La base de données TES (Titres Electroniques Sécurisées) est dans le collimateur de l'agence nationale de la sécurité des systèmes d'information (ANSSI) mais également de la direction interministérielle du numérique et des systèmes d'information et de communication de l'Etat (DINSIC). Dans un rapport remis le 13 janvier au ministre de l'Intérieur Bruno Leroux, les directeurs respectifs de ces deux organismes, à savoir Guillaume Poupard et Henri Verdier, ont en effet épinglé la base de données géante centralisant les données personnelles de 66 millions de Français.
En novembre dernier, Bernard Cazeneuve - alors ministre de l'Intérieur passé depuis à Matignon -, avait indiqué devant la commission des lois de l'Assemblée Nationale qu'il était prêt à impliquer l'ANSSI ainsi que d'autres organismes afin de border l'exploitation d'un tel fichier et d'en assurer la sécurité : « Je propose à l'ANSSI et aux structures dont c'est le rôle de pouvoir examiner les conditions dans lesquelles les applications sont mises en oeuvre et si elles sont fiables, et comme je suis certain de ce que nous faisons et de la sincérité de notre démarche, non seulement je n'ai pas de problème à ce que l'on vienne regarder, mais je le souhaite », avait expliqué Bernard Cazeneuve.
Un audit reçu 5/5 par le ministère de l'Intérieur
Une proposition qui n'est pas tombée dans l'oreille d'un sourd, l'ANSSI, mais également la DINSIC, ayant travaillé sur la question et remis ainsi un audit du système TES qui ne manque pas de piquant. « Au regard de l'évolution des technologies et de la menace cyber, l'audit a mis en évidence que la sécurité globale de TES est perfectible », peut-on lire dans le rapport. « Du point de vue des usages, l'audit a constaté que le système TES peut techniquement être détourné à des fins d'identification, malgré le caractère unidirectionnel du lien informatique mis en oeuvre pour relier les données d'identification alphanumériques aux données biométriques. »
Afin de répondre à ces enjeux, l'ANSSI et la DINSIC proposent 11 recommandations, dont la mise en place d'un mécanisme de chiffrement des données biométriques, l'affinage de l'analyse de risque conduite dans le cadre de l'homologation du système TES, la mise en place une gestion stricte et formalisée des sous-traitants intervenant sur ce système ou encore l'accroissement de la robustesse des éléments cryptographiques utilisés dans la construction du lien unidirectionnel concernant l'ajout des cartes d'identité au système TES. Sans compter la nécessité de renforcer la traçabilité des actions menées dans le cadre des réquisitions judiciaires par des mécanismes techniques robustes et automatisés de contrôle d'accès et de journalisation. L'amélioration du processus de suivi des mises à jour des correctifs de sécurité sur les systèmes et applications et le durcissement des mots de passe figurent également au programme.
« Le Gouvernement reprend à son compte l’ensemble des recommandations proposées par cet audit visant à améliorer la protection de l’application contre les risques d’intrusion ainsi que la robustesse du lien unidirectionnel entre ses données alphanumériques et biométriques », a fait savoir Bruno Leroux. « J’ai d’ores et déjà mis en œuvre un plan d’action correspondant à ces recommandations, sur la base des échanges permanents intervenus durant l’audit entre les services de mon ministère et les auditeurs de l’ANSSI et de la DINSIC. »