L'enchaînement rocambolesque qui m'a amené à recevoir un faux passeport suisse avait déjà provoqué un mini-buzz (plus de 4'000 consultations de l'article en trois jours), un sujet sur les ondes de la radio suisse romande et une réaction de l'office cantonal des passeports, mais c'est seulement quand L'Express/L'Impartial en a fait sa une que fedpol, l'office fédéral de la police, m'a contacté.
En effet, Claire Jordi, cheffe de la section "documents d'identités", m'a téléphoné pour me proposer de venir dans les locaux de fedpol pour vérifier les données contenues dans la puce de mon passeport et dans la base de données ISA, ainsi que pour rencontrer Philipp Bättig, remplaçant du chef du projet biométrie.
J'ai ainsi eu le privilège de rencontrer ces deux personnes et de pouvoir leur poser toutes les questions que je voulais sur le système mis en place.
Avant de proposer un petit compte rendu de ces discussions, j'aimerais remercier ces deux personnes de leur grande disponibilité et de leur accueil sympathique. Si j'ai un peu critiqué nos institutions dans mes billets précédents, j'aimerais aussi relever que je suis conscient de la chance que j'ai d'habiter dans un pays où:
- le fait de critiquer l'état sur mon blog ne me met pas en danger d'arrestation, de censure ou d'une quelconque discrimination en représailles - ni moi ni ma famille.
- j'ai la possibilité en tant que simple citoyen de rencontrer personnellement les responsables à très haut niveau et de discuter directement avec eux.
Ce que j'ai appris
Vérification de mes données personnelles
D'abord - c'était le but premier de ma visite - les données contenues dans la puce de mon passeport sont correctes (bien que la prise des empreintes digitales soit d'assez mauvaise qualité). Les données contenues dans la base de données centrale ISA sont également bien les miennes - additionnées d'une trace du "faux passeport", puisque l'article 37 de l'ordonnance sur les documents d'identité des ressortissants suisses demande que toutes les données soient conservées 20 ans au moins (après quoi la décision de les conserver plus longtemps relève des... archives fédérales!).
Mais les près de trois heures (!) de discussion que mes interlocuteurs m'ont accordées m'ont permis d'apprendre tout plein d'autres choses. La quasi-totalité de cette information est disponible publiquement, mais disséminée un peu partout sur le site de la confédération. Je résume donc les points qui me paraissent importants ci-dessous.
Accès aux données
Les données contenues dans la puce RFID du passeport suisse sont de deux types:
- les données déjà imprimées sur le passeport, cryptées avec une clé basée sur des informations présentes dans le passeport. Autrement dit, si on a un accès physique au passeport, il est possible de décrypter certaines données de la puce... mais seulement celles qui ne nous apprennent rien de nouveau!
- les empreintes digitales, cryptées selon un autre système bien plus "blindé".
La première catégorie de données est en principe assez largement accessible (notamment par les douaniers de nombreux pays), mais comme la lecture de la puce est beaucoup plus lente que celle la ligne pleine de "<<<" en bas du passeport, l'utilisation est généralement réservée à la "2e ligne" dans les douanes - en gros les personnes sur qui l'on a déjà un soupçon.
La seconde catégorie (empreintes digitales) est beaucoup plus restreinte: pour l'instant, seules des instances suisses ont accès à ces données en vérification (attester que les empreintes du porteur sont les mêmes que celles sur la puce) et seules trois personnes en tout ont un accès complet à ces données (i.e. la possibilité de visualiser les empreintes elles-mêmes).
Moi qui imaginais que les empreintes digitales étaient utilisées par les douaniers américains en arrivant sur le territoire des États-Unis, je m'étais visiblement lourdement trompé (d'autant plus que j'avais cru comprendre que c'était une des raisons principales pour lesquelles on avait établi cette nouvelle norme de document...)
C'est donc plutôt une bonne nouvelle de constater que l'accès à ces données est assez réduit (du moins en principe). Mais avec cette nouvelle donne, je dois avouer que je comprends encore moins qu'avant à quoi peut servir tout ce foin technologique - puisqu'en gros il y a de fortes de chance que la puce de mon passeport ne soit jamais utilisée...
Quant à la base de données centralisée ISA, son accès est aussi très restreint (à l'échelle d'une administration fédérale, ce qui représente tout de même plus de 1'500 personnes autorisées) et il est sécurisé aussi fortement que notre confédération sait le faire (mêmes standard que les informations des services secrets, par exemple).
On m'a aussi confirmé que cette base de données est destinée uniquement à l'établissement et à la vérification de documents d'identité, et que malgré les demandes incessantes de la part d'autres services en Suisse et à l'étranger, ces données ne sont pas communiquées à d'autres fins (en espérant qu'à l'avenir les responsables resteront aussi stricts que maintenant...).
