TES : la sécurité du fichier monstre de l’Intérieur n’est pas parfaite

« Perfectible ». Telle est la conclusion de la Dinsic (Direction interministérielle du numérique et du système d’information et de communication de l’Etat) et de L’Anssi (Agence nationale de la sécurité des systèmes d’information) appelées à auditer le fichier TES. Rappelons que ce système, qui gère déjà l’attribution des passeports et renferme des données biométriques, est appelé à s’étendre aux cartes d’identité. Une extension qui s’intègre dans le cadre du plan Préfectures nouvelle génération (PPNG) et que l’Intérieur a tenté de faire passer en catimini, via un décret publié en plein pont de la Toussaint. 

Un procédé qui avait déclenché une mini-crise gouvernementale et poussé à la saisine de la Dinsic et de l’Anssi, appelées à jouer les arbitres dans le conflit frontal qui a opposé Bernard Cazeneuve, le ministre de l’Intérieur à l’époque, à Axelle Lemaire, sa collègue chargée de l’Innovation et l’Economie numérique. Reprenant des arguments de la CNIL et du CNNum (Conseil national du numérique), cette dernière avait critiqué TES (l’acronyme de Titres électroniques sécurisés) tant sur la forme que sur le fond.

 Le référentiel de sécurité officiel boudé ? 

Comme ils l’avaient déjà laissé entendre fin novembre lors d’une audition au Sénat, Guillaume Poupard, le directeur général de l’Anssi (à droite sur la photo), et Henri Verdier, le directeur interministériel du numérique et du système d’information et de communication de l’Etat (Dinsic, à gauche sur la photo), qui signent la version publique de l’audit publiée ce jour, réclament des garanties supplémentaires. « L’Anssi a ainsi formulé des recommandations en termes de gouvernance, d’exploitation et de durcissement des mesures de sécurité », précise l’audit (lire l’intégralité en PDF). 

Au passage, on apprend ainsi que l’actuel fichier TES (gérant les passeports seuls donc) ne semble pas prendre en compte totalement les préconisations du Référentiel Général de Sécurité (RGS), un ensemble de bonnes pratiques de sécurité dont la v2 a été publiée par le Premier ministre en juin 2014. L’audit recommande encore « d’accroître le niveau de robustesse des éléments cryptographiques utilisés dans la construction du lien unidirectionnel » entre les données d’identification et les données biométriques et de « mettre en place à court terme un chiffrement des données biométriques et des pièces justificatives » elles-mêmes. Des recommandations qui soulignent en creux les lacunes de l’actuel TES, même si l’audit précise que l’ANTS (Agence nationale des titres sécurisées, qui gère ce fichier) avait prévu de mettre en place ces mesures en 2017. Avant même l’analyse de la Dinsic et de l’Anssi donc.  

L’Agence dirigée par Guillaume Poupard souligne par contre la solidité de l’architecture mise en place, mise en évidence par le test d’intrusion. Avec des mesures de cloisonnement et de filtrage efficaces, avec par exemple des postes de recueil de données et de demandes de titre non raccordés à Internet. Ce qui n’empêche par l’Anssi de donner quelques coups de griffe, soulignant que des vulnérabilités « de gravité variable » ont été relevées en particulier au niveau du centre serveurs. L’Anssi recommande notamment d’améliorer le processus d’application des correctifs de sécurité et de durcir les mots de passe. Le détail des vulnérabilités découvertes ne figure pas dans le rapport public afin de ne pas donner d’indices à d’éventuels assaillants, explique le document. 

Confier les clefs de chiffrement à un tiers

L’autre point d’attention de l’audit résidait dans les usages possibles de TES. En ligne de mire : une possible dérive consistant à utiliser le fichier à des fins d’identification des individus (retrouver une personne à partir de ses traces biométriques). Le ministère de l’Intérieur avait argué qu’un tel détournement serait impossible du fait de l’architecture technique même du système TES. Une affirmation  mise en doute par un expert des bases de données que nous avions interrogé. De facto, « l’audit a constaté que le système TES peut techniquement être détourné à des fins d’identification malgré le caractère unidirectionnel du lien informatique mis en œuvre pour relier les données d’identification alphanumériques aux données biométriques », peut-on lire sur le document publié par l’Intérieur. 

Parmi les recommandations formulées, l’Anssi et la Dinsic préconisent donc de mettre en place un chiffrement des données biométriques, avec des clefs confiées à une autorité tierce. Une mesure simple qui éviterait une éventuelle exploitation du fichier TES à des fins d’identification, hors réquisitions judiciaires (une exception prévue par la loi). « Ni le ministère, ni l’autorité tierce n’aurait seul les moyens de déchiffrer complètement ces données, dès lors que plusieurs clefs de chiffrement seraient utilisées », précisent les deux agences dans leur audit. 

Traçabilité des accès : peut mieux faire 

Notons d’ailleurs qu’en filigrane, l’audit critique la traçabilité des accès à TES, un point clef pour éviter tout détournement de finalité de la base de données vouée à recueillir les données biométriques de 60 millions de Français. « Une traçabilité renforcée des accès et des sollicitations du système est souhaitable », écrivent l’Anssi et la Dinsic, qui recommandent notamment la mise en place de registres. Là encore, une façon de souligner que lesdits journaux automatisés manquent aujourd’hui à l’appel. 

L’audit des deux agences ne constitue toutefois pas un facteur de blocage pour TES, aux yeux de l’Intérieur. L’actuel ministre, Bruno Le Roux, considère que le document conclut à la compatibilité de l’architecture du système avec « la sensibilité des données qu’il contient », et assure que les recommandations transmises par les deux agences ont déjà été intégrées à un plan d’action au fur et à mesure que l’audit se déroulait. Une commission d’homologation du fichier, à laquelle participeront l’Anssi et la Dinsic, doit se réunir sous un mois pour valider les mesures prises… et permettre à l’Intérieur de tenir le calendrier de son plan Préfectures nouvelle génération.

A lire aussi :

Fichier TES : le CNNum tacle sèchement le gouvernement

Fichier TES : l’Anssi et la Dinsic vont réclamer des sécurités supplémentaires

Fichier TES : pourquoi le gouvernement s’est trompé sur la forme et sur le fond