“Les passeports biométriques sont-ils efficaces contre la fraude ?“, titrait la semaine passée le service de presse du Parlement européen.

Quatorze eurodéputés ont en effet adressé, en mars et avril dernier, trois questions parlementaires à la Commission européenne. Toutes tendances confondues, libéraux, socialistes, verts et conservateurs, ils se disent “préoccupés” de découvrir qu’”un nombre toujours très élevé de passeports sont falsifiés“. La socialiste Sylvie Guillaume rappelle que l’introduction d’éléments biométriques avait pourtant été adoptée en 2004, en réaction aux attentats du 11 septembre 2001, afin de “permettre d’améliorer la sécurité des documents de voyage” et, plus précisément, de “lutter plus efficacement contre la fraude et la falsification“. Selon l’eurodéputée :

Une enquête récente (parue dans Le Parisien, NDLR) a montré que 10 % des passeports français seraient faux car leur édition s’appuierait sur des documents extrêmement faciles à falsifier, à savoir la copie d’un acte de naissance.

“Dans ce contexte, comment continuer à croire aveuglément que la multiplication des données biométriques et autres puces sécurisées protège les citoyens ?” renchérit Sylvie Guillaume dans une tribune publiée sur le Huffington Post, tout en pointant du doigt la responsabilité des lobbies, en s’appuyant notamment sur l’enquête d’OWNI (voir Lobbying pour ficher les bons Français) :

Ceux qui ont objectivement intérêt à cette surenchère, en tous les cas, ce sont les industriels. Fabriquants de scanners corporels, de puces électroniques, entreprises de collecte de données, il ne faut jamais négliger le lobbying des industriels de la sécurité dès qu’on aborde un sujet de ce type, je le vois bien au sein du Parlement européen. Sans surestimer leur influence, ceux-là n’aident pas non plus à mener un débat apaisé.

20% d’empreintes inutilisables

Les eurodéputés rappellent également qu’aux Pays-Bas, une étude menée sur plus de 400 passeports a révélé que les empreintes digitales étaient inutilisables dans plus de 20 % des cas…

Sophia in ‘t Veld, de l’Alliance des démocrates et libéraux pour l’Europe (ADLE) révéla par ailleurs qu’au Pays-Bas, les passeports biométriques avaient été justifiés au motif de la lutte contre la fraude et l’usurpation d’identité, mais que le ministère de l’Intérieur avait toujours refusé de rendre public le nombre de cas recensés, au motif que le chiffre serait «inconnu», «pas public», «confidentiel» ou «secret».

Or, des documents obtenus par l’ONG Privacy First révèlent que les autorités n’ont dénombré que 46 cas d’usurpation en 2008, 33 en 2009 et 21 en 2010, sur une population de 17 millions d’habitants…

Dans une question commune signée par les groupes PPE (démocrates-chrétiens), S&D (socialistes & démocrates), GUE/NGL (anticapitaliste) et du groupe des Verts, les eurodéputés voulaient ainsi savoir si, et comme ils l’avaient réclamé en 2008, des études avaient depuis été menées pour mesurer :

. la fiabilité et l’utilité des empreintes digitales relevées chez les enfants et les adultes

. la fiabilité du processus de collecte des données biométriques

. des lacunes possibles dans les systèmes d’identification

. des disparités existant dans les documents à soumettre et dans la façon de les produire (les “documents sources”).

Dans une autre question un eurodéputé conservateur voulait de son côté savoir si, “par ailleurs, la Commission a réalisé, récemment, une étude du rapport coût/efficacité des systèmes biométriques de seconde génération ? Enfin, la Commission a-t-elle d’autres recommandations pour traiter les cas de perte, de vol ou de falsification des passeports biométriques ?”

