lundi 16 janvier 2012

Permis de conduire biométrique: une annonce sans base légale

Un lecteur remarque qu'il n'a trouvé "aucun document officiel faisant référence à l'utilisation d'empreintes digitales" s'agissant du permis de conduire (cf. commentaire sous Vers un permis de conduire biométrique, Vos Papiers!, 7 mars 2011).

C'est très juste, et cela contredit tout ce qu'on l'on trouve actuellement sur la Toile, y compris sur le site gouvernement.fr, qui annonce, dans un communiqué de décembre 2011, le nouveau permis pour 2013:
"À partir du 19 janvier 2013, un nouveau permis de conduire à puce remplacera progressivement le célèbre "papier rose". Ses caractéristiques et ses modalités de déploiement sont inscrites dans le décret publié au Journal officiel du 10 novembre 2011."
Or on ne trouve rien de tel sur le décret en question (décret n° 2011-1475 du 9 novembre 2011 portant diverses mesures réglementaires de transposition de la directive 2006/126/CE relative au permis de conduire), lequel ne modifie pas la forme du permis mais traite seulement des catégories de permis, des modalités d'obtention, etc. C'est pourtant ce même décret qui a conduit Le Figaro à relayer l'annonce gouvernementale selon laquelle le nouveau permis biométrique - appelé "électronique" pour ne pas effrayer l'homme de la rue - sera mis en œuvre dès janvier 2013.

Il n'y a, à l'heure actuelle, aucun texte prévoyant un tel permis biométrique. En tout état de cause, il faudrait qu'il soit accompagné d'une délibération de la CNIL (Commission nationale informatique et libertés) - à ce sujet, rappelons avec la CNIL que le service de consultation des points de permis par Internet existe depuis... le 1er juillet 2007.

Bref, le gouvernement n'a pas saisi l'opportunité de ce décret pour mettre en oeuvre le permis "électronique" (biométrique) annoncé dès mars 2011. Sans doute le calendrier ne s'y prêtait-il guère: au même moment intervenait la décision du Conseil d'Etat sur le fichier des passeports biométriques et surtout, députés et sénateurs débattaient - et débattent encore - de la carte d'identité biométrique. Celle-ci étant en bonne voie, il est probable que le permis de conduire soit lui aussi "biométrisé" dans les mois ou années à venir - quels que soient les résultats de l'élection présidentielle. Néanmoins, ce calendrier chargé a sans doute incité le gouvernement actuel à temporiser. D'autant plus qu'on voit mal des responsables politiques s'opposer au permis de conduire biométrique si la "représentation nationale" a auparavant validé le principe du fichage biométrique des Français-e-s lors des demandes de carte d'identité, faisant suite à une décision similaire du Conseil d'Etat concernant le passeport biométrique...

Outre ce décret, remarquons cependant la promulgation du "décret du 2 décembre 2011 modifiant le décret n° 2007-255 du 27 février 2007 fixant la liste des titres sécurisés relevant de l'Agence nationale des titres sécurisés" (ANTS), lequel  lui attribue la compétence concernant la délivrance des permis de conduire (entre autres). Vu la politique de l'ANTS, maître d’œuvre de la biométrisation des titres d'identité délivrés par l'Etat qui s'est illustré dans la mise en oeuvre du passeport biométrique, on peut s'attendre à un certain effort de ses agents pour convaincre les politiques de "l'urgence de biométriser le permis de conduire", ce d'autant plus que le législateur aura, d'ici-là, approuvé la mise en place d'une carte d'identité biométrique.


Creative Commons License Merci d’éviter de reproduire cet article dans son intégralité sur d’autres sites Internet et de privilégier une redirection de vos lecteurs vers notre site et ce, afin de garantir la fiabilité des éléments de webliographie.

Pourquoi déchirer ses reçus ? De la sécurité des cartes bancaires

L'expert en sécurité informatique Bruce Schneier attire l'attention sur ce post émanant du Luxembourg : il montre comment deux tickets, venant de deux garages différents, affichent différentes parties du numéro de carte de crédit, permettant ainsi de reconstituer le numéro entier.

Ayant remarqué ceci depuis longtemps, puisque cela vaut, en France, pour les supermarchés et tout endroit où l'on paie par carte, j'ai été étonné que B. Schneier se déclare surpris par cette nouvelle.

