Le système TES : foire aux questions
Le fichier « TES » est-il susceptible d’être hacké par un groupe d’activistes, ou une puissance étrangère ?
En ce domaine comme dans d’autres, le risque zéro n’existe pas : c’est tout l’enjeu des travaux préparatoires à l’homologation que de déterminer les actions engagées pour réduire ces risques et les risques résiduels acceptables.
Mais précisément, la démarche d’amélioration continue de la sécurité du système « TES », tout comme les mesures prises dans le plan d’action immédiatement mis en œuvre pendant même la durée de l’audit, visent à limiter ces risques.
Toutes les mesures jugées utiles ont été mises en œuvre ou sont en train de l’être. Il faut rappeler également que TES est tenu à distance des réseaux internet ouverts au public, ce qui est, en soi, un élément de sécurité important.
D’autres mesures seront très régulièrement prises pour adapter notre réponse à l’évolution des menaces.
Les « points de faiblesse » identifiés ne remettent-ils pas en cause, de manière générale, la sécurité des systèmes d’information publics ?
Le ministère de l’intérieur est évidemment une cible importante en matière de systèmes d’informations. C’est pourquoi ce ministère, depuis de nombreuses années, a développé une culture de la sécurité des systèmes d’information très importante.
Concernant TES, le rapport confirme que les enjeux de sécurité ont bien été pris en compte par le ministère de l’intérieur.
Des risques ont été identifiés, c’est vrai. Mais il s’agit d’une part de risques dont on peut penser que la portée est limitée, et non de risques majeurs de nature à compromettre la sécurité d’ensemble du système « TES ». En outre, ces risques ont été identifiés dans un contexte très particulier, où toute la documentation relative à « TES » et toutes les clés du système ont été confiées aux auditeurs, qui bénéficiaient par ailleurs de l’appui des services du ministère de l’intérieur.
Enfin, un plan d’action a d’ores et déjà permis de remédier aux risques identifiés.
Mais concrètement, le rapport évoque un test d’intrusion. Est-ce que, oui ou non, ce test d’intrusion a réussi ? Un nouveau test d’intrusion est-il prévu à l’issue de la sécurisation ?
La réalisation d’un test d’intrusion a en effet fait partie des diligences de l’audit. La conduite de ce test a nourri le plan d'actions en cours de mise en œuvre. Vous comprendrez qu'il n'est pas possible de livrer des détails précis ni quant au mode opératoire de ce test ni quant aux conclusions qui en ont été tirées, car c’est un domaine qui relève des secrets protégés par la loi. Mais dans le cadre du processus d’amélioration continue de la sécurité de TES que le ministère entends mettre en œuvre, de tels tests continueront de faire partie des techniques utilisées pour vérifier la sécurité du système et la maintenir à un état optimal.
Le rapport évoque la possibilité de détourner « TES » à des fins d’identification, malgré l’existence d’un lien unidirectionnel entre données alpha-numériques et données biométriques. Quelles sont les mesures prises pour empêcher ce détournement ?
En premier lieu – et c’est très important – le rapport confirme l’existence de ce lien unidirectionnel entre données alphanumériques et données biométriques. « TES » ne peut pas être exploité à des fins d’identification.
Ce n’est en effet qu’en disposant de la clé de déchiffrement de ce lien et en reconstituant la base qu’existe un risque qu’il soit détourné.
A ce sujet, comme pour les autres points soulevés par le rapport, les recommandations sont pleinement entendues et mises en œuvre. Le chiffrement de ce lien sera renforcé, l’analyse des risques approfondie, et les mécanismes de « défense en profondeur » contre un tel détournement seront eux aussi rendus encore plus solides, par exemple, en chiffrant les empreintes numérisées.
Mais surtout l’audit a démontré que, depuis l’entrée en fonctions du fichier « TES », en 2008, aucun cas de dévoiement de l’usage de « TES » n’a été identifié. Nous sommes dans un Etat de droit. Les agents de l’Etat agissent conformément au droit, sous la responsabilité du ministre de l’intérieur. C’est cette vérité simple de l’Etat de droit que le rapport est aussi venu confirmer.
Les recommandations visant à transférer dans un cadre interministériel la gouvernance de « TES » seront-elles prises en compte ?
Le rapport invite à réfléchir à une gouvernance interministérielle des systèmes d’information comportant des données biométriques. Cette recommandation appelle une réflexion approfondie. Elle dépasse d’ailleurs largement le seul système d’information « TES ».
Si le rapport évoque cette évolution possible, il indique dans le même temps, que pour des motifs de sécurité, il convient de limiter autant que possible le nombre d’intervenants dans la gouvernance des systèmes d’information qui concernent le domaine de l’identité.
Depuis plusieurs mois, les ministres de l’intérieur successifs ont souhaité faire œuvre de transparence et souhaité non pas étouffer, mais contribuer au débat public. En rendant public ce rapport et en modifiant le décret du 28 octobre 2016, il aura été largement tenu compte des conclusions de ce débat public.