Ados portugais

Ces questions ont été reposées, et débattues, le 19 avril dernier, au parlement de Strasbourg. Et force est de constater que plusieurs interrogations demeurent…

Sarah Ludford, eurodéputée libérale-démocrate qui s’est beaucoup intéressée à la biométrie, rappelait ainsi qu’aucun système n’est fiable à 100%, et que son efficacité dépend, non seulement de la technologie utilisée, mais également de la compétence (ou de l’incompétence) de ceux qui sont amenés à s’en servir. A l’appui de sa démonstration, elle citait un rapport du Government Accountability Office (GAO, l’organisme d’audit du Congrès américain) qui avait révélé l’existence de vulnérabilités, de logiciels et antivirus non mis à jour, mais également de fonctionnalités de sécurité inutilisées, dans le système de visa électronique :

Je pense que nous ne devons pas, en aucun cas, continuer à prélever, encore et encore, plus de données biométriques, et élargir leurs conditions d’utilisation, tant que nous n’aurons pas obtenu de réponse à toutes ces questions, et tant que la Commission n’aura pas démontré que les empreintes biométriques sont vérifiables, et que leur collecte, et stockage, ne pose pas de problème ni n’entraîne de tels taux d’erreurs, comme on a pu le voir, notamment, avec les empreintes digitales d’enfants ou de personnes âgées.

Pour toute réponse, Cecilia Malmström, au nom de la Commission européenne, expliqua qu’une étude sur la fiabilité de la reconnaissance biométrique sera présentée aux eurodéputés en juin prochain, mais qu’elle ne portera que sur les empreintes digitales d’adolescents portugais de 12 ans, afin de vérifier si, deux ans plus tard, elles sont encore reconnaissables.

Cecilia Malmström s’est justifiée en expliquant que si l’intégration d’éléments biométriques dans les passeports avaient été décidée au niveau européen en 2004, aucune étude , portant sur l’utilité et l’efficacité de la reconnaissance biométrique en général, pas plus que sur le cas particulier des empreintes digitales abimées des personnes âgées, n’avait jamais à ce jour été envisagée :

Cela dit, si c’est un souhait très fort de la part du Parlement européen, nous pourrions bien évidemment reconsidérer la question sérieusement.

Or, et comme OWNI avait eu l’occasion de le rappeler, la reconnaissance biométrique, qui relève plus de la probabilité statistique que de la preuve scientifique, est loin d’être aussi fiable que cela, et l’on a d’ores et déjà répertorié plusieurs cas de gens, inculpés à tort après que des “experts” aient identifié la trace de leurs empreintes digitales sur des scènes de crime où ils n’avaient jamais été, tout comme on a également démontré, à de nombreuses reprises, qu’il était possible de tromper les dispositifs de reconnaissance biométrique…

Couv : Marion Boucharlat
Photo de Sochacki/Flickr (CC-bysa) remixée par Ophelia Noor pour Owni

Un employé du ministère des affaires sociales l’avait copié sur son ordinateur personnel en 2006, puis confié à un ami, qui le vendit à un professionnel du commerce des fichiers clients, qui demanda à un informaticien d’en développer un logiciel. Ce dernier, Agron 2006, qui permettait de cartographier les liens familiaux des Israéliens, fut mis à la vente, par téléchargement, surun site web par un autre informaticien, puis rendu disponible sur les réseaux P2P.

L’information a été révélée, la semaine dernière, par l’Israël Law, Information and Technology Authority (ILITA), l’autorité de protection des données personnelles israéliennes, dont l’enquête a conduit à l’arrestation de six suspects, dont le voleur présumé, Shalom Bilik, ainsi que Meir Leiver, le responsable du site qui expliquait comment se procurer la base de données, et utiliser le logiciel.

