Passeport biométrique du ministère de l’Intérieur

A l’instar du projet de carte d’identité INES (dont l’aspect obligatoire a été pour l’instant écarté), le passeport életronique du ministère de l’Intérieur est présenté comme une solution à la "fraude documentaire" et une victoire pour la "simplification administrative".

Certes, le seul identifiant "biométrique" dudit passeport est pour l’instant la photo numérique du titulaire. Le projet INES, quant à lui, y ajoute déjà un second identifiant, l’empreinte digitale. Mais personne ne s’y trompe : le passeport sera lui aussi, "à terme", doté d’une seconde couche biométrique avec les empreintes numérisées. C’est l’UE qui l’exige, d’aillerus, pour répndre aux diktats étasuniens.

L’avis rendu par la CNIL en novembre 2005 accepte sans broncher les "garde-fous" du ministère de l’Intérieur. On apprend pourtant qu’est déjà prévu des "transmissions de données relatives aux passeports volés ou perdus vers le Système d’information Schengen et vers Interpol". Comme si ces transmissions se feront toujours - promis juré - en cas de perte ou de vol !

Evidemment, dans le cadre de "la prévention et de la répression du terrorisme", l’accès au fichier national des passeports sera facilité aux services de police.

Pour se "faciliter la vie", ce passeport sera bien-sûr "à terme", note la CNIL, "communément utilisé dans la sphère publique (lors des démarches auprès des services de l’Etat, des collectivités territoriales ou des organismes de sécurité sociale) et dans la sphère privée (par exemple, pour l’ouverture d’un compte bancaire)". Et bonjour le croisement des fichiers !

Autre double langage du gouvernement dans cette affaire : le ministère de l’intérieur "n’envisage pas aujourd’hui que la photographie numérisée du détenteur du passeport soit utilisée, en France, dans le cadre de dispositifs automatisés de reconnaissance faciale". Ah bon ? Mais "Le dispositif étant interopérable, la mise en place de tels traitements biométriques est en revanche susceptible d’intervenir à l’étranger, sur décision des seules autorités du pays concerné." Ayez confiance, Big Brother est à l’étranger pas chez nous !

La gestion du fichier est là aussi de la haute voltige super sécurisée : "Afin de renforcer la sécurisation de la production des passeports, ces derniers ne seront plus produits localement mais de façon centralisée. Un centre de personnalisation du passeport sera ainsi mis en place et confié à un sous-traitant (« personnalisateur » des titres)". Et le sous-traitant - pardon, le "personnalisateur" - aurait donc dû être une boite privée, en l’occurence Oberthur. Jusqu’à ce que le ministère tergiverse et décide de s’en occuper lui-même. Jusqu’au prochain épisode...

Enfin, le caractère "sans contact" de la puce (composant RFID) a de quoi inquiéter. La CNIL affirme que "les données ne pourront être lues que si le passeport est présenté ouvert" - où sont les tests qui permettent de l’affirmer ? On n’en sait rien. Et lorsque la CNIL mentionne des normes ISO censées contrôler cet aspect, elle se marche sur les pieds car la première (ISO 14443) dit explicitement que la distance maxi de lecture ne fait pas partie de celle-ci, et une autre (ISO 7816) ne concerne tout simplement pas les cartes sans contacts ! Dans tous les cas, quelques soient les avis et préconisations de la CNIL, le décret paru le 30 décembre 2005 les ignore totalement, car il instaure un passeport avec puce sans contact sans imposer quelque distance maximale de lecture ou sécurité que ce soit...

Toujours en ce qui concerne le caractère "sans-contact", et pour revenir sur la question de la sous-traitance, on nous promet (notez que ce n’est pas imposé par le décret) que les données seraient cryptées. Or pour qu’un prestataire puisse personnaliser ces passeports, il devra avoir tout contrôle sur les clés de chiffrage des puces. Est-il raisonable qu’un prestataire privé ait tout contrôle sur des données aussi sensibles ?