La cybercriminalité concerne à la fois les acteurs économiques, l’État et les particuliers. Nous sommes tous touchés par les conséquences des groupes terroristes ou autres organisations criminelles. La situation est européenne, naturellement, et non exclusivement française. En effet, la libre circulation au sein de l’espace Schengen et la diversification des documents d’identité ont fortement favorisé l’usurpation d’identité.
Fraude à l’identité : les banques économisent 450 millions d’euros
Les banques ont su prendre leurs responsabilités vis-à-vis des problèmes engendrés par l’usurpation d’identité. Personne n’est à l’abri de ce phénomène polymorphe et sournois. Les conséquences économiques, sociales mais aussi psychologiques et politiques sont lourdes. « Les menaces de blanchiment et de financement du terrorisme et d’organisations criminelles peuvent être appréciées à l’aune de ces quelques chiffres : durant l’année 2015, dans le tissu bancaire, nous avons expertisé 2 250 000 documents d’identité, dont 90 000 ont fait l’objet d’une alerte ; soit 4 % des documents. Grâce à ces expertises, si nous estimons que le risque minimum de la fraude s’élève à 5 000 euros, les banques ont su économiser plus de 450 millions d’euros », explique Marie Azevedo, fondatrice et dirigeante de Reso Com.
Veille et analyse des documents d’identité
En matière de terrorisme, les enquêtes de police révèlent qu’un grand nombre de terroristes ont utilisé de faux documents administratifs pour masquer leur véritable identité. Amedy Coulibaly avait ainsi contracté un prêt de 6 000 euros sur 60 mois en décembre 2014 et souscrit à une assurance décès. « Cet argent a servi, selon ses propres dires, à l’opération de Charly Hebdo. Cofidis a subi ce risque, qui s’étend naturellement bien au-delà de la somme empruntée. La carte nationale d’identité ne comportait aucune anomalie de fabrication, seul son usage était suspect. L’identité de monsieur Coulibaly était connue de l’État au travers du fichier S », ajoute Marie Azevedo.
Si les autorités avaient eu accès à l’information relative à l’utilisation suspecte de la carte identité d’Amedy Coulibaly, celle-ci aurait été regroupée avec d’autres informations, complétant ainsi le puzzle… Cela aurait-il permis une issue différente ? Le sujet n’est pas de réécrire l’histoire, mais cela pose néanmoins la question de l’échange d’informations précieuses et critiques dans le cadre de partenariat public-privé. « En dépit de notre expertise dans le domaine, nous rencontrons toujours des difficultés à entrer en relation avec notre administration étatique. Cela est bien évidemment fort dommageable eu égard à la sensibilité du sujet. Mais j’ai à cœur de convaincre nos administrations du bien-fondé d’un partenariat privé-public dans l’objectif de mettre à profit nos connaissances et ainsi lutter plus efficacement contre les nouvelles menaces profitant de la fraude à l’identité », précise Marie Azevedo. Lorsqu’une banque contrôle un document d’identité, dès l’enrôlement de la relation, elle vérifie sur la base de documents de référence de RESO COM. « Nous offrons un travail de veille et d’analyse que nous avons intégré à une plateforme. Lorsqu’une banque vérifie un document qui comporte une anomalie, cette dernière est automatiquement référencée dans notre base de documents, avant d’être expertisée puis mutualisée. Nous avons également intégré à cette base les informations de l’administration concernant, par exemple, le vol de documents administratifs vierges. Au cours de l’année 2015, nous avons également participé à une expérimentation auprès de l’un de nos clients. Celle-ci nous a permis d’être connectés aux fichiers d’Interpol. Il s’est avéré que 12 % des documents consultés qui ont fait l’objet d’une alerte par notre réseau faisaient également partie du fichier d’Interpol. »
Un forum européen se tiendra sous la coupe de l’association Reso Club le 21 juin prochain afin de poursuivre le débat sur la fraude à l’identité et la lutte contre le terrorisme.
La fraude aux finances publiques
La direction des finances publiques a elle aussi développé des outils extrêmement puissants en matière de lutte contre la fraude et notamment dans le traitement des fichiers dans le domaine fiscal et social. « Nous développons des techniques d’échanges directs de données entre administrations.
En matière de fraude aux états civils, les titres d’identité étant de plus en plus sécurisés, la fraude se déporte en amont, d’où l’importance de sécuriser la délivrance des titres d’état civil. Ainsi, l’application COMEDEC (COMmunication Electronique des Données de l’Etat Civil) du ministère de l’Intérieur permet la transmission sécurisée et dématérialisée directement entre la mairie et la préfecture du titre d’état civil », souligne Jeanne-Marie Prost, déléguée nationale à la lutte contre la fraude.
