Les cartes d'identité belges sont équipées d'une puce, comme une carte de banque. Je crois que la pratique est d'ailleurs appelée à se généraliser en Europe.
Le côté intéressant et novateur de la démarche c'est que ces cartes servent de certificat numérique. C'est-à-dire que l'Etat Belge a réalisé quelque chose qui, dans les milieux spécialisés, paraissait de la pure science-fiction il y a seulement dix ans (croyez-moi, j'ai participé à pas mal de réunions sur le sujet) : mettre un certificat numérique dans la main de tous ses citoyens. Bravo.
Ca peut paraître geek mais la disponibilité (ou plutôt la non-disponibilité) de certificats individuels est reconnu comme un frein majeur à la mise en oeuvre de services réellement sécurisés sur Internet. La Belgique a assez de retard en Internet large bande, Internet mobile et autres que pour souligner ce qui est franchement une belle réalisation.
Le certificat est d'ailleurs parfaitement compatible avec MacOS et les divers navigateurs, on peut l'utiliser pour s'identifier sur n'importe quel site web... sauf que l'identification est aussi sûre qu'une carte d'identité ou un passeport. C'est donc la forme d'identification la plus sûre.
Un petit bémol, le logiciel à installer pour cela est d'une laideur à faire pâlir. Il choque tellement mon sens de l'esthétique que je préfère ne pas l'installer mais passons.
Mais venons-en à l'objet de cette note, je suis allé chercher ma nouvelle carte ce matin à la Maison Communale de Namur et j'ai été tout simplement choqué par la procédure utilisée. Bien entendu, il faut activer le certificat de la carte à l'aide d'un code identifiant unique. Ce code est envoyé par la poste, sous pli fermé, comme pour une carte de banque.
Or l'employée communale a purement et simplement pris le pli, l'a ouvert, a lu le code et a elle-même identifié ma carte. Pour autant que je puisse en juger, c'est la procédure standard puisque le lecteur de carte n'était clairement pas installé pour le public.
C'est choquant parce que cette petite faute de procédure, qui semble bénigne, remet en cause tout l'édifice. C'est un peu technique, donc pardonnez-moi par avance, mais la raison d'être d'un certificat numérique est de pouvoir identifier la personne. En l'occurrence, avec la carte d'identité, l'identification se fait sur base de deux choses : la possession d'un objet unique (la carte) et la connaissance d'un secret (le code). Or, dans la procédure d'activation, l'employée prend connaissance du secret... qui n'est donc plus un secret.
Il lui suffit maintenant à cette employée de subtiliser ma carte quelques heures pour usurper frauduleusement mon identité. Avant que vous ne me traitiez de paranoïaque, la littérature est pleine d'exemples d'attaques informatiques similaires.
Mais j'irais plus loin. Cette désinvolture sur le code secret, lance un très mauvais message à la population. Or on sait qu'un grand nombre d'attaques sont le fait d'utilisateurs qui ne gardent pas secret leur code ou leur mot de passe. Or ici l'administration m'a communiqué, par les faits, que ce secret n'était pas très important. Combien de citoyens donneront de la sorte, en toute bonne foi, leur code à des parents, des amis voire à des tiers, parce qu'ils l'auront vu faire à l'administration ?
Il aurait pourtant été simple de disposer d'un lecteur de carte sécurisé (similaire aux terminaux bancaires) et d'inviter le citoyen (moi en l'occurrence) à saisir le code lui-même. Ça aurait été simple et ça aurait été l'occasion d'insister sur l'importance, par les gestes et peut-être même par la parole, du respect du secret.
Je n'en veux pas à l'employée communale qui se contente sans doute d'appliquer une procédure mal conçue (ou qui a pris une initiative parce qu'elle a été mal informée et encadrée). Je sais que dans tout projet de ce type, il y a des erreurs (j'ai des batteries d'anecdotes amusantes) par contre je constate qu'il y a au minimum un défaut d'audit de l'administration.
Déclencheur partenaire de “La Photographie”
Déclencheur est maintenant partenaire de "La Photographie" sur Facebook. Le lieu de partage de photo convivial sur Facebook.
Nouvelle boutique plus conviviale
Achetez une émission, pendant un mois, elle sera déduite si vous passez à une adhésion trimestrielle ou annuelle. Essayez Déclencheur Gold !
Déclencheur Gold à moins de 5 euros/mois
Plus de trois fois plus de temps d'antenne, uniquement pour les membres Déclencheur Gold. Pourquoi s'en priver ?
Cela doit donc plustot être un problème d'application de procedure.