par Tony Anscombe
05/11/2016
En fin de semaine dernière, le Journal Officiel annonçait le lancement par le gouvernement français d'une base de données unique réunissant toutes les données biométriques, telles que les empreintes digitales de l’ensemble des citoyens français âgés de plus de 12 ans – criminels ou honnêtes.
La
Cnil (Commission nationale de l’informatique et des libertés) a émis
quelques réserves sur un dispositif qui réunit au sein d’un même fichier
des données aussi sensibles, et c’est bien là que se situe le problème
central. Le gouvernement devra tout mettre en œuvre pour une sécurité
maximale car la moindre faille sera inévitablement exploitée par des
hackers motivés par le gain du vol de telles données.
La décision du gouvernement de
recueillir des données sur les citoyens peut être controversée, surtout
lorsqu’il s’agit de citoyens mineurs. Le gouvernement français vient de
voter en faveur de la création d'une base de données unique sur tous les
citoyens âgés de plus de 12 ans et qui contiendra des identifications
biométriques comme les empreintes digitales et les données personnelles
dont l’adresse, l’âge, la couleur des yeux, et des photos. Il y a, bien
sûr, ceux qui s’indignent et expliquent qu’un tel dispositif constitue
une violation de leur liberté et ceux qui déclarent qu’ils n’ont pas de
problème avec cette loi puisqu’ils n’ont rien à cacher.
La
plupart des gouvernements disposent déjà de données centralisées de ce
type, mais généralement elles se limitent aux personnes qui ont un pied
dans le système pénal ou qui résident dans le pays en tant que migrant
ou travailleur temporaire. Aucun gouvernement occidental n’a, à ma
connaissance, pris de mesure aussi audacieuse et exigé de détenir les
informations de tous les citoyens âgés de plus de 12 ans. La
France a déjà eu une approche similaire en collectant les données de ses
citoyens par le passé. Toutefois, cela s'est passé durant la seconde
guerre mondiale, et toutes les informations ont été détruites lors de la
libération en 1945.
Ceci dit, la plupart des données en
question sont déjà collectées par les gouvernements, les différents
ministères et organismes officiels qui sont susceptibles de recueillir
les données individuelles afin de pouvoir délivrer un passeport ou un
permis de conduire. En revanche, les informations sont conservées
séparément et non dans un système centralisé contenant toutes les
indications pour plus de 60 millions d'habitants.
Les
vols de données à grande échelle touchant aux données sont monnaie
courante, et l’actualité met régulièrement à jour des scandales
d’entreprises se faisant pirater et voler les données de leurs clients
et de leurs partenaires. Nous, citoyens, considérons à juste titre la
plupart du temps, que le gouvernement mette en place des dispositifs de
sécurité et de conformité plus stricts afin d’assurer la protection des individus contre une telle faille.
La question est de savoir si nous devons
faire confiance au gouvernement et accepter qu’il dispose de cet
ensemble de données améliorées, dont des informations biométriques.
L'année dernière, une agence gouvernementale américaine, le Bureau de la
gestion du personnel (OPM), responsable des dossiers individuels de
tous les fonctionnaires ou employés potentiels, a été victime d’une
attaque qui a entraîné le vol des numéros de sécurité social de 21,5
millions de personnes. Environ 5,6 millions de ces dossiers contenaient
des données biométriques telles que les empreintes digitales. Ces
informations concernaient les personnes postulant ou travaillant dans
des agences gouvernementales et certaines données correspondaient même
aux antécédents complets sur la famille et les amis.
Disposer
des données sensibles de plus de 60 millions de citoyens français fera
du gouvernement une cible pour les hackers qui verront ces informations
comme des commodités d’une valeur inestimable à vendre au plus offrant.
Il est important de noter que la sécurité des données n’est peut-être
pas le problème central ; en effet, lors de précédents vols de données,
nous remarquons généralement que la faille est humaine avant tout.
Si un cybercriminel lance et réussit une attaque de spear phishing – ou
hameçonnage – contre un employé qui a accès à l'ensemble de la base de
données, alors plus de 60 millions de personnes risquent de voir leur
identité usurpée. Le contenu et le volume d’informations constituent une
belle récompense pour les hackers qui pourraient s’investir plus que
d'habitude et développer une attaque particulièrement sophistiquée afin
d’y avoir accès.
php
Aucun commentaire:
Enregistrer un commentaire