De cette brève, deux enseignements:
  • plutôt que de se focaliser sur des procédures coûteuses et attentatoires à la vie privée telles que la biométrie (cf. La Carte VISA biométrique débarque en France, Vos Papiers!, 2 avril 2010), il conviendrait d'élaborer des standards permettant de répondre aux failles les plus évidentes. On retrouve les mêmes questions dans l'élaboration de la carte d'identité biométrique, alors même que la CNIL regrette le manque de sécurisation de la "chaîne d'état civil" et notamment de la transmission des actes d'état civil.
  • en attendant que les "spécialistes" se penchent sur ce problème guère nouveau, la moindre des choses est de bien déchirer ses reçus de CB lorsqu'on les jette à la poubelle.

Les normes PCI et du report des responsabilités bancaires sur les marchands

Remarquons que les normes concernant les cartes visas, dites PCI (payment-card industry), sont selon B. Schneier "probablement les standards de sécurité non-gouvernementaux les plus importants". Le site officiel de PCI indique que le consortium a été fondé par American Express, Discover Financial Services, JCB International, MasterCard Worldwide, et Visa Inc.

Wired a récemment fait état d'une action en justice inédite émise contre PCI par des restaurateurs de l'Utah (USA), qui se sont vus prélever des sommes sur leur compte en guise d' "amendes" suite au hacking des coordonnées bancaires de leurs clients (Rare Legal Fight Takes On Credit Card Company Security Standards and Fines, Wired, 11 janvier 2012). Si les organismes de carte bancaire (VISA, etc.), se retournent en effet contre les banques lorsqu'il s'agit de rembourser ces frais de piratage, les banques elles-mêmes ont des accords avec leurs clients (restaurants, magasins, etc.) permettant de se retourner à leur tour contre eux pour se faire rembourser. Les magasins sont ainsi tenus pour directement responsables, au motif de non-respect des normes PCI. Au vu de cette responsabilité, il serait heureux que ces normes soient plus sérieuses. L'avocat des restaurateurs indique sur Wired! que "c'est comme si Visa et MasterCard étaient des gouvernements": "d'où reçoivent-ils l'autorité d'imposer un système d'amendes et de pénalités contre les marchands"? Ce d'autant plus qu'il n'y a aucun système d'appel ou de recours contre ces pénalités.

Dans un article consacré aux standards PCI en vigueur à partir du 1er janvier 2012, M. Estrade tient le même langage que ces avocats: rappelant le hacking de deux systèmes bancaires conformes à ces standards (Heartland Payment Systems, en 2009, qui traite plus de 100 millions de transactions par jour, et celui concernant la Playstation Sony), il considère ainsi que "la norme PCI DSS n'est pas en mesure de garantir la sécurité des données porteurs" (Journal du Net, 07/09/11). Et de déclarer:

Pour des nombreux experts, de meilleures solutions existent, comme le chiffrement des informations porteuses sur toute la chaîne de paiement (en partant de la carte elle même). Ou encore l'adoption par les américains (sic) de la carte à puce, technologie encore inconnue outre Atlantique. Mais ces solutions sont lourdes à mettre en place, et ces modifications impacteraient surtout les banques et les sociétés émettrices de cartes. Pour celles-ci, il est plus facile de définir une norme contractuelle, et de déporter, ainsi, sur les utilisateurs (en l'occurrence les marchands) le soin de garantir la sécurité de leur technologie.

Sans doute les gouvernements, et la France en premier, préfèrent-ils soutenir leur "industrie stratégique" en favorisant tous azimuts la biométrie (utilisée désormais par la console de jeux X-Box 360 Kinect de Microsoft aux fins explicites d' "habituer le consommateur"), que de contraindre le consortium PCI à un peu de sérieux... Voilà sans doute un sujet que pourrait saisir la CGPME (Confédération générale des Petites et Moyennes Entreprises) afin de défendre les commerçants contre ce consortium de multinationales : on attend une lettre ouverte aux candidats à la présidentielle, en particulier au candidat sortant qui a tant œuvré pour la "valeur-travail". Et pourtant, une recherche "standards PCI" ou "PCI" sur le site de la CGPME ne donne... rien.


Creative Commons LicenseMerci d’éviter de reproduire cet article dans son intégralité sur d’autres sites Internet et de privilégier une redirection de vos lecteurs vers notre site et ce, afin de garantir la fiabilité des éléments de webliographie.