Quid des procédures complètement dématérialisées ?
Les administrations publiques, comme le secteur privé, font face à des problématiques de sécurité évidentes en la matière. Pôle Emploi développe actuellement le nouveau parcours du demandeur d’emploi. Ce nouveau parcours s’effectuera entièrement à distance, en ligne. Il ne sera plus nécessaire de venir au guichet de Pôle Emploi, d’où les risques inhérents de fraude. « Pour contrer de telles tentatives, la donnée sera fiabilisée par un échange de flux d’informations instantané avec la Caisse vieillesse », souligne Jeanne-Marie Prost. Pour les étrangers en dehors de l’Union européenne, l’administration sera également en mesure de vérifier immédiatement la validité du titre de séjour par la consultation du fichier AGDREF : l’application de gestion des dossiers des ressortissants étrangers en France. « L’utilisation du numérique doit donc être complètement intégrée afin que la fraude soit pour ainsi dire tuée dans l’œuf. Le pare-feu doit être présent dès les démarches administratives initiales », conclut la déléguée nationale.
Des solutions industrielles éprouvées
Notre vie est de plus en plus digitale. En moyenne, nous consultons notre smartphone 220 fois par jour. Ce nouvel espace de notre vie n’est pas sans risque. En 2014, 23 données par seconde ont été volées dans le monde ; la moitié de ces données concernaient l’identité des personnes. Les téléphones nous permettent de transmettre des documents et des données sensibles (impôts, santé, consommation, état civil, etc.). Ce moyen de communication est donc de plus en plus privilégié, en tant que cible, par les escrocs.
Barack Obama a annoncé récemment souhaiter inscrire au budget 2017, la somme de 19 milliards de dollars au profit de la cybersécurité. Il affirme que la fraude à l’identité est le crime qui progresse le plus aux États-Unis à l’heure actuelle, et ce phénomène n’est sans doute pas circonscrit à ces États…
Constat partagé par Alain Juillet, président du Club des directeurs de sécurité des entreprises (CDSE) « La première et la plus importante des fraudes est celle de l’identité numérique. » Le problème d’usurpation ou de substitution d’identité est fondamental. « Si nous appliquions la sécurité numérique à la carte vitale, la fraude à la sécurité sociale (en France) n’en serait pas là », clame-t-il.
Des systèmes d’authentification à multiples facteurs
Depuis près d’une décennie, le marché des télécoms a prouvé à quel point il pouvait évoluer rapidement. À l’heure de l’Internet mobile, les principales demandes portent actuellement sur la fluidité et la simplification, par exemple, pouvoir effectuer un achat en ligne sans avoir à entrer de nombreux codes de sécurité. « Pour répondre à ces besoins, il est essentiel de développer des technologies fiables et sûres permettant d’identifier l’utilisateur. » De façon générale, outre la prudence de chacun, « nous devons parvenir à sécuriser les transactions avec plusieurs niveaux de sécurité. Un mot de passe peut être volé, d’où l’importance d’envoyer des procédures de vérification par SMS (lors d’achat sur Internet, par exemple). L’empreinte digitale peut constituer un troisième niveau, mais un téléphone peut être volé et une empreinte digitale récupérée, bien que cela soit plus difficile. Il importe donc de concevoir des systèmes d’authentification à multiples facteurs. La prochaine étape consiste donc à doter les téléphones portables et les tablettes de nouvelles technologies biométriques, voire plus performantes, comme la reconnaissance faciale ou de l’iris, et surtout d’intégrer plusieurs critères de reconnaissance d’une personne à la fois. C’est ainsi qu’une véritable identité numérique sécurisée pourra être garantie », ajoute Anne Bouverot, présidente de Morpho, et de poursuivre : « Grâce à la reconnaissance faciale, un simple selfie permet aux usagers de prouver leur identité unique et de la relier à leurs smartphones et leurs tablettes. Dans la lutte contre la fraude à l’identité dans les transactions mobiles, Morpho développe avec FIDO des solutions viables qui sont plus faciles à utiliser et qui protègent les consommateurs. » Grâce à ses technologies de “liveness detection” permettant de s’assurer que l’utilisateur présente bien son visage (et non une photo), Morpho remplace le mot de passe par une authentification biométrique universelle, rapide et plus facile à utiliser.
