Usurpation d’identité : une nouvelle carte d’identité plus sécuritaire ?
La lutte contre l’usurpation d’identité s’accentue. Le début du mois de mars marque l’apparition d’un nouveau dispositif en ce sens : la carte d’identité biométrique. Premiers pas vers la mise en place d’une identité numérique plus sécuritaire, LegalClient revient aujourd’hui sur ces innovations renforçant la protection contre les usurpations d’identité dont les méthodes ne cessent d’évoluer.
Carte d’identité biométrique : renforcement de la protection contre l’usurpation d’identité
Dévoilée début mars 2021, la nouvelle carte d’identité fait petit à petit son apparition dans les mairies. Déployée dans l’Oise depuis le 15 mars 2021, elle devrait s’étendre progressivement à tout le territoire français jusqu’au début du mois d’août.
Comment se présente la nouvelle carte d’identité biométrique ?
La nouvelle carte nationale d’identité se présente au format carte bancaire (à l’instar du nouveau permis de conduire). Elle contient une puce électronique, comportant une photo du visage du titulaire ainsi que ses empreintes digitales. Equipée d’un cachet électronique visuel (CEV) signé par l’Etat, similaire à un flashcode, elle incorpore un dispositif de lecture automatique.
Comme nous l’indique l’exécutif dans la présentation de ce nouveau document, la nouvelle carte d’identité devrait permettre de lutter contre la fraude et l’usurpation d’identité.
Son composant électronique, hautement sécurisé et réputé infalsifiable, comprend les informations suivantes figurant aussi sur la carte même : nom, nom d’usage, prénoms, date et lieu de naissance, l’adresse, la taille, le sexe, la date de délivrance de la carte et sa date de fin de validité ainsi que, comme pour le passeport, la photo du visage et les empreintes digitales. Le dernier point sur les empreintes digitales ne concernera pas les mineurs de moins de douze ans.
Le cachet électronique visuel évoqué ci-dessus et qui reprend les données inscrites sur la carte, devrait permettre de détecter rapidement une éventuelle fraude en cas de modification de ces données.
La carte biométrique se voue à coexister une dizaine d’années avec notre modèle de carte d’identité actuel. Ce dernier ne sera effectivement plus valable à partir du 3 août 2031. En revanche, aucune carte nationale d’identité à l’ancien format ne pourra être délivrée à partir du mois d’août. Si votre carte d’identité actuelle est encore valide, vous n’avez pas besoin de la renouveler de manière anticipée. Ce ne sera qu’à partir de 2031 qu’il deviendra impossible de voyager dans l’espace européen avec votre ancienne carte.
Une innovation efficace pour lutter contre l’usurpation d’identité ?
Il faut tout d’abord noter que c’est un règlement européen qui impose la généralisation de cette carte à partir du 2 août 2021.
L’appellation de ce règlement est assez parlante quant à l’objectif sous-jacent la mise en place de ce nouveau dispositif. En effet, ce règlement UE du 20 juin 2019 se veut notamment relatif au renforcement de la sécurité des cartes d’identité des citoyens de l’Union.
Les considérants inscrits par le législateur européen dans ce règlement témoignent de cette volonté de lutte contre les usurpations et autres fraudes à l’identité. Nous pouvons aussi noter les espoirs, en matière de renforcement de la sécurité, placés dans ces nouveaux mécanismes.
Tout d’abord, ces nouvelles mesures de sécurité répondent à un problème concret soulevé au considérant 5 de ce texte. Le Parlement européen souligne d’abord « des différences considérables existent entre les niveaux de sécurité des cartes nationales d’identité délivrées par les États membres« . Ces variations augmenteraient alors « le risque de falsification et de fraude documentaire« . Les données fournies par le réseau d’analyse des risques de fraude documentaire dans l’Union indiqueraient à ce propos que « le nombre de cartes d’identité frauduleuses en circulation augmente avec le temps« .
En ce sens, le considérant 17 de ce règlement évoque alors ces éléments de sécurité comme « nécessaires pour vérifier l’authenticité d’un document et pour établir l’identité d’une personne« . Ainsi, « l’intégration de données biométriques dans les cartes d’identité d’un État membre sont des étapes importantes pour rendre leur utilisation dans l’Union plus sûre« .
Enfin, le considérant 18 poursuit en justifiant l’usage des données biométriques. Le stockage d’une image faciale et de deux empreintes digitales combinerait alors « de manière appropriée une identification et une authentification fiables avec une réduction du risque de fraude, dans l’optique de renforcer la sécurité des cartes d’identité et des cartes de séjour« .
L’identité numérique : un dispositif prometteur pour la lutte contre l’usurpation d’identité ?
Selon un article d’Elsa Trujillo pour BFMTV, la carte d’identité biométrique se destine à servir, à terme, « de support pour accéder à des services publics ou privés exigeant une identification robuste en ligne« . Cela ouvrirait alors la voie à une « identité numérique régalienne« , sur laquelle le Ministère de l’Intérieur travaillerait depuis 2018.
