Achat de la reconnaissance faciale en catimini

La France adopte le système de reconnaissance faciale “Alicem”, après avoir débouté les adversaires de cette technologie.

Discrètement, la France s’est dotée le 4 novembre 2019 d’un système de reconnaissance faciale, Alicem, après le rejet par le Conseil d’Etat d’un recours déposé par l’association de défense des libertés “La Quadrature du Net”. 

Alicem est application pour smartphones, conçue par l’Etat, utilisant la reconnaissance faciale à l’inscription. Ce procédé doit permettre aux internautes de s’identifier avec fiabilité dans leurs démarches en ligne.https://googleads.g.doubleclick.net/pagead/ads?guci=1.2.0.0.2.2.0.0&client=ca-pub-9771108767506822&output=html&h=311&slotname=2030410275&adk=3873767931&adf=1894144766&pi=t.ma~as.2030410275&w=373&fwrn=7&lmt=1605917907&rafmt=11&psa=0&format=373×311&url=https%3A%2F%2Fwww.la-clau.net%2Finfo%2F14090%2Fla-france-adopte-discretement-la-reconnaissance-faciale&flash=0&wgl=1&tt_state=W3siaXNzdWVyT3JpZ2luIjoiaHR0cHM6Ly9hZHNlcnZpY2UuZ29vZ2xlLmNvbSIsInN0YXRlIjowfSx7Imlzc3Vlck9yaWdpbiI6Imh0dHBzOi8vYXR0ZXN0YXRpb24uYW5kcm9pZC5jb20iLCJzdGF0ZSI6MH1d&dt=1605917906577&bpp=14&bdt=704&idt=1132&shv=r20201112&cbv=r20190131&ptt=9&saldr=aa&abxe=1&prev_fmts=393×327&correlator=1660518504941&frm=20&pv=1&ga_vid=267732676.1605917906&ga_sid=1605917906&ga_hid=925214647&ga_fc=1&iag=0&icsg=2199560792258&dssz=29&mdo=0&mso=0&rplot=4&u_tz=60&u_his=1&u_java=0&u_h=851&u_w=393&u_ah=851&u_aw=393&u_cd=24&u_nplug=0&u_nmime=0&adx=10&ady=1400&biw=393&bih=661&scr_x=0&scr_y=0&eid=21066973&oid=3&pvsid=273613542652532&pem=551&ref=https%3A%2F%2Faway.vk.com%2F&rx=0&eae=0&fc=900&brdim=0%2C0%2C0%2C0%2C393%2C0%2C393%2C721%2C393%2C661&vis=1&rsz=%7C%7CoEebr%7C&abl=CS&pfx=0&fu=8320&bc=31&ifi=2&uci=a!2&btvi=1&fsb=1&xpc=KB8RNEZItM&p=https%3A//www.la-clau.net&dtd=1152

Vers une société façon Orwell ?

Cette décision importante engage la République française vers une technologie qui scanne l’identité faciale des individus et offre de grandes possibilités en matière de traçage de leurs faits et gestes. Les défenseurs de ce technologie estiment qu’il est possible de mettre en place des garde-fous légaux et organisationnels pour éviter toute dérive vers une société rappelant les prophéties de Georges Orwell. La mise en service d’Alicem doit intervenir avant la fin de l’année.

C’est étrange en ce moment novembre 2020 certaines villes comme Nice sont déjà en train d’activer la 5g sans compter que désormais : les drones, liberté chérie sous forme de peau de chagrin, répression disproportionnée… ça pue !

La Chine en est adepte depuis plusieurs années (au point qu’elle s’en sert désormais sur des pandas), d’autres pays, comme le Royaume-Uni, ont commencé à la tester. La reconnaissance faciale, qui permet de scanner les visages pour authentifier l’identité des individus, s’apprête également à être utilisée en France dans le cadre d’un grand programme national d’identification sur smartphone. C’est le média américain Bloomberg qui, le 3 octobre 2019, a assuré que la France allait devenir « le premier pays européen à faire usage de cette technologie » qui fait débat.https://d-4245403924111915073.ampproject.net/2011070101001/frame.html

De quoi s’agit-il ?

Ce dispositif d’ »Authentification en ligne certifié sur mobile », baptisé plus sobrement « Alicem », est en phase de test depuis juin 2019 à l’Agence nationale des titres sécurités (ANTS). Sa mise en place est annoncée « avant la fin de l’année 2019 ». Il se présente sous la forme d’une application mobile Android, qui a été développée par l’entreprise Gemalto, propriété du groupe français Thalès depuis 2019. Elle permettra de se connecter à des services publics à la manière de FranceConnect, ce dispositif destiné à s’identifier facilement sur une série de sites administratifs (Impots.gouv.fr, Ameli.fr, la Caf.fr…) grâce à un mot de passe commun.

Mais Alicem, qui s’appuie sur un système de reconnaissance des traits du visage donc, ira plus loin : il devrait éviter d’avoir à se présenter physiquement à un guichet ou d’envoyer de nombreux documents papier pour prouver l’authenticité de ses informations personnelles. Ce dispositif s’inscrit directement dans l’objectif du gouvernement de permettre un accès en ligne à la totalité des services publics d’ici 2022.https://d-4245403924111915073.ampproject.net/2011070101001/frame.html

Comment fonctionne-t-il ?