Avancées significatives au Royaume-Uni
Le Royaume-Uni investit dans l’identité numérique. Il n’oblige pas ses citoyens à détenir une carte d’identité nationale, mais possède un puissant programme de gestion de l’identité numérique. Les utilisateurs peuvent prouver leur identité en ligne et accéder en toute sécurité à un éventail de services gouvernementaux, tels que le renouvellement du permis de conduire et de la déclaration d’impôt. SecureIdentity, dont le lancement est prévu en ce début 2016, est une application mobile dont les citoyens pourront se servir pour certifier et protéger leur identité en ligne, via GOV.UK Verify. Lors de leur première visite, ils suivront un processus d’enregistrement, d’une durée de 10 minutes, sur SecureIdentity. Ensuite, ils pourront attester de leur identité en ligne en quelques secondes seulement, grâce à une application sur smartphone et un code PIN.
« Le programme GOV.UK Verify vise à digitaliser l’accès aux services publics par le biais de nouvelles technologies d’authentification et d’identification. Celles-ci permettent aux citoyens et résidents du Royaume-Uni de disposer d’un accès plus simple et plus rapide à ces services, tout en protégeant la confidentialité de leurs données personnelles et en évitant les usurpations d’identité. Le stockage central d’informations et la divulgation de données personnelles ne seront possibles qu’avec l’autorisation explicite de l’utilisateur concerné », souligne Morpho.
Authentification forte des données personnelles
Le projet norvégien R&D SWAN (Secure Access Control over Wide Area Network), destiné à lutter contre la fraude à l’identité et le piratage des données personnelles, a été lancé en 2015 par le RCN (Research Council of Norway). Il est destiné à assurer, via la biométrie, une authentification forte, totalement sécurisée, des données personnelles sur smartphone lors d’opérations en ligne.
La plupart des citoyens doivent toujours s’authentifier des douzaines de fois par jour via un appareil mobile (ordinateur portable, smartphone ou tablette) afin d’accéder à diverses applications telles que les banques ou des sites sécurisés sensibles administratifs. Afin de parer aux attaques de phishing de plus en plus fréquentes, les fournisseurs de services conseillent aux usagers de choisir des mots de passe toujours plus complexes incluant des caractères spéciaux alphanumériques et de les changer régulièrement.
Le projet SWAN a pour donc pour but de rechercher, développer et déployer des technologies innovantes pour le développement d’une plateforme de contrôle d’accès viable et rentable. Comment ? « Par l’utilisation de l’authentification forte et de la biométrie pour sécuriser les transactions financières et par l’amélioration du processus de transmission des données. Le principe étant de crypter l’intégralité de chaque transaction de l’émission à la finalisation de la transaction. Ce projet de recherche stratégique pour l’économie numérique du pays fait appel aux cœurs de métier de Morpho : de l’acquisition de l’iris, des empreintes digitales et du visage sur smartphone à la protection des templates biométriques et des transactions. Morpho participera également à l’intégration et à tous les efforts, notamment européens, liés à la standardisation », souligne l’industriel dont 90 % du chiffre d’affaires se réalise hors de France…
Et la France dans tout ça ?
« En France, notre carte d’identité ne constitue pas un protocole de sécurité fort : pas de carte numérique, pas de security features (hologrammes, etc.). Nous aurions besoin d’une carte d’identité plus sécurisée, ainsi que d’une identité numérique forte dérivée de ce document d’identité », ajoute Anne Bouverot.
Une demande entendue par la Cour des comptes qui demande le retour de la carte d’identité électronique. En effet, dans son récent rapport sur les services publics numériques, la Cour des comptes invite les pouvoirs publics à « réétudier l’opportunité de développer une carte nationale d’identité électronique ». Un projet pourtant stoppé net il y a près de quatre ans par le Conseil constitutionnel qui avait jugé que deux dispositions inscrites dans la loi de mars 2012 relative à la protection de l’identité étaient contraires à la Constitution : la création d’une base de données contenant les informations détenues dans ces puces (article 5) portant sur la quasi-totalité de la population et interrogeable notamment par les services de police et de gendarmerie (article 10 de la loi précitée), ainsi que la possibilité pour le titulaire de la carte d’y faire figurer des données permettant de s’identifier sur des réseaux de communication électronique et de mettre en œuvre sa signature électronique.