Quant aux choix d'infrastructure... je m'étonne une fois de plus que pour les données les plus sensibles de la confédération, on se permette d'utiliser sur les postes clients un système d'exploitation dont l'éditeur collabore activement avec les dictatures, brevette des systèmes de fuites de données et admet que la loi américaine peut le forcer à livrer des données au gouvernement - même si elles sont hébergées en Europe. Mais je sais par expérience que ce paragraphe ne convaincra que les convaincus et que les autres préféreront se cacher derrière de l'incrédulité, de l'indifférence ou de la naïveté.
Légende urbaine
Comme beaucoup de monde, j'étais entièrement convaincu que les passeports biométriques ont une couverture doublée au métal afin de former une cage de Faraday empêchant la lecture de la puce sans ouvrir le passeport.
J'en avais entendu parler la première fois lors d'une (brillante) conférence de Gildas Avoine à SSTIC en 2006. Lors d'un aparté, le conférencier avait évoqué ce moyen d'éviter l'utilisation d'un passeport comme déclencheur de "bombe personnalisée". J'ai revu cette information plusieurs fois depuis à différents endroits...
Et pourtant, en tout cas en ce qui concerne le passeport suisse, elle est erronée. La couverture est formée de plusieurs couches de carton entre lesquelles la puce et son antenne sont insérées. La prévention d'actes malveillants basés sur la lecture à distance de la puce repose donc sur la supposée impossibilité de lire les informations à une distance de plus de quelques dizaines de centimètres, ainsi que sur le cryptage des données.
J'ai lu bien des remises en question de l'efficacité de ces mesures, mais je n'ai pas les moyens de séparer entre les légendes urbaines et la réalité. Je laisse donc au lecteur le soin de se faire sa propre opinion...
[Complément d'information de Gildas Avoine, 19 février 2012: "Ce sont les passeports US qui ont une couverture qui forment une cage de Faraday. Je n'ai jamais vu de passeport européen qui ait une telle protection (ça ne veut toutefois pas dire qu'il n'y en a pas, juste que je n'en ai jamais vu)."]
Le pourquoi des problèmes
J'ai aussi un peu mieux compris comment l'enchaînement de circonstances qui a conduit à l'établissement de mon faux passeport est possible. De manière amusante (?), c'est lié au système fédéral suisse.
En effet, la mise en place du système de gestion des passeports est du ressort fédéral, mais l'établissement des documents relève des cantons. Ainsi la confédération met à disposition une infrastructure et propose des formations pour l'utiliser au mieux... mais elle n'est pas compétente pour forcer les offices cantonaux à envoyer leurs employés suivre ces formations au niveau fédéral.
Outre la formation fédérale, on a donc potentiellement 26 politiques de formation distinctes pour notre petit pays... ce qui me pousse à me demander si d'autres mésaventures du même genre ne surviennent pas de temps en temps ailleurs - sans forcément que cela ne se sache au niveau fédéral.
Ceci nous ramène d'ailleurs à la question de "l'erreur humaine" sur la quelle je me suis déja attardé: dans ces circonstances, les erreurs commises par les employés peuvent tout aussi bien résulter de problèmes systémiques que de dysfonctionnements individuels. Je n'ai pas (et ne veux pas avoir!) les éléments pour juger dans ce cas précis, mais je reste convaincu qu'il est capital de ne pas chercher à blanchir immédiatement le système en désignant un coupable unique...
Ceci dit, fedpol a planifié dès août 2011 une tournée des offices cantonaux chargés d'établir les pièces d'identités afin de juger de l'état des lieux et proposer des améliorations. Il semblerait donc que ça va dans le bon sens.
Ma conclusion
Les personne que j'ai rencontrées à Berne m'ont fait très bonne impression. Au lieu du cliché de l'administration-rouleau-compresseur-qui-applique-aveuglément-des-règlements-dépassés, j'ai rencontré des gens réfléchis, posés et ouverts au dialogue.
Comme les arguments bateaux assénés sur certains sites cyber-libertaires ne tiennent pas la route en face d’interlocuteurs de ce type, cela m'a forcé à bien réfléchir à ma position - et c'est très bien comme ça.
En conclusion, il en faudrait bien plus que ça pour me convaincre de la nécessité qu'il y avait à passer à de tels documents d'identité - et plus encore pour justifier à mes yeux la base de données centrale y relative.
Mais nous vivons en démocratie et le peuple suisse a accepté (d'extrême justesse à 50.1% des voix!) ces principes... partant de ce constat, je suis obligé de considérer ces éléments comme un mal nécessaire et je suis rassuré de voir qu'au moins, ces dossiers sont pilotés par des gens à la fois ouverts et sérieux. Il ne reste plus qu'à espérer qu'à l'avenir cela restera le cas - et là c'est à nous tous, citoyens, de veiller au grain!
