Risque de vols d'identité : l'Estonie suspend les certificats de sécurité de 760.000 cartes d'identité

Arrêt sur image d'une vidéo promotionelle video sur les cartes d'identité estoniennes du site gouvernemental e-Estonia.com.

Le 4 novembre 2017, les autorités estoniennes ont désactivé les certificats de plus de 760.000 cartes nationales d'identité électroniques à cause d'une vulnérabilité de sécurité qui a pu compromettre les cartes émises entre le 16 octobre 2014 et le 26 octobre 2017, voire avant.

Davantage que la plupart des autres pays, l'Estonie se fie au numérique pour de nombreux services de base, comme la délivrance des médicaments sur ordonnance, le vote, les virements bancaires et les signatures électroniques. De fait, 98 % des Estoniens possèdent une carte d'identité qu'ils peuvent utiliser comme justificatif pour voyager à travers l'Europe, accéder à l'assurance santé et payer leurs impôts. Les cartes d'identité numériques ont été mises en place en 2002 et sont devenues la pierre angulaire des e-services du pays. L'Estonie a les services à haut débit parmi les plus rapides du monde, et a instauré une culture numérique solide, une connectivité internet et une e-governance largement répandues.

Le logiciel de sécurité des cartes d'identité suspendues sera remplacé par un nouveau, plus sécurisé, dans le cadre de l'action nationale contre le risque de brèche dans la vie privée. Ces certificats ont été désactivés lorsqu'un groupe de chercheurs de République Tchèque ont identifié une faille de sécurité dans les puces des cartes, qui aurait pu conduire à des fuites majeures de données personnelles des citoyens. Ces chercheurs ont découvert que les puces installées dans les cartes d'identité émises entre le 16 octobre 2014 et le 26 octobre 2017 (mais peut-être dès 2012) étaient vulnérables aux pénétrations de clés privées comme publiques et à de potentiels vols d'identité.

Les puces étaient fabriquées par Infineon, une entreprise de microélectronique ayant son siège aux États-Unis et en Allemagne, qui fournit des services d’identification administrative, de sécurité mobile et d'informatique de confiance et de sécurité incorporée.

Le gouvernement estonien affirme qu'aucune pénétration n'a encore eu lieu, et que les autorités ont désactivé les cartes d'identité concernées par mesure de précaution pour s'assurer de l'absence de tout dommage aux données des citoyens. Pour garantir la continuité de fonctionnement de l'e-gouvernement, 35.000 personnes selon les estimations, qui utilisent leur carte d'identité pour leur travail, comme les fonctionnaires et les médecins, ont reçu en priorité une mise à jour avec une version plus sûre.

Le 2 novembre 2017, le Premier Ministre Jüri Ratas faisait cette déclaration :

E-riigi toimimine püsib usaldusel ning riik ei saa lubada Eesti ID-kaardi omaniku identiteedi vargust. Praeguse teadmise järgi ei ole e-identideedi vargust aset leidnud, kuid PPA ja RIA ohuhinnang näitab, et see oht on muutunud reaalseks.

Le fonctionnement d'un e-État est basé sur la confiance, et l’État ne peut pas se permettre qu'un vol d'identité arrive à un détenteur d'une carte d'identité estonienne. A notre connaissance actuelle, il n'y a pas eu de cas de vol d'e-identité, mais l'évaluation du risque de la police et du Comité de surveillance des frontières ainsi que de l'Autorité du Système d'information indiquent que la menace est devenue réelle.

Le risque de sécurité dévoilé par les spécialistes tchèques ne se limite pas aux cartes d'identité estoniennes. Vraisemblablement, tous les jeux de puces produits par Infineon pendant ce laps de temps portent la même faille. C'est pourquoi tous les systèmes informatiques dans le monde qui utilisent les puces d'Infineon sont aussi en danger de se faire infiltrer. Une vulnérabilité qui illustre les graves problèmes de sécurité qui accompagnent la numérisation des cartes et systèmes nationaux d'identité.

Toomas Hendrik Ilves, le précédent Président de la République d'Estonie (2006-2016) a participé à la discussion dans les médias en laissant entendre sur Twitter que le “fond de l'histoire” pourrait relever de Gemalto, le fabricant des cartes, qui semble n'avoir pris connaissance de la vulnérabilité qu'en février, mais n'en a pas informé ses clients. Les cartes électroniques d'identité estoniennes sont fabriquées depuis 2001 par Trub AG et son successeur Gemalto AG, des sociétés suisses qui utilisent les technologies d'Infineon.

L'ex-président Ilves a affirmé que la firme néerlandaise “a informé les utilisateurs commerciaux mais pas les les clients (payants) du secteur public”, et invité les journalistes à examiner l'affaire plus en profondeur.

Les cartes d'identités estoniennes ne sont pas les seules que fait Gemalto. Pourtant, aucun autre gouvernement n'a fait de bruit. Probablement parce que les cartes sont émises mais jamais utilisées.

Ou alors, il s'agit d'un gouvernement technophile qui a réagi avec rapidité et mesure à une vulnérabilité de chiffrage de sécurité. C'est nouveau !

La décision de l'Estonie de remplacer les certificats a aussi retenu l'attention des passionnés de la société de l'information en Europe centrale et orientale. Dans une discussion sur Facebook, un spécialiste serbe d'informatique vivant en Estonie a expliqué dans ses commentaires le point de vue de l'utilisateur final :

Obavestili su nas pre nekoliko meseci (dok je rizik bio samo teoretski), a pre par nedelja su pustili update sertifikata kroz zvaničnu app (ne mora da se menja ID). Trenutno ume da štuca autorizacija, ali imamo i rezervni način autorizovanja (preko mobilne app) tako da nismo blokirani.

On nous a notifié il y a plusieurs mois (quand le risque n'était encore que théorique), et il y a quelques semaines ils ont publié des mises à jour au moyen d'une appli officielle (pour qu'on n'ait pas à changer les cartes d'identité). Pour l'instant le processus de validation a parfois des hoquets, mais il y a une méthode de secours de validation par une appli de téléphone mobile, pour que nous ne soyons pas du tout bloqués.

Commentez

Merci de... S'identifier »

Règles de modération des commentaires

  • Tous les commentaires sont modérés. N'envoyez pas plus d'une fois votre commentaire. Il pourrait être pris pour un spam par notre anti-virus.
  • Traitez les autres avec respect. Les commentaires contenant des incitations à la haine, des obscénités et des attaques nominatives contre des personnes ne seront pas approuvés.