La technologie a réussi à se hisser dans les moindres aspects de nos vies. Tout ce qu’on utilise prend une allure digitale, plus moderne et nettement plus sophistiquée. La numérisation serait, selon le bon sens, la priorité des engagements. Prochaine étape, les documents d’identité biométriques, notamment le passeport et carte d’identité nationale. Ce terme soulève de la méfiance conjuguée à de la curiosité. Tant de forces que de faiblesses sont présentées par cette technologie. Focus.

Si l'on devait définir la biométrie, il s’agit de mettre tout types d’identifiants pour les cartes de crédits, pour les boîtes mails, immeubles… sous scellé. La clé de ce scellé serait notre corps par le biais d’empreintes digitales ou rétiniennes. Ainsi, tout type d’intrusion et de piratage connaitra un échec cuisant. En d’autres termes, l’identifiant est irréplicable. Plus encore, le vol de ces objets ne mène à rien puisqu’ils ne s’activeront qu’à la présence de leurs maîtres.

La lecture d’empreintes digitales est une fonctionnalité déjà présente dans plusieurs véhicules, une technologie utilisée par le constructeur Daimler. Il va de soi que le secteur de la téléphonie suive cette tendance. En matière de biométrie, l’empreinte digitale reste le seul refuge d’authentification. D’ores et déjà, tous les passeports émis par les pays avancés sont biométriques.

Qu’est-ce la biométrie?

D’abord, il est important de faire la différence entre la biométrie physiologique et la biométrie comportementale. Les principales données biométriques physiologiques utilisées par la technologie actuelle comprennent les empreintes digitales d'une personne, la géométrie de la main, la forme du visage ou le motif des yeux.

Les principales données biométriques comportementales comprennent le comportement Web d'une personne et les cookies Internet, les adresses IP, la reconnaissance vocale ou la manière dont une personne est susceptible d'agir - à la fois en ligne ou dans le monde réel. Les traits physiologiques et comportementaux peuvent être stockés en tant qu'entrées qui sont converties en données pour créer des profils d'utilisateurs uniques.

Cette sophistication assure une haute sécurité et assurance dans le sens où l'identification biométrique aide à vérifier son identité. Elle devient ainsi difficile à usurper et à voler. Il n'y a aucune chance, par exemples, que votre empreinte digitale corresponde exactement à celle de quelqu'un d'autre.

Toutefois, une technologie mal comprise sera une technologie certainement moins acceptée. Les facteurs prolongeant ce retard ne sont autres que les coûts élevés conjugués à une peur bleue de perdre les libertés de circulation et le droit à l’anonymat.

Il va sans dire que cette carte présente plusieurs avantages. Alors que les données biométriques et l'authentification sont intensifiées et adoptées dans tous les aspects de la vie moderne, des questions se posent sur la sécurité et la confidentialité des utilisateurs consommateurs qui fournissent des données biométriques aux entreprises et aux gouvernements, ainsi que sur les objectifs de leur utilisation.

Le dessous des cartes

Il serait très facile de parler de carte d’identité biométrique sans parler des inconvénients qui planent. Et ces derniers se veulent contraignants et dissuasifs. A commencer par les coûts et les investissements à consentir pour assurer la sécurité des données. Malgré ça, la base de données biométriques peut toujours être piratées si les failles ne sont pas corrigées.

D’ailleurs, les appareils biométriques comme les systèmes de reconnaissance faciale peuvent limiter la confidentialité des utilisateurs. Et finalement la technologie n’est pas parfaite et elle est sujette aux faux positifs et inexactitudes. En effet, de faux rejets et de fausses acceptations peuvent encore se produire, créant un aléa moral.

La Carte d'identité biométrique, une aubaine mais...

En Tunisie, depuis 2015, un projet de loi pour l’émission de cartes d’identité biométriques traine dans les couloirs de l'Assemblée des Représentants du Peuple. Après une levée de boucliers de la part de la société civile, le projet revient aujourd'hui au devant de la scène porté par plusieurs députés. Mais comprendre les dessous des cartes et formuler une loi qui protège la population est un impératif. Chawki Guedes, président de l’Instance nationale de protection des données personnelles (INPDP), revient sur ces hautes priorités et les carences à éviter au niveau législatif.

"Le projet a débuté en 2015, quand le ministère de l'Intérieur a commencé à mener une réflexion sur l'identification biométrique. Nous avons suivi le process et nous avons donné notre avis sur les questions techniques mais aussi la protection de données" a lancé Chawki Guedes.

