Fichier TES : un audit recommande de renforcer sa sécurité [20170130] | vie-publique.fr | Actualités | En bref

[ Publicité ]
Imprimer

Fichier TES : un audit recommande de renforcer sa sécurité

le 30 01 2017

Le 17 janvier 2017, le ministre de l’intérieur a publié le rapport d’audit sur la sécurité du fichier des titres électroniques sécurisés (TES), commandé en novembre 2016 à l’Agence nationale de la sécurité des systèmes d’information (Anssi) et à la Direction interministérielle du numérique et du système d’information et de communication de l’État (Dinsic). La création de ce fichier par décret du 28 octobre 2016 avait suscité des inquiétudes dans la société civile et chez certains parlementaires. La Commission nationale de l’informatique et des libertés (Cnil) et le Conseil national du numérique (CNNum) avaient, pour leur part, déploré l’absence de débat parlementaire et de concertation préalable de la part du gouvernement sur ce nouveau fichier.

Le TES est le produit du transfert de deux fichiers informatiques existants, au sein d’une base de données informatique commune. Ces fichiers sont, d’une part, le fichier national de gestion (FNG) regroupant les informations enregistrées lors de la création d’une carte nationale d’identité et, d’autre part, le système TES, son équivalent pour les passeports. Pour les auteurs du rapport, les principes de conception du système TES sont, du point de vue de la sécurité informatique, compatibles avec la sensibilité des données qu’il contient. Toutefois, en raison de sa complexité mais aussi de l’évolution rapide des technologies et des cybermenaces, la sécurité globale du système est perfectible. Tout au long de l’audit, l’Anssi a donc transmis des recommandations en termes de gouvernance, d’exploitation et de durcissement des mesures de sécurité afin qu’elles soient rapidement mises en œuvre dans le plan d’action lancé par le ministère de l’intérieur.

Le rapport révèle également que, du point de vue des usages, le système TES peut être détourné à des fins d’identification des personnes fichées (partir d’une empreinte pour identifier une personne), malgré le caractère unidirectionnel du lien informatique entre données alphanumériques (noms, prénoms, etc.) et données biométriques (photographies, empreintes digitales, signature). Sur ce point, le ministère de l’intérieur s’est engagé à renforcer le chiffrement du lien et à chiffrer les données biométriques et les pièces justificatives en 2017.

Des pistes d’évolution à moyen et à long terme du système sont, par ailleurs, proposées par l’audit comme la création d’un second fichier TES dédié au traitement des réquisitions judiciaires et le transfert dans un cadre interministériel de la gouvernance de TES et plus largement des systèmes d’information comportant des données biométriques.

Pour conclure, les experts de l’Anssi et de la Dinsic rappellent qu’il est impossible de garantir l’inviolabilité technique absolue d’un système d’information dans le temps. Ils renvoient à l’État la question d’arbitrer entre les bénéfices en termes de simplification administrative et de lutte contre la fraude documentaire qu’apportent un tel système et les risques inévitables qu’il comporte.

Actuellement expérimenté dans le département des Yvelines et en Bretagne, le fichier TES sera généralisé pour délivrer les cartes d’identité à tout le territoire entre fin février et fin mars 2017, après aboutissement de la procédure d’homologation en cours. Le dispositif de sécurité du système sera réévalué dans un an.

Rechercher