La gestion de l’identité par le ministre de l’intérieur est-elle satisfaisante ? Les présidents des commissions des lois l’Assemblée nationale et du Sénat, rencontrés encore ce jour par le ministre de l’intérieur, ont pu mesurer la disponibilité des ministres successifs de l’intérieur pour contribuer au débat sur ce sujet.
L’objectif poursuivi par cette réforme reste avant tout de simplifier les démarches et de mieux protéger les Français du risque de fraude et de celui d’usurpation d’identité, qui entraîne des difficultés terribles pour ceux qui en sont victimes.
Le rapport évoque la possibilité de remplacer les empreintes par des gabarits, pour diminuer les risques auxquels ces données personnelles sont exposées, y-sera-t-il donné suite ?
Le rapport propose, à moyen et long terme, des pistes de réflexion qui vont être examinées.
L’évolution qui consisterait à conserver les données biométriques non pas sous la forme de données brutes, mais sous celle de gabarits, c’est-à-dire des points caractéristiques du doigt, au lieu d’une empreinte digitale complète va être scrupuleusement étudiée.
Mais il importe qu’une telle solution donne une assurance raisonnable pour authentifier l’identité d’une personne, à l’occasion d’une demande de renouvellement de titre, d’un contrôle aux frontières, ou encore dans les cadres judiciaires ou de la prévention et de la lutte contre le terrorisme. Il faudra en outre examiner si une technologie sûre est disponible, en évaluer le coût et la compatibilité avec les normes techniques internationales et européennes.
Le rapport suggère la création d’un second fichier « TES », dédié au traitement des réquisitions judiciaires. Y-sera-t-il donné suite ?
Le rapport propose, à moyen et long terme, des pistes de réflexion que nous allons examiner.
Celle qui évoque la création d’un deuxième fichier « TES », réservé, cette fois, à des usages de police judiciaire sera étudiée. Cette orientation se comprend en complément de celle esquissée sur les gabarits. Il s’agirait, dans l’hypothèse où les gabarits seraient retenus, de néanmoins conserver la totalité des empreintes numérisées, dans un fichier dédié et distinct, pour pouvoir continuer de s’en servir, par exemple, pour identifier avec une certitude totale l’identité de victimes d’attentats, comme ce fut le cas à Nice en juillet dernier. Le ministère de l’intérieur est par principe favorable aux innovations qui permettent d’améliorer les conditions d’authentification de l’identité d’auteurs d’infractions, de délits ou de crimes, ou encore à celles qui faciliteraient l’identification de victimes.
Mais il convient aussi d’être très prudent. Les inquiétudes de certains parlementaires, d’acteurs de la société civile et de la CNIL conduisent en effet à mesurer la très grande sensibilité de ces questions de conservation et d’accès à des données personnelles biométriques. Par bien des aspects, ce second fichier « TES » s’apparenterait à un fichier de police, servant de base d’identification. Ce n’est précisément pas du tout ce que le Gouvernement a souhaité instituer, d’une manière aussi systématique, par respect des libertés individuelles et en conformité avec la jurisprudence du Conseil constitutionnel de 2012. Il faut donc examiner scrupuleusement cette orientation, mais méticuleusement en prenant le temps nécessaire, sans hâte, car ce sujet est très sérieux.
Le rapport indique que la centralisation des données biométriques pour la carte nationale d’identité n’a pas actuellement un intérêt direct pour leur gestion. Pourquoi s’entêter et décider tout de même de la centralisation de ces données ?
La conservation des empreintes digitales des demandeurs de CNI ou de passeport dans une base centralisée répond à une finalité d’authentification du demandeur d’un titre. Authentifier, c’est s’assurer que c’est bien la même personne, par comparaison des données enregistrées sous une même identité, qui sollicite la délivrance ou le renouvellement de son titre. C’est ainsi que l’on prémunit les usagers du risque d’usurpation d’identité.
La fonctionnalité permettant d’automatiser ces contrôles de concordance, dès le dépôt de la demande, est déjà mise en oeuvre pour le passeport. Comme indiqué à la CNIL, il était prévu d’étendre cette fonction aux cartes nationales d’identité.
Par ailleurs, une base centralisée permet, comme le note justement le rapport, de bénéficier d’un ensemble d’autres dispositifs permettant d’améliorer la lutte contre la fraude, de simplifier les procédures pour les usagers et d’améliorer l’efficience du service public. Tels sont bien les objectifs poursuivis par cette réforme.
Le rapport suggère de réfléchir à la constitution d’un registre ouvert qui permettrait à un usager de savoir qui a consulté son dossier. Y sera-t-il donné suite ?
Sur ce point, je note la prudence du rapport lui-même. Cette hypothèse mérite une expertise approfondie, notamment sur le plan de sa faisabilité juridique. Il n’est pas possible à ce stade de s’engager sur une telle orientation de principe, dans un contexte de menace terroriste élevée, où je le rappelle, de nouvelles dispositions garantissant l’anonymat des forces de l’ordre sont étudiées.
