L’État britannique révolutionne les procédés d’identification en ligne et génère à la fois plus de sécurité et plus de risques pour ses citoyens

Atlantico : Quelles sont les principales mesures mises en place par le programme Gov.uk Verify ? Quelles garanties apportent-elles ? 

Damien Bancal : Il s'agit de s'assurer que toutes les informations sensibles des citoyens sont chiffrées, et non piratables par une tierce personne. Tout l'enjeu est de garantir la non destruction et la non modification de ces données. Ce que les Britanniques veulent faire, c'est mettre toutes leurs données sur un gigantesque "cloud" pour facilitrer l'accès aux informations. Accessoirement, cela sert à faire des économies, puisque 350 millions d'euros de dépenses en moins ont par la même occasion été annoncées.

L'aspect sécurité est évidemment capital dans ce projet, car un piratage pourrait permettre à certaines personnes la création de faux papiers, par exemple. C'est pour cela d'ailleurs que les autorités ne divulguent pas trop d'informations sur le sujet, pour éviter la malveillance de pirates. On sait pour l'insant que ce dispositif supposera un chiffrage massif, ainsi que l'utilisation de carte à puce, afin que les sonnées soient dûment protégées.

Outre l'amélioration de la fiabilité, quels bouleversements ce programme amène-t-il dans la manière de concevoir son identité sur Internet ? Est-ce une révolution dans les usages ?

C'est une révolution, car on se rend compte que les individus auront dorénavant deux identités à gérer : la "réelle" et la numérique. La boîte mail, les numéros d'identification numérique vont prendre une importance considérable avec un programme comme Gouv.uk Verify. Prochainement, nos données seront peut-être intégralement contenues dans une carte à puce : une véritable rupture !

Quelles sont malgré tout les limites du système ? Peut-il résister à la sophistication – ou la débrouillardise – des pirates informatique ?

Depuis vingt ans que je travaille dans la cyberdéfense, j'ai toujours constaté que les pirates ont un coup d'avance. Or ce programme centralise absolument toutes les données. Et les pirates ne viennent pas toujours de l'extérieur, mais parfois de l'intérieur… Il faut donc espérer que tout ne soit pas regroupé dans un même lieu, et géré par les mêmes agents. Pour l'anecdote, j'étais récemment dans un centre des impôts, et j'ai vu sur un petit cahier qui trainait, écrits à la main, des mots de passe donnant apparemment accès à des données fiscales confidentielles… Si on reprend le cas de Snowden, il aurait eu devant les yeux des milliers de données sensibles qu'il n'aurait pas du voir. Alors si la protection absolue est impossible pour la NSA, qu'en sera-t-il pour les autres…

La France a-t-elle les moyens logistiques et humains de copier ce système ? Serait-ce complexe à mettre en place ?

La France est en train de se doter d'une vraie administration numérique. Il va maintenant falloir rassurer la population, la préparer à l'idée que les documents seront dorénavant sur des serveurs inaccessibles. Des discussions importantes doivent donc être organiées en amont, d'autant qu'une harmonisation au niveau européen va sûremet suivre.

En France, on est naturellemen inquiet vis-à-vis de la centralisation des données, avec la CNIL qui veille au grain. Le frein culturel qui opère en France n'existe pas outre Manche : dans les pays anglo-saxons, il vous suffit de vous munir de votre permis de conduire et de votre numéro de sécurité sociale pour vous constituer une identité. En France, on garde encore des cartes d'identité…