L’ILITA, qui a récupéré 6 terabytes (6 000 Gigabytes) de données, et qui a découvert à cette occasion que d’autres fichiers avaient eux aussi été volés, dont une base de données d’enfants adoptés, des données issus des fichiers électoraux, et des données relatives à la sécurité nationale a également mis en ligne deux étonnantes vidéos afin d’expliquer ce qui s’est passé :

Le ministre de la Justice s’est inquiété des risques de fraudes et d’usurpation d’identité qui pourraient en découler. Michael Eitan, ministre de l’amélioration des services publics, a quant à lui appelé dans la foulée le gouvernement à abandonner son projet de création d’une base de données biométriques des Israéliens :

De fausses promesses ont été faites quant à la sécurité hermétique de la base de données. Qui pourra nous assurer que des employés mécontents ne distribueront pas nos empreintes digitales et photographies ?

Tout comme le registre de la population, ou n’importe quelle autre base de données, elle sera elle aussi piratée. Ce n’est qu’une question de temps.

Le projet de modernisation des passeports et cartes d’identité, entraînant la création d’une base de données des empreintes digitales et photographies numérisées des Israéliens avait été adopté, mais son lancement, reporté durant deux ans, est prévu pour la fin du mois de novembre.

Mais pour Eitan, qui accuse le gouvernement de fabriquer une “bombe à retardement” les bases de données biométriques “sont aussi dangereuses qu’une centrale nucléaire : une fuite de données biométriques pourraient causer des dommages irréversibles qui pourraient prendre des décennies à être réparés“.

Eitan plaide à ce titre pour une utilisation raisonnée des données biométriques (empreintes digitales et photographies numérisées) qui ne devraient être présentes que dans le titre d’identité, afin de s’assurer de celle de son détenteur, et pas centralisées dans une base de données.

Un fichier de 45 millions de “gens honnêtes”

En France, le projet de carte d’identité électronique, adopté en seconde lecture ce 3 novembre au Sénat, propose lui aussi de centraliser les données biométriques numérisées (état civil, adresse, taille et couleur des yeux, empreintes digitales, photographie) au sein d’un fichier de 45 millions de “gens honnêtes“ (selon l’expression employée par le rapporteur).

Mais les sénateurs ont rejeté à une écrasante majorité (340 des 344 suffrages exprimés) l’amendement du gouvernement visant à permettre aux policiers d’utiliser le fichier des “gens honnêtes” au motif, résumé par François Pillet, le rapporteur (UMP) de la proposition de loi, qu’ils ne voulaient pas “laisser derrière nous un fichier qui pourra être transformé en outil dangereux et liberticide“, et se voir reprocher, à l’avenir, d’avoir identifier le risque, mais de ne pas avoir protéger les générations futures :

Je ne veux pas qu’ils puissent donner mon nom, ou le vôtre, à ce fichier.

Seuls 4 sénateurs UMP, Michel Houel, Jean-René Lecerf, Catherine Procaccia et Catherine Troendle ont suivi la consigne de Claude Guéant, les 127 autres sénateurs UMP votant contre la proposition du gouvernement. Etrangement, Jean-Louis Masson, connu pour vouloir mettre un terme à l’anonymat sur le Net, et Alex Türk, l’ancien président de la CNIL se sont, eux, abstenus.

Dans la foulée, les sénateurs ont également adopté un article précisant que le fichier ne comportera pas de “dispositif de reconnaissance faciale à partir des images numérisées du visage qui y sont enregistrées“. La proposition de loi devra désormais être adoptée en deuxième lecture par les députés.

A l’Assemblée, le gouvernement avait proposé de permettre aux policiers de s’en servir “hors de toute réquisition judiciaire“… et alors même que le Conseil d’État, la CNIL et la Cour européenne des droits de l’homme se sont d’ores et déjà prononcés contre ce type de fichage biométrique généralisé de personnes innocentes de tout crime ou délit.

Voir aussi les deux autres volets de mon enquête sur le lobby qui pousse à l’adoption de ce projet de loi, les leaders mondiaux des empreintes digitales et des titres d’identité sécurisés étant français :
Vers un fichage généralisé des “gens honnêtes“
Morpho, n°1 mondial de l’empreinte digitale
Fichons bien, fichons français