Les forces de police ont-elles accès aux données contenues dans TES ?
Pour être précis, seuls certains agents habilités des forces de sécurité, hors réquisitions judiciaires, accèdent au traitement TES, conformément à l’article 4 du décret du 28 octobre 2016.
Il s’agit :
- des agents de la direction centrale de la police judiciaire chargés des échanges avec Interpol et les Etats membres de l’espace Schengen pour gérer les suites réservées aux signalements des CNI et passeports perdus, volés ou invalidés dans ces bases internationales ;
- des agents en charge de la lutte anti-terroriste, par application de l’article L 222-1 du code de la sécurité intérieure.
Dans ce cadre très précis, les agents accèdent aux données d’état-civil ainsi qu’à la photographie, mais jamais aux empreintes digitales.
Par ailleurs, les forces de l’ordre disposent d’un autre traitement, DOCVERIF, alimenté par le traitement TES, leur permettant de vérifier la validité d’un titre par utilisation du numéro de document. En cas de réponse négative (document invalide), l’état-civil et le motif de l’invalidité sont alors accessibles. Mais il n’y a jamais, non plus, dans ce cadre, accès aux données biométriques, seulement une information sur la validité du titre.
Enfin, dans le cadre d’une réquisition judiciaire fondée sur le code de procédure pénale, l’accès aux données du traitement s’effectue de manière indirecte : les autorités judiciaires reçoivent communication de la donnée via un agent de l’Agence nationale de titres sécurisés habilité à accéder au traitement.
Beaucoup d’acteurs – comme le conseil national du numérique ou encore la commission nationale « Informatique et libertés » - ont regretté l’occasion manquée de lancer un grand débat sur l’identité numérique, voire un outil d’identification numérique comme c’était le projet de la carte nationale d’identité électronique en 2012.
Le projet actuel ne vise pas à contourner les inconstitutionnalités relevées en 2012 mais au contraire s’y conformer strictement. Il ne vise pas non plus, de manière incidente, à créer une identité numérique. Au contraire, la carte nationale d’identité conserve le même format qu’à l’heure actuelle. Ce projet vise ainsi à permettre une délivrance modernisée de titres par ailleurs inchangés dans leur format.
Pour autant, le rapport rappelle l’intérêt de promouvoir une identité numérique pour les citoyens français. Le ministère de l’intérieur est d’ailleurs pleinement engagé dans ce chantier. Il l’est dans la démarche d'Etat plate-forme autour des identités numériques mises à disposition par France Connect. Plusieurs téléservices sont ainsi accessibles grâce à une authentification des personnes au moyen de leur identité numérique de France Connect : c'est le cas de la consultation du solde des points du permis de conduire ou, plus largement, des comptes permettant d'effectuer des procédures en ligne pour le permis de conduire, le passeport et la carte nationale d'identité.
Mais ce projet n’est pas « TES », c’est un autre projet.
Le rapport n’évoque pas le consentement des usagers au versement de leurs empreintes digitales dans TES : est-ce à dire que l’on revient sur l’engagement de Bernard CAZENEUVE ?
En aucune façon. Bernard CAZENEUVE s’était engagé à rendre le rapport public : il vient de l’être. Il s’était engagé à suivre toutes les préconisations qui amélioreraient la robustesse de l’application et à les mettre en œuvre avant toute généralisation : le ministre en a décidé ainsi. S’agissant du consentement des Français à voir leurs empreintes versées dans TES dans le cas d’une demande de carte nationale d’identité (et dans ce seul cas, car ce versement est obligatoire depuis 2008 s’agissant d’un passeport et le restera), le principe a été annoncé dans une conférence de presse commune entre Bernard CAZENEUVE et Axelle LEMAIRE en novembre. Il a naturellement été immédiatement mis en œuvre, sans qu’il soit besoin de le reconfirmer à nouveau. Les engagements pris sont pleinement respectés. Ainsi, un projet de décret en Conseil d’Etat a été élaboré et adressé à la CNIL dès la mi-décembre et le formulaire administratif qui permettra aux agents de mairie de recueillir, demain, dès lors que le décret aura été édicté, ce consentement est d’ores et déjà élaboré.
Allez-vous procéder à la généralisation du recours à « TES » pour la délivrance des cartes nationales d’identité ?
Les conclusions de l’audit de sécurité de « TES » et la prise en compte de l’ensemble des recommandations du rapport dans un plan d’action en cours de mise en œuvre, ainsi que l’aboutissement prochain de la procédure d’homologation de « TES » au titre de la sécurité des systèmes d’information, permettent d’envisager la généralisation de l’utilisation de « TES » pour délivrer des cartes nationales d’identité.
A cet égard, le retour d’expérience des deux sites pilotes de cette réforme, dans le département des Yvelines et la région Bretagne, est très satisfaisant.
La généralisation de cette réforme pourra donc s’opérer de fin février à fin mars, dès lors que toutes les conditions préalables auront été réunies pour l’homologation.