...et dans le contrôle des populations, puisque toutes les données biométriques du passeport sont centralisées, malgré l'avis négatif de la CNIL. Il faut dire que la loi informatique et libertés a été révisée en 2004. La nécessité d'un "avis conforme" de la CNIL a été supprimée pour les fichiers de police et les fichiers administratifs. Son rôle est devenu purement consultatif. A titre de compensation, la loi a institué l'obligation de publier l'avis de la CNIL à côté des décrets relatifs. Mais cette disposition n'a même pas été respectée dans le cas présent.
Tel est le prix à payer pour notre sécurité, entend-on partout. Oui, sauf que d'une part les fameux passeports ont déjà été crackés de nombreuses fois. En fait il est relativement aisé de lire les données contenues dans le puce RFID. Cette fameuse puce, donc, l'apporte aucune garantie supplémentaire de sécurité. La grande garantie, parait-il, c'est le fichier, c'est le fait de centraliser toutes les empreintes digitales de tous les citoyens. On pourra dans les zones équipées d'une connexion au fichier, comparer les empreintes des passeports à celles du fichier. Les fraudeurs seront donc immédiatement démasqués. Mais comme les fraudeurs ne sont pas plus stupides que les polices, il le savent et ils vont tenter de contourner le problème. Techniquement, ce n'est pas extrêmement compliqué. Il est assez facile de récupérer une empreinte digitale et d'en affubler discrètement son doigt. Nous déposons nos empreintes partout. Tous les endroits où nous utilisons notre passeport deviennent ainsi des lieux où nos empreintes peuvent être relevées pour fabriquer des faux. Dans tous les hôtels du monde, par exemple. Pour ceux qui veulent s'amuser à contrefaire le passeport le plus sûr de l'histoire, voilà comment faire.
D'abord récupérer l'empreinte et en faire une fausse à appliquer sur son doigt.
Ensuite reproduire la puce RFID de façon à y inscrire les informations conformes.
Cette opération a nécessité 4 heures en novembre 2006. Elle ne pourra pas fonctionner "à la volée" tant qu'une méthode assez rapide n'aura pas été trouvée. Mais pour info, sachez que le passeport britannique hacké en 4 heures était censé résister 24 heures... Et tout cela sans compter sur les failles de sécurité qui peuvent grandement accélérer l'opération, comme dans le cas du passeport belge. Sans compter, aussi, sur les lecteurs RFID ultra-sensibles qui savent lire une puce à une distance de dix mètres... donc de l'autre côté du mur de votre chambre, pendant que vous dormez par exemple.
Les plus chevronnés pourront aussi tenter d'accéder par effraction au fichier central : une action de hack et ce sont des milliers de passeports qui pourront être fabriqués d'un coup. Les cas de hack par des passionnés des systèmes les plus sophistiqués (banques, sites militaires sécurisés) sont légions.
Mais d'autres problème vont se poser. Comment faire lorsque les données de votre passeport et celles de la base de données auront été intégralement collectées ? Il y aura deux empreintes de doigt sur le passeport, et 8 dans la base de données. On pourra donc refaire un passeport avec d'autres empreintes en cas de fraude avérée. Mais que faire si toutes les empreintes ont été falsifiées, ou s'il y a eu accès à la base de données ? Sans compter qu'il vous faudra commencer par prouver que les traces laissés par votre double sont bien le fait d'une contrefaçon et n'ont rien à voir avec vos propres agissements. Cela augure de belles erreurs judiciaires...
En un mot, la plupart des spécialistes de la sécurité n'hésitent pas à affirmer que ces nouveaux passeports sont une véritable aubaine pour tous les amateurs de contrefaçon. Tous les spécialistes insistent en général sur l'illusion d'une sécurité totale. Tous les systèmes de protection peuvent être détournés, tous l'ont été et tous pourront l'être.
Après une période initiale de recherche, tous les systèmes finissent par être violés et détournés. Dans le cas du passeport électronique biométrique, la situation est pire : elle facilite le piratage. Quel que soit le futur niveau de sécurité déployé, on sait qu'il sera finalement contourné. Que restera-t-il alors, de ces nouvelles mesures ? Un gigantesque fichier qui répertorie les empreintes digitales de tous les citoyens occidentaux, ainsi qu'une partie de leurs déplacements. Le ministère de l'intérieur français rétorque à de telles inquiétudes qu'il n'est pas prévu (pour le moment) d'opérer des comparaisons d'empreintes, donc de mener des recherches sur un individu en croisant les données avec d'autres fichiers. C'est feindre d'ignorer qu'en matière de recoupement de fichiers Sarkozy fait fort, et qu'il a déjà, dans le passé, considérablement accru les prérogatives de fichiers de police de façon très silencieuse, comme ce fut le cas en 2003. Alors ministre de l'intérieur il a ouvert le fichier national automatisé des empreintes génétiques, créé pour répertorier les criminels sexuels, à toute la population (victimes, témoins, suspects, même pour de simples larcins, même pour des enfants).
C'est feindre, aussi, d'ignorer la technique des dérivation de fichiers, pratiqué par les RG de manière à récupérer et croiser illégalement des informations. Typiquement, il suffit par exemple d'une complicité dans une entreprise de maintenance ou d'exploitation, pour profiter de la mise à jour d'un driver et installer quelques lignes de code qui enverront silencieusement toutes les données collectées par un fichier, vers un autre fichier, celui des RG. Celui-ci, officieux et illégal, sera conservé sans limite de durée et recoupé sans pudeur. Les services de renseignements sont même capables d'opérer sans aucune complicité, comme par exemple dans le cas des faux plombiers (agents de la DST) venus poser des micros au Canard Enchainé en 1973... De nous jours, cette technique est largement utilisée, par exemple pour récupérer les informations collectées par les fournisseurs d'accès à internet. Il serait étonnant que les services de renseignements ne tentent pas de récupérer les données du pass navigo nominatif, qui enregistre tous les déplacements des usagers des transports en commun en Ile de France ; mais aussi celles des passeports électroniques et des passages aux aéroports...
Le bilan de cette affaire de passeports, c'est que l'on a encore perdu un peu de nos libertés individuelles... Je ne vois pas comment on évitera l'incorporation, un jour prochain, des données génétiques aux passeports ; puis les prélèvements d'ADN à la naissance. C'est d'ailleurs ce qu'a préconisé, le 15 janvier 2007, Christian Estrosi, lors d'une réunion européenne.
En attendant, ce mariage de la biométrie et des puces RFID va ouvrir la voie à de sympathiques réjouissances, comme par exemple cette formidable idée de créer des mines antipersonnelles qui ne s'activent que pour blesser des citoyens américains... certains vont adorer...