Analyses, commentaires et informations sur l'actualité suisse
Indépendant, différent, réformiste du 31 octobre 1963 au 24 juin 2021
Analyses, commentaires et informations sur l'actualité suisse
Indépendant, différent, réformiste depuis 1963
Après 58 ans, Domaine Public a cessé de paraître. Ce site ne publiera plus de nouveaux articles et est en cours de transformation pour présenter l'histoire et les archives du journal.

Loi e-ID, insécurité programmée

Le 7 mars prochain, les Suisses se prononceront sur la LSIE, la loi sur les services d’identification électronique. Les raisons de la méfiance

Photo Jerry Meaden
Photo Jerry Meaden (licence CC)

La loi sur les services d’identification électronique, dite loi sur l’e-ID, vise à standardiser un marché suisse pour l’identité numérique sur Internet. L’État transmettrait les données d’identification personnelle (nom, âge, photo-passeport…) à des entreprises privées. Ces dernières se chargeraient de certifier l’identité des individus concernés lors de transactions en ligne (administration, achats, etc.). Selon ses promoteurs, cette idée vise principalement à harmoniser les pratiques d’e-administration au niveau des cantons ainsi qu’à garantir plus de sécurité en ligne.

Pourtant, la loi e-ID semble dépassée avant même d’être passée. Suite à la procédure de consultation informelle de 2015, le Conseil fédéral envisageait l’année suivante que, avec une base légale, certains fournisseurs de services d’identité pourraient être «autorisés à recueillir des données d’identité gérées par l’État (par exemple, nom, prénom, date de naissance) via une interface électronique». Autant dire que cette option représente une prise de risque sérieuse pour la protection des données. 

Stratégie peu claire

Le respect de la sphère privée, y compris en ligne, est l’un des droits fondamentaux de toute personne, selon la Constitution fédérale. Ce n’est donc pas un hasard si la protection des données personnelles constitue l’une des préoccupations principales de la population. Le principe de la protection de «toutes les informations qui se rapportent à une personne identifiée ou identifiable» (art. 3 LPD) garde tout son sens en termes de cybersécurité.

En effet, il est communément admis que la sécurité d’un système d’information dépend de sa capacité à donner ou restreindre l’accès aux données ainsi qu’à garantir l’intégrité de ces dernières. Des moyens d’authentification (et non d’identification) des informations et des entités qui les fournissent ou les demandent sont par conséquent indispensables. En s’attaquant à ce domaine, la loi e-ID arrête donc un choix stratégique.

Pour être sûre, une administration en ligne se doit de garantir la sécurité des données, y compris personnelles. La loi e-ID, cependant, ne donne aucun détail sur le niveau de supervision auquel seraient sujets les «fournisseurs d’identité». D’un point de vue théorique, les ressources nécessaires à la surveillance approfondie d’un tel flux et stockage de données seraient équivalentes, voire supérieures, à celles qu’une identité digitale gérée par l’État demanderait – par ailleurs, écologiquement, la redondance d’informations implique une augmentation de la consommation énergétique.

Hachage cryptographique

La loi e-ID ne requiert aucun chiffrement par fonction de hachage cryptographique (crypto hashing) des informations d’identification qu’elle propose de transmettre à des entreprises tiers. Cela est problématique dans la mesure où cette technologie est essentielle à la création d’une identité numérique sécurisée. En effet, le hachage cryptographique permet la mise en place d’un système distribué, décentralisé et encrypté apportant une solution fiable et économique à la gestion de l’identité en ligne.

Plus précisément, cette fonction du hachage cryptographique permet de réduire les données archivées ou transmises à une valeur alphanumérique arbitraire et unique – écologiquement supportable. Une fois effectuée, cette opération devient irréversible. Simplement, une suite d’informations telles que le nom, prénom, et numéro de passeport d’une personne est transformée en une «empreinte» unique, faite de chiffres et de lettres, comme b57RPX72.

De la même façon, une empreinte unique peut être attribuée à toutes transactions, telles que l’obtention d’un diplôme ou l’achat d’un bien. Assemblées en chaîne (blockchain), ces empreintes peuvent jouer le rôle d’un registre chronologique et encrypté des personnes et des transactions. Ainsi, le hachage cryptographique permet de transmettre, conserver et authentifier des informations tout en les gardant confidentielles. 

Aussi étonnant que cela puisse sembler, cette technique peut bel et bien être utilisée pour authentifier des personnes, des diplômes ou des actes notariés de façon anonyme. Il est donc surprenant de constater que la loi e-ID ne prévoit aucun recours à cette technologie, alors que l’immense majorité des pays parient sur elle.

Infrastructure européenne versus loi suisse

Le hachage cryptographique est en effet la technologie choisie par l’Union européenne pour gérer l’administration en ligne et l’identité digitale de la population. Ainsi, l’infrastructure européenne pour les services en chaîne de blocs (European Blockchain Service Infrastructure – EBSI) se base sur cette dernière pour fournir un service d’authentification entre les citoyens, les entreprises et les gouvernements.  

Grâce au hachage cryptographique, l’EBSI permet de satisfaire les trois critères principaux de la sécurité d’un système d’information. Premièrement, l’intégrité des données est maintenue grâce au chiffrement à sens unique. Deuxièmement, la résilience des données et du système – soit leur capacité à ne pas se trouver endommagés – est assurée par leur distribution dans chaque nœud du réseau. Enfin, le fonctionnement et la structure décentralisés permettent une coordination optimale. 

Fort de ces promesses, le projet a même séduit au-delà des frontières de l’Union, puisque la Norvège et le Liechtenstein l’ont récemment adopté. En comparaison avec le projet EBSI, notre loi e-ID fait donc pâle figure. 

L’absence de discussion publique sur le concept d’identité numérique y est probablement pour beaucoup. Au final, il apparaît évident que la consultation informelle de 2015 sur le concept pour des systèmes d’e-ID suisses reconnus par l’État n’a pas permis de tenir compte de l’importance de mettre la protection des données personnelles au centre de la LSIE, cette loi sur laquelle les citoyens se prononcent le 7 mars prochain.

Une réaction? Une correction? Un complément d’information? Ecrivez-nous!
logo creative commmons Republier
La reproduction de cet article est autorisée et gratuite, mais selon les modalités du présent contrat Creative Commons: activer un lien vers la page ou citer l'URL de celle-ci, https://www.domainepublic.ch/articles/38449 - Merci
DOMAINE PUBLIC

Analyses, commentaires et informations sur l'actualité suisse
Indépendant et différent depuis 1963
En continu, avec liens et réactions sur https://www.domainepublic.ch
Newsletter gratuite chaque lundi: les articles, le magazine PDF et l'eBook
En continu, avec liens et réactions sur https://www.domainepublic.ch

Lien vers l'article: https://www.domainepublic.ch/articles/38449

Accueil

Auteures / Auteurs

Les articles

Les publications

Le Kiosque

À propos de DP