Pour l’instant, il ne marchera qu’avec un téléphone Android (version 5.0 minimum) doté d’un système sans-contact NFC. L’application n’est pas encore compatible avec les iPhone d’Apple. Un tutoriel du ministère de l’Intérieur destiné aux phases de tests en interne, qui a circulé en ligne cette semaine, détaille son fonctionnement étape par étape :https://d-4245403924111915073.ampproject.net/2011070101001/frame.html

  • Une fois l’application téléchargée sur le Google Play Store, il faudra créer son compte en rentrant d’abord son numéro de téléphone mobile. Un SMS de vérification contenant un code sera alors envoyé à ce numéro. Sera ensuite requise une seconde vérification, en rentrant cette fois son e-mail.
     
  • Le compte ainsi créé, la bande MRZ (cette suite de caractères noirs sur fond blanc) de sa carte d’identité ou son titre de séjour devra être scannée à l’aide de son capteur photo, à la manière d’un QR code. Cette étape complétée, il sera ensuite nécessaire de placer son document à plat sous le smartphone, qui reconnaîtra la puce intégrée. La création d’un code de sécurité à six chiffres sera requise à ce moment-là. « Attention à ne pas choisir un code trop simple », peut-on entendre dans la vidéo.

Capture vidéo de la présentation d’Alicem relayée par l’expert en sécurité Baptiste Robert, alias Elliot Alderson sur Twitter.

  • Viendra enfin l’étape fatidique, celle du scan de son visage. Trois prises de vue en mode selfie, dans de bonnes conditions lumineuses, vont alors être demandées : l’une en souriant, une autre en clignant des yeux, et enfin une en tournant la tête à droite ou à gauche avant de la replacer face à l’écran. « Pour bien réussir cette étape, je n’hésite pas à réaliser les actions de manière prononcée », est-il préconisé. Voilà le compte activé.

Capture vidéo de la présentation d’Alicem relayée par l’expert en sécurité Baptiste Robert, alias Elliot Alderson sur Twitter.null

Il sera alors possible de s’identifier par reconnaissance faciale sur tous les sites officiels de l’ANTS, et non plus en rentrant mail et mot de passe ou en utilisant FranceConnect.

Pourquoi le système fait-il débat ?

À l’heure où la sécurité des données personnelles et le risque de « fichage » des citoyens sont au cœur des préoccupations sociétales, un tel dispositif a de quoi interroger. La Commission nationale de l’informatique et des libertés (CNIL) a pointé du doigt dès octobre 2018 son incompatibilité avec le RGPD, notamment en matière de consentement. Car pour se créer une « identité numérique », l’utilisateur n’aura vraisemblablement pas d’autre choix que d’aller au bout de la procédure en scannant son visage.

L’association de défense des libertés numériques La Quadrature du Net a émis les mêmes inquiétudes, doublées d’une crainte qu’Alicem menace à terme l’anonymat en ligne, explique le site de vérification de l’information CheckNews : le ministère de l’Intérieur, par la voix de Christophe Castaner, avait en effet « mis en avant cette application pour lutter contre l’anonymat et la haine sur Internet » dans son rapport « État de la menace liée au numérique en 2019 ». En juillet 2019, la Quadrature du Net a déposé un recours au Conseil d’État contre le dispositif.

Pourtant, dans son descriptif, le ministère de l’Intérieur affirme que « créer un compte Alicem n’est pas obligatoire ». Bien sûr, les utilisateurs pourront encore s’identifier avec FranceConnect ou tout simplement se créer un compte spécifique sur le site du service public auquel ils souhaitent accéder. Ils pourront aussi toujours se rendre physiquement au guichet de l’administration concernée. Mais ils n’auront pas d’ »identité numérique », dont l’existence promet de simplifier nombre de démarches. Dommage pour toutes ces personnes sans smartphone doté d’une puce NFC, sans accès à Internet ou tout simplement détentrices d’un iPhone (pour l’instant du moins).

Doit-on craindre pour la sécurité de ses données ?

Évidemment, il est difficile de tirer des conclusions d’une application qui n’est pas encore accessible. Néanmoins, le ministère de l’Intérieur promet que l’utilisateur bénéficiera d’un « haut niveau de maîtrise de ses données »« Les données personnelles sont uniquement enregistrées sur le téléphone portable de l’utilisateur, sous son contrôle exclusif », peut-on lire sur la page de présentation officielle de l’application. Concrètement, la photo extraite de la puce du titre restera stockée sur le téléphone portable de l’utilisateur, quand la vidéo de reconnaissance faciale réalisée lors de la création du compte, elle, sera « effacée immédiatement après la vérification ».

Mais le spécialiste en cybersécurité Baptiste Robert, qui affirme avoir eu entre les mains la version démo de l’application, parle d’un système « super facile à cracker » (comprendre, à pirater) : « En faisant crasher leur service on peut voir qu’ils utilisent Apache Tomcat 9.0.0.M9. Apache Tomcat 9.0.0.M9 est loin d’être la dernière version, la version actuelle étant 9.0.26. (…) Cette version de Tomcat possède de nombreuses vulnérabilités », écrit l’expert sur Twitter.https://d-4245403924111915073.ampproject.net/2011070101001/frame.html

Rappelons que l’application est prévue pour être opérationnelle d’ici la fin de l’année 2019, soit dans deux mois…

Related Posts

Laisser un commentaire