Accueil

Rêve d'identité numérique #11 : la carte d'identité blanche

mer, 05/21/2008 - 16:27 — RenaudFrancou


Quelles informations devrions-nous voir sur une carte d'identité ? ou un permis de conduire, ou une carte d'électeur, ...? Pour Yves Deswarte, aucune !

En effet, toutes les informations visibles sur une carte d'identité peuvent être copiées pour en fabriquer une fausse, d'où un risque d'usurpation d'identité. En revanche, lorsqu'il s'agit de justifier de ma nationalité française, par exemple lorsque je rentre en France après un séjour à l'étranger, il est inutile qu'on puisse lire mon nom, ma date de naissance, etc., Il suffit que je possède une carte d'identité, qu'elle soit produite par la bonne autorité (ex. préfecture), qu'elle soit infalsifiable, et que je prouve qu'elle m'appartient. Pour cela , il faut sûrement que la carte comporte une puce, où seront stockées, entre autres, des informations biométriques, par exemple caractéristiques de mon iris droit, et que le policier des frontières utilise un lecteur de carte associé à un capteur biométrique (on pourrait facilement définir les détails techniques). De même pour les autres usages de la carte d'identité : par exemple, pour vérifier une carte d'embarquement ou un chèque, on transmettrait à la puce de la carte le nom et le prénom de la personne, et la puce (après vérification biométrique) comparerait ces informations avec celles inscrites dans la puce.

Ce même principe pourrait s'appliquer aux permis de conduire ou aux cartes d'électeur : pourquoi un gendarme qui arrête ma voiture et me demande mon permis de conduire devrait-il connaître mon nom, mon prénom, etc. ? La seule chose qu'il devrait vérifier, c'est si le permis est authentique (la puce est supposée infalsifiable), s'il correspond à la catégorie de mon véhicule (moto, auto, ...), s'il correspond bien à moi (vérification biométrique par la puce), et s'il n'est pas suspendu ; mais en cas de suspension, ma carte aurait été confisquée pour la durée de suspension (ou le permis aurait été invalidé sur la puce, en cas d'applications multiples sur la même carte, voir plus bas). Le même principe s'applique pour prouver à un loueur de voiture que je possède bien un permis de conduire valide.

Supposons maintenant que les forces de l'ordre, recherchant un criminel (ou même beaucoup de criminels), fassent des contrôles d'identité. Au lieu de leur prouver que je suis quelqu'un qui n'est pas sur leur liste, je peux leur prouver que je ne suis pas quelqu'un de le leur liste : il suffit qu'ils transmettent la liste des criminels à la puce de ma carte d'identité blanche (ou mon permis de conduire, ...) et la puce peut comparer cette liste aux informations stockées dans sa mémoire, et donc prouver que je ne suis aucun d'entre eux (ne pas oublier que la puce, supposée inviolable et infalsifiable, est fournie par une autorité légale reconnue, par exemple une préfecture).

Ce principe peut se généraliser à plein d'autres cas : par ce type de technique, avec une carte "blanche", il est possible de prouver qu'on est membre d une association, qu'on habite une commune donnée, qu'on a bien payé son abonnement à un journal ou à un transport en commun, etc., sans avoir besoin de transmettre d'informations personnelles, mais simplement en "prouvant" qu'on possède bien la ou les caractéristiques demandées (et rien de plus).
Cette technique présente aussi d'autres avantages : si je perds la carte ou si on me la vole, personne d'autre que moi ne pourra l'utiliser. Une seule carte suffit : toutes ces applications pourraient être enregistrées sur la même puce, avec un cloisonnement entre les zones appartenant à différentes autorités (préfectures, associations, éditeurs, etc.). Il serait aussi possible, pour le détenteur authentique de la carte, d'en faire des sauvegardes sur un serveur sur Internet, pour pouvoir, en cas de perte ou de vol, réinitialiser rapidement une nouvelle carte auprès d'une autorité légale.

Pour réaliser tout cela, les technologies existent déjà. Il suffit de vouloir d'en développer l'usage.

NDLR : Yves Deswarte est directeur de recherche au CNRS au LAAS (Laboratoire d'Analyse et d'Architecture des Systèmes)

Tags :

Commentaires

mer, 05/21/2008 - 19:23 — Joel (non vérifié)

Pour moi ...

Pour moi une carte ne devrait montrer qu'un lien vers MyVcf ;-)
http://MyVcf.com

ven, 05/23/2008 - 10:28 — M. GAD (non vérifié)

Contre le courant

Géniale, mais ça va contre courant
Malheureusement, la tendance partout (dans les pays des dictateurs aussi que les pays de bonheur) est d'écraser la vie privé des gens (avant d'écraser les gens eux mêmes).

dim, 05/25/2008 - 21:33 — Philippe Vacheyrout (non vérifié)

Carte d'Identité électronique

La carte blanche va dans le même sens que les principes de labellisation Capucine, qui visent au respect de la loi Informatique fichiers et liberté, à l’intégrité des données et au respect de la vie privée.

Le rêve a déjà été exprimé dans un article publié dans la revue réalité de l’UNAF et inscrit aux projets de la Fing en 2001 et effectivement est apparu à contre courant jusqu'à présent
http://www.capucine.net/presentation/realites.htm

Le rêve devient réalité avec la convergence des technologies et l’innovation, exprimé dans la charte pour un réseau de confiance numérique.
http://www.capucine.net/article.php?id_article=15

D’autre part le développement actuel des réseaux sociaux révèle et met en évidence ce type d’analyse. Aujourd’hui il ne tient qu’aux décideurs, Chef d’entreprises, directeurs d’établissements, responsables de collectivités territoriales de mettre en œuvre ces technologies au travers des projets d’Intranet, de Carte de Vie Quotidienne ou d’applications existante en substituant une authentification forte au login/mot de passe devenu obsolète. http://www.cvq.fr/

mar, 05/27/2008 - 08:00 — hugobiwan zolnir (non vérifié)

Bravo !