Au moment de l’introduction de ce texte à l'Assemblée en 2016, il fait l'objet de plusieurs remarques de l’INPDP, qui participa à une audition parlementaire. "On a expliqué le problème que soulevait cette carte d'identité biométrique d'après le texte et le cadre juridique. Le gouvernement a ainsi retiré le projet en 2018. Depuis, le projet est resté sans suite jusqu'à l'année dernière où il y a eu une nouvelle réunion avec le ministère de l'Intérieur" a-t-il expliqué.

Selon Chawki Guedes, un avantage réel peut être tiré par les cartes d’identité biométriques par rapport à la numérisation de l'économie et de la société. Et d’ajouter: "la carte d'identité biométrique est un besoin primordial. L'on ne peut avoir une administration numérisée ou une économie numérique sans cette technologie. Toutefois, il ne faut pas se jeter dedans de cette manière. Des balises sécuritaires doivent être établie. C’est un investissement à consentir certes mais on en a besoin pour notre économie".

Pour ce qui est du passeport biométrique, il se trouve qu’on est dans l'obligation de l’émettre. A la fin de cette année, il sera impossible aux Tunisiens d'entrer dans certains pays, comme par exemple aux Etats-Unis sans un passeport biométrique. L'organisation internationale de l'aviation (OATA) a prévenu que c'était une obligation. Et ce, parce que les aéroports s'automatisent et les douaniers sont remplacés par des SAS.

Toutes les données biométriques seront ainsi stockées dans une carte à puce, une création française. "La puce qui se trouve dans la carte d'identité se doit d'être une puce à lecture contact. On ne doit instaurer des cartes d'identité biométriques dont la lecture peut être effectuée à distance. A l'instar du passeport biométrique qui peut être lu à distance. Ceci ouvre la voie de l'espionnage et de l'intrusion des autorités sur nos vies privées. Toutes ces conditions doivent être formulées dans le projet de loi. Ce qu'on veut c'est protéger la vie privée de la population" a-t-il soutenu.

La technologie, lourde en termes d'investissements, rien qu'avec la mise à mal du dinar tunisien, risque de coûter cher. Il va falloir aussi doter tous les centres de confection des cartes d'identité, au niveau de chaque gouvernorat, ainsi que les forces de l'ordre de tablettes pour pouvoir lire ces cartes sur place. Et puisque le projet traîne depuis 2015, tous les chiffres prévus dés lors seront à revoir et à actualiser selon les prix et les taux de change actuels.

Une sécurité de données quasi-inexistante


"L'état des lieux est médiocre au niveau de la sécurité des données. On avait créé une agence nationale de la sécurité informatique en Tunisie 5 ans avant la France. On a créé l'ANSI et obligé tous les gestionnaires de systèmes d'informations à faire de l'audit de sécurité légal et obligatoire" a martelé le Président de l’INPDP.

Selon le décret, réaliser un audit annuel est un devoir. Sur le volet réel, de nos jours, personne ne réalise d'audit. Et ce, car la loi ne prévoit aucune sanction pour les infractions. "Si on ne met pas en place l'audit obligatoire de sécurité informatique, il n'y aura aucune sécurité assurée aux systèmes d'informations nationaux. Ce qui explique la présence de ransomwares et des systèmes informatiques piratés" regrette-t-il.

Selon ses dires, même les données de la Caisse nationale de l'assurance maladie peuvent être piratées et tomber entre de mauvaises mains, y compris celles des personnalités publiques. Pourtant, aucun audit n'est réalisé. Plus encore, les systèmes de sécurité de la Banque Centrale ainsi que celle des ministères ne sont pas audités. "Tant qu'on ne fait pas de l'audit de sécurité systématique dans tous nos systèmes d'informations, nous resterons un Etat qui ne sécurise pas les données de ses citoyens et resterons vulnérables à toute intrusion des pirates informatiques" a-t-il prévenu.

Et d’appeler à ne pas tomber dans le piège comme cela s'est passé en Inde. Lors de l'instauration de l'identité biométrique, les autorités indiennes se sont fait voler les données - piratage et internet aidant. Aujourd'hui, toute la base de données se vend sur le Dark Web. "Si on n'arrive pas à sécuriser les données, nous mettons en péril la sécurité de notre population. Les dégâts peuvent être considérables et toucher n'importe qui même au plus haut sommet de l'Etat" a-t-il conclu.