À l’époque, le texte soutenu par la majorité de droite reposait sur la mise en place d’une nouvelle carte d’identité électronique, dotée d’une puce dans laquelle aurait notamment été enregistré l’état civil de chaque Français, sa photo et ses empreintes digitales.
Malgré le blocage, une expérimentation
Pour les magistrats de la rue Cambon, le gouvernement devrait néanmoins songer à remettre ce projet sur les rails : « Le Conseil n’a pas censuré la création d’une carte d’identité électronique (CNIé) elle-même, mais ces deux articles. » La Cour des comptes explique que la relance de la CNIé pourrait faire partie des projets « structurants » dont la France a besoin, rappelant que « l’identification électronique des usagers doit être à la fois simplifiée et sécurisée ».
Alors que se joue le déploiement du dispositif d’authentification FranceConnect, la prochaine étape sera-t-elle le développement d’une carte nationale d’identité électronique ? Aucune confirmation officielle mais c’est en tout cas ce qu’estiment les magistrats. Rappelons que l’article 2 de la loi de 2012 prévoit que « la carte nationale d’identité (comporte) un composant électronique sécurisé », à l’intérieur duquel seraient notamment stockés le nom, l’adresse, la couleur des yeux d’une personne, mais aussi « ses empreintes digitales », mais ces dispositions restent dans l’attente d’un décret ministériel, pris après avis de la CNIL. « Malgré ce blocage, l’Agence nationale des titres sécurisés (ANTS) est en train de développer un prototype (ALICEM) permettant d’utiliser une pièce d’identité électronique (le passeport biométrique actuellement) pour s’identifier via son smartphone, de confronter la photo avec l’utilisateur par reconnaissance faciale et de créer ainsi un compte utilisable par de nombreux services partenaires. Cette expérimentation, très prometteuse, doit bénéficier d’un financement dans le cadre du nouvel appel à projet du programme d’investissements d’avenir lancé en juin 2015. Le SGMAP a d’ailleurs signalé qu’il envisageait d’inclure ALICEM parmi les fournisseurs d’identité de FranceConnect, ce qui permettrait de proposer aux usagers une authentification d’un niveau de sécurité fort au sens du règlement e-IDAS. Ce projet justifierait la relance d’un projet de carte nationale d’identité électronique », souligne la Cour des comptes.
Les débats se poursuivent
L’identité numérique s’invite également à l’Assemblée nationale. Le député Dominique Tian (LR) a interpelé début février le gouvernement et plus particulièrement le ministre de l’Intérieur sur l’avenir de la CNIé. Souhaitant savoir ce que le gouvernement prévoit de faire pour rattraper son retard en vue de déployer la carte nationale d’identité électronique, il souligne le paradoxe entre la censure partielle du Conseil constitutionnel, les décrets d’application jamais mis en œuvre et l’arrêté rendu par le Conseil d’État le 18 novembre 2015 cassant le principe de conservation illimitée des données d’identité des demandeurs de carte nationale d’identité (CNI). Un décret devra être pris après avis de la CNIL dans les huit mois (considérant 9 de la décision) pour préciser la durée de conservation des empreintes collectées dans le cadre de la CNI. À défaut, lesdites empreintes ne pourront plus être collectées et conservées, l’article 5 du décret du 22 octobre 1955 instituant la carte d’identité devant être abrogé. « Cela constitue un paradoxe d’insécurité juridique du titre alors que les besoins de sécurité à la suite des attentats perpétrés sur le sol français n’ont jamais été aussi forts », a souligné le député de droite. Aucune réponse n’a encore été apportée mais le sujet devrait s’inviter dans les débats relatifs au projet de loi Numérique, le Parlement ayant demandé au gouvernement de lui remettre dans les trois mois suivant la promulgation de la loi (dont le projet sera examiné au Sénat au printemps) un rapport sur les mesures nécessaires au développement des échanges dématérialisés, notamment l’identité numérique, la valeur probante des documents numériques ou numérisés et la certification de solutions de coffre-fort électronique.
« La France possède plusieurs leaders mondiaux de la sécurité, mais l’administration française n’emploie pas de carte d’identité fortement sécurisée ; tel est le problème, nous en aurions bien besoin. En Europe, la France et la Slovaquie sont à ma connaissance les seuls pays à délivrer gratuitement une carte d’identité. Or, les cartes sécurisées ont un coût certain. Nous pourrions faire en sorte que le citoyen qui souhaiterait une carte d’identité forte ait à en payer le prix, tout en laissant l’obtention de cette carte facultative », conclut Anne Bouverot.