, Estonie, Finlande, Italie, Pays-Bas, Portugal, Espagne, Suède et Grande Bretagne. Elle est à l’étude dans la plupart des autres pays, à l’exception de la Grèce, Tchéquie, Bulgarie, Irlande, Lituanie, Danemark et Norvège. Mais ce qui étonne le plus, c’est l’apparente absence de concertation ou de tentative d’unification des mesures à l’intérieur de l’Europe. Pas même le plus petit commun dénominateur, ni sur le plan technique –bien que quelques tendances normatives tentent de s’imposer-, ni non plus sur le contenu. Chaque Allemand, par exemple, pourra refuser l’intégration de certaines données biométriques dans la mémoire de la carte –empreintes digitales notamment. Certains pays sont favorables aux cartes lisibles à distance, d’autres estiment qu’une lecture par « contact » est préférable pour limiter les risques d’interception d’informations. La possibilité d’ajouter des données ou non est également un point de désaccord. Si, en général, les données contenues ne sont pas chiffrées, la protection des méthodes de lecture varie également d’un pays à l’autre. Code PIN ou clefs symétriques pour certains, contrôle d’accès par certificat pour d’autres… quant aux contenus biométriques et aux possibilités d’accéder auxdits contenus, là encore, il faut un véritable « mémento du parfait agent Interpol » pour démêler le tien du mien.
Le moins que l’on puisse dire, semble conclure l’Enisa, c’est que l’on a du mal à distinguer la moindre stratégie dans tout cela. Un embrouillamini qui rend encore plus compliqué l’analyse des vulnérabilités et des risques potentiels apportés par cette nouvelle carte d’identité. Falsification du contenu, écoute à distance, attaques Man in the Middle, implications du porteur en cas de compromission de la chaine amont de vérification de l’information (serveur ou document « signé »), compromission de l’identité du porteur en cas de mésusage d’une carte d’identité prêtée (délégation de pouvoir), volée ou perdue, traçage de la personne, profilage du comportement du porteur, utilisation déviante du document comme preuve « de confiance »… au total, l’Enisa détaille 14 des principaux risques liés à l’usage de ce genre de carte. Certains sont probables, d’autres plus complexes à provoquer, mais dans tous les cas, ce n’est probablement là qu’un très vague aperçu des menaces qui planent sur les « eID’s » Européens. Au fur et à mesure que se développera le commerce électronique et les échanges de données, plus les prestataires de ces secteurs exploiteront les capacités numériques de ces nouveaux documents officiels, et plus l’on peut faire confiance dans le génie humain pour contourner ou détourner demain les sécurités mises en place aujourd’hui.
Prudent, l’Enisa évite deux chausse-trappes. En premier lieu, l’Agence évite soigneusement d’opposer les visées politiques et policières qui dictent parfois ce genre de choix. Il faut dire que, dans bien des pays –en Grande Bretagne notamment- les motifs les plus fantaisistes ont été invoqués… y compris la chasse aux terroristes. L’autre écueil à peine effleuré est celui de l’atteinte à la vie privée et à l’étendue des détails personnels qui pourraient être contenus ou ajoutés dans la mémoire de ces cartes.