Faille sur l’e-Carte d’identité : la moitié des Estoniens privés de services numériques

« Nous sommes désolés des inconvénients causés par ce problème, mais la protection de l’intégrité de votre identité numérique doit passer avant tout. »

La faille, qui frappe les puces Infineon intégrées sur les cartes d’identité nationale, a privé plus de 760 000 citoyens d’Estonie de leurs services administratifs numériques le week-end dernier (sur une population globale d’1,3 million d’habitants).

Le gouvernement estonien s’en est excusé par voie de blog.

Rappelons que l’Estonie est un pays pionnier dans la bascule de ses services administratifs en numérique : paiement des impôts, consultations médicales, votes… quasiment tous les services s’y effectuent aujourd’hui en ligne.

Avec la carte nationale d’identité utilisée comme moyen d’identification et d’authentification àl’ ère numérique.

Les services numériques fermés

Cette carte d’identité est équipée d’une puce qui intègre les données personnelles, sécurise les identifiants et garantit les transactions en ligne. Or, quand cette puce connaît une vulnérabilité, l’intégrité des services numériques est remise en cause.

Or, les composants TPM (Trusted Platform Module) d’Infineon, qui équipent un certain nombre de cartes électroniques d’Estonie, sont victimes d’un bug qui permet de retrouver, à peu de frais, la clé privée du document d’identité à partir de la clé publique. Une faille révélée début octobre.

Face à cette faille, le gouvernement estonien a préféré fermer l’accès à ses services numériques au regard du risque potentiel, aussi minime soit-il.

« Le fonctionnement d’un État électronique repose sur la confiance et l’État ne peut pas se permettre qu’un propriétaire d’une carte d’identité estonienne soit victime d’un vol d’identité », a déclaré le Premier ministre Jüri Ratas.

« A notre connaissance, il n’y a pas eu de cas de vol d’identité électronique, mais l’évaluation de la menace effectuée par la police et les gardes-frontières ainsi que par l’autorité responsable du système d’information indique que cette menace est devenue réelle. En bloquant les certificats des cartes d’identité en danger, l’Etat assure la sécurité de la carte d’identité. »

Le blocage des accès aux services en ligne a été instauré le 3 novembre à minuit. Toutes les e-cartes d’identité émises entre le 16 octobre 2014 et le 25 octobre 2017 sont concernées.

Un blocage temporaire qui sera levé une fois la mise à jour du certificat électronique effectuée. Une démarche qui peut se faire en ligne mais aussi au sein des centres des services de police qui sont restés ouverts tout le week-end à cet effet.

Face à l’afflux des mises à jour et à la saturation conséquente des systèmes informatique, le gouvernement estonien a pris la décision d’accorder la priorité aux personnels des services vitaux tels que le corps médical, la Justice, les services civils et les officiels. Soit environ 35 000 personnes.

Mise à jour des certificats sans urgence

Dans tous les cas, les Estoniens pourront mettre à jour leur carte d’identité électronique jusqu’au 18 mars 2018. Qui plus est, même non mise à jour, la carte électronique conserve sa valeur de document d’identification, notamment pour voyager ou acheter des médicaments sur ordonnance.

Rien ne presse donc, sauf pour ceux qui doivent signer, en urgence, des documents de manière électronique.

Si le gouvernement estonien semble gérer efficacement ce problème, l’affaire n’en reste pas moins symptomatique des risques que les vulnérabilités électroniques peuvent poser à tous système dont le fonctionnement repose entièrement sur un environnement numérique.

Lire également
De nombreux systèmes affectés par une vulnérabilité TPM Infineon
100% des sites web français restent vulnérables aux mêmes failles
Une faille Apache Struts menace 65% des entreprises du Fortune 100