Excellent exemple et argumentation.
Je suis pour !
Hugo

ven, 01/16/2009 - 09:31 — Serge Ravet (non vérifié)

Carte blanche = bracelet électronique ?

L'important n'est pas tant que certains de mes attributs (comme mon nom) puissent être rendus invisibles (anonymisation), mais que les transactions elles-mêmes soient invisibles et ne puissent être rattachées à une (id)entité. Or la "carte blanche" ne vise pas la non-traçabilité des transactions, mais une plus grande transparence rendue acceptable du fait de l'anonymisation (qui n'est que la masquage de certains de mes attributs, mais pas la dissociation de l'entité utilisatrice du service de son fournisseur). S'il est des cas d'usage où le rattachement à une entité est pertinent, il faut aussi prendre en compte les cas d'usages où, comme avec les billets de banque ou les tickets de métro, je bénéficie d'un service sans être identifié par un autre attribut que le cash ou le ticket que j'ai dans ma poche.

Ne pas donner mon nom (ou d'autres attributs) dans une transaction ne protège en rien mon intimité, car c'est la transaction même qui génère la trace qui pointe vers mon (id)entité. Et l'on sait très bien comment en recoupant des informations anonymes on peut rétablir l'identité d'une personne -- un simple ordinateur personnel suffit pour cela.

Je trouve d'ailleurs tout à fait symptomatique que l'exemple traité avec le plus de détails soit celui du maintien de l'ordre. La "carte blanche", ne serait-elle pas finalement la "carte blanche" pour un état policier, une sorte de bracelet électronique que toute personne se déplaçant sur le sol français devrait posséder afin de pouvoir être contrôlée à chaque instant par des bornes de surveillance qui remplaceraient avantageusement les caméras de vidéo-surveillance pratiquant à chaque instant la "fouille au corps numérique" et pourraient ainsi alerter la patrouille de proximité pour lui indiquer qui n'a pas payé ses impôts, qui n'a pas une carte de séjour en règle.

Par ailleurs, partir du postulat qu'une technologie pourrait être infalsifiable doit être rejetée pour 2 raisons : historique (les prédictions de ce type sont régulièrement démenties) et historique (les faux papiers ont rendus de nombreux services dans les combats pour la démocratie) ; et donc si même une telle technologie était théoriquement possible, il faudrait la combattre avec la dernière énergie pour ne garder qu'une technologie extrêmement difficile à falsifier.

A défaut, le rêve serait devenu cauchemar...

dim, 09/13/2009 - 14:54 — Yves Deswarte (non vérifié)

Je ne souhaite pas répondre

Je ne souhaite pas répondre sur tous les points soulevés par ce commentaire, mais il me faut souligner quelques points fondamentaux :
- L'utilisation d'une carte blanche ne fournit aucun moyen de traçabilité par elle-même : il n'y a pas de numéro de série ou d'autre information individuelle qui pourrait être collectée quand on l'utilise ; si on trace les transactions, ce ne sera pas par la carte, qui ne dévoile aucune information, elle ne fait que certifier (ou non) les informations qu'on lui présente.
- La carte blanche permet de prouver des droits (par exemple qu'on est français, ou majeur) sans fournir aucune information d'identité.
- Pour un état policier, ce type de carte blanche ne présente donc que des inconvénients par rapport aux cartes d'identité classiques, ou celles électroniques qu'on nous prépare.
- Cette carte, sans être "parfaitement" infalsifiable, peut être aussi bien protégée que toute autre carte à puce ; d'autre part, sa sécurité repose aussi sur des techniques biométriques qui la rendent inutilisable pour qui que ce soit sauf son propriétaire, même pour quelqu'un qui réussirait à en briser les protections et qui serait capable de lire (ou de modifier) tous les bits d'informations qu'elle contient. Voir l'article cité dans mon dernier commentaire.

mer, 03/11/2009 - 00:17 — simple substitution (non vérifié)

On a en effet juste

On a en effet juste déplacé le problème : dans les années 70, ce qui faisaient peur c'était le remplacement de mon nom par une référence (THX-1138) moins sociale mais contrainte par les contraintes d'indexation de la base de données garante des id distribuées.

Aujourd'hui, on nous parle de remplacer mon alias social le plus habituel (mon nom et mon prénom) qualifié traditionnellement d'identité par un attribut prétendument moins "personnel" mais au final plus fiable de l'identification de l'individu. Il ne s'agit que de changer le champ d'indexation dans ma base de données.

Ce qui rassure le système, c'est une base de données fiable : bien tenue et bien indexée.
Ce que demande le simple individu : c'est le droit à l'anonymat, chaque fois que l'intrusion nécessaire n'a pas été démontré et justifiée. Et dans ce dernier cas, que l'intrusion soit limitée à l'absolue nécessité - c'est mal parti !!!

dim, 09/13/2009 - 14:30 — Yves Deswarte (non vérifié)

Publication d'un article technique

Pour ceux qui seraient intéressés à connaître les moyens techniques permettant de mettre en œuvre cette idée, un article (en anglais) est disponible à http://hal.archives-ouvertes.fr/hal-00411838/fr/

Poster un nouveau commentaire

Le contenu de ce champ est gardé secret et ne sera pas montré publiquement.
  • Allowed HTML tags: <a> <em> <strong> <cite> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de messagerie électronique sont transformées en liens automatiquement.

Plus d'informations sur les options de formatage