Depuis le 2 août, les citoyens français qui renouvellent leur carte d’identité vont la recevoir sous un nouveau format tel que défini par le règlement européen UE 2019/1157 du 20 juin 2019. De la taille d’une carte bancaire, elle dispose d’une puce électronique qui stocke des données personnelles, et notamment biométriques, de la personne. À savoir :
- Les données d’état civil (nom, prénoms, date et lieu de naissance, sexe, taille, nationalité)
- L’adresse de domicile ou de résidence
- La date de délivrance et la date de fin de validité du titre
- Le numéro de la carte
- Une image numérisée du visage
- Les images numérisées des empreintes digitales de deux doigts
Toutes ces données sont accessibles sans contact. C’est en effet l’une des contraintes du règlement européen. « Conformément aux exigences mentionnées à l’article 3 du règlement européen précité et en particulier aux alinéas 5 et 6 de cet article, la nouvelle CNI comporte un composant électronique hautement sécurisé intégrant la technologie NFC permettant la lecture sans contact », nous a précisé le ministère de l’Intérieur.
Une faible entropie…
Toutefois, il ne faut pas avoir (trop) peur de se faire siphonner ces données par des lectures sauvages, comme cela est possible avec les cartes bancaires. Différents contrôles d’accès ont été intégrés pour s’en prémunir. Le premier est baptisé « Basic Access Control » (BAC) et permet de lire toutes les données de la puce, sauf les empreintes. Pour cela, le terminal doit extraire un code spécial des informations situées dans la bande MRZ au verso de la carte. L’opérateur du terminal peut également rentrer le « card access number » (CAN) qui se trouve au recto de la carte. Ce code permet également de générer une clé de session utilisée pour chiffrer les échanges entre la puce et le lecteur.
Le but de la manœuvre est simple : sécuriser les données de la carte en obligeant à la détenir physiquement pour pouvoir accéder aux informations stockées sur la puce. Cela réduit donc le risque d’une lecture sauvage. « Mais celle-ci n’est pas impossible. Un tel code d’accès peut être cassé par force brute en quelques minutes », nous indique Renaud Lifchitz, expert en sécurité.
En effet, l’entropie de ce code spécial est faible, limitant le nombre de combinaisons possibles. Un pirate qui arrive à rester suffisamment de temps à proximité d’une carte d’identité pourrait donc extraire en douce ces données. Pour la même raison, un pirate pourrait intercepter les échanges et casser la clé de session pour les déchiffrer.
… mais une double authentification
C’est pour cette raison que les organismes de standardisation veulent remplacer BAC par un autre protocole baptisé PACE (« Password Authenticated Connection Establishment ») qui est beaucoup plus solide, mais qui nécessite de changer les équipements de lecture. Comme cette migration est en cours, les deux modes ont été implémentés dans la puce.
A la différence des données d’état civil (qui sont de toute façon lisibles sur la carte) les données d’empreintes sont extrêmement bien protégées. L’accès nécessite, en plus du code d’accès, une authentification mutuelle entre la puce et le terminal de lecture. Ce procédé est appelé « Extended Access Control » (EAC) et se fait par l’intermédiaire de certificats électroniques. Seuls des terminaux autorisés par l’État français peuvent donc accéder aux données d’empreintes d’une carte d’identité.
A quoi servira cette puce ?
Le but principal de la puce de la carte d’identité, c’est de lutter contre la fraude documentaire et l’usurpation d’identité, car elle permet de vérifier que les données qui figurent sur la carte sont exactes. En effet, les données de la puce sont signées par l’État français. Pour créer une fausse puce, il faudrait avoir la clé privée utilisée par les services français, ce qui est impossible.
À l’heure actuelle, cette puce servira essentiellement lors des passages de frontières et durant les contrôles par les forces de l’ordre. « À terme, l’objectif sera de permettre au citoyen d’utiliser cette carte avec puce comme preuve de son identité pour s’authentifier en ligne », peut-on lire sur le site web de l’Agence nationale des titres sécurisés (ANTS). Un tel usage faciliterait les démarches administratives sur Internet.
C’est d’ailleurs ce qui se fait depuis des années en Allemagne, où la carte d’identité avec puce existe depuis 2010. Les citoyens peuvent utiliser leur smartphone et une application mobile baptisée « AusweisApp2 » qui permet de s’authentifier pour réaliser des démarches en ligne : demande de carte grise, demande d’aide financière pour les étudiants, accès aux dossiers de la Stasi, etc. Il est même prévu que les citoyens allemands puissent, à terme, ajouter un certificat dans la puce de leur carte d’identité afin de pouvoir réaliser des signatures électroniques. En France, malheureusement, nous sommes encore loin de ce niveau d’usage.
Sources: Ministère de l’Intérieur, ANTS
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.