Qu’est-ce que l’identité numérique ?
L’identité numérique se définit de manière générale comme l’ensemble des traces numériques qu’une personne ou une collectivité laisse sur Internet. Au sens entendu au sein du débat actuel, cette identité numérique est déclarative. Elle se constitue des diverses informations déclinées par la personne, portant sur son état-civil et sur d’autres éléments objectifs.
Dans un rapport à ce propos, le député Jean-Michel Mis souligne qu’elle constituerait un moyen de « permettre au citoyen de disposer dans l’espace numérique d’un moyen de justifier de son identité pour sécuriser ses interactions avec les administrations et les fournisseurs de services« .
Une centralisation des informations officielles relatives à l’état-civil des citoyens contribuerait donc à lutter contre le phénomène d’usurpation d’identité. De plus, ce dispositif revêt un aspect pratique non-négligeable. Il apporterait une simplification administrative considérable. En effet, cela diminuerait drastiquement le formalisme lié à la création et à l’accès à différents espaces en lignes qui seraient dès lors permis par la simple saisie d’identifiants uniques, les données nécessaires étant alors centralisées.
Comment déployer une identité numérique officielle ?
Deux schémas semblent s’opposer au sein de l’administration. Le premier impliquerait que les sites Web paient le service public France Connect, comptabilisant près de 21 millions d’utilisateurs afin que les citoyens puissent s’authentifier sur leurs services à partir de l’identité numérique de leur carte. Ce service pourrait aussi être effectué, plutôt que par France Connect, par des acteurs privés.
Une autre piste envisagée consisterait à associer son titre d’identité biométrique à un smartphone. Cela afin de stocker cette identité numérique sur l’appareil directement. Fini les photocopies de carte d’identité ou la photographie de celle-ci. Il n’y aura plus d’inquiétude quant à la possible perte de nos documents officiels lors de voyage par exemple. Encore faut-il ne pas égarer son smartphone non plus dans une telle situation. L’article proposé par Elsa Trujillo nous apprends que ces « informations d’identité pourraient être collectées en NFC, une technologie de communication sans fil à courte portée et à haute fréquence, déjà utilisée pour le paiement sans contact« .
Cette seconde option remédierait alors à une « zone d’ombre de la nouvelle carte biométrique » : sa durée de validité fixée à 10 ans, « une éternité dans le monde de la sécurité informatique« . En effet, la vitesse à laquelle se développe les technologies informatiques permet de poser quelques doutes quant à l’aspect sécuritaire d’un dispositif informatique figé sur une période de dix années. On peut penser en ce sens qu’il sera rapidement aisé pour les pirates de percer les sécurités d’un système si celui-ci n’est pas mis à jour ou renforcer régulièrement.
Pour le moment, le déploiement de cette identité numérique est en suspens. Aucun calendrier ne semble définitivement fixé. Les Echos voient en cela une marque d’indécision de l’Etat sur la forme que cette identité numérique devrait prendre.
Lire aussi : Usurpation d’identité : comment sortir de cet enfer ?
L’usurpation d’identité face aux évolutions technologiques
Ces avancées en matière de sécurité et de lutte contre l’usurpation d’identité répondent un phénomène précis. Nous parlons ici des innovations technologiques qui contribuent à faciliter les fraudes. Au centre de ces innovations, les techniques de deepfake constituent une réelle problématique.
Le deepfake, ou hypertrucage, consiste en une technique de synthèse d’images basée sur l’intelligence artificielle. En superposant des fichiers audio et/ou vidéo ensemble, il est ainsi possible de tronquer la réalité. De tels dispositifs permettent alors des fraudes en tout genre. Il est ainsi possible de faire dire ou de faire faire n’importe quoi à n’importe qui par l’intermédiaire d’un fichier audio/vidéo truqué.
Ce système de permutation de visages a notamment pu être utilisé pour donner une image fausse de politiciens connus. En avril 2018, Jordan Peele sensibilisa aux dangers de cette technique en créant une fausse vidéo de Barack Obama faisant une annonce publique.
De telles technologies ont ainsi été mises en œuvre afin de soutirer de l’argent à des entreprises. Usurpant la voix du président d’une société, les escrocs persuadent alors un salarié d’effectuer un virement de fonds dans l’urgence.
En France, l’escroquerie aux faux ordres de virement a signé un retour en force en 2020 d’après Le Figaro. Le préjudice pour les entreprises et les collectivités s’élèverait à 114 millions d’euros l’an passé. Cela marque une hausse par rapport à 2019 dont le préjudice total s’élevait 89 millions. Début 2021, des usurpateurs auraient réussi à détourner 14,7 millions d’euros à la société d’expertise-comptable marnaise CDER. Ces cybercriminels auraient pénétré l’ordinateur personnel du président du groupe pendant plus de vingt jours. Pendant ce temps, ils auraient envoyé des mails à la comptable en télétravail afin d’effectuer des virements à l’étranger.