Des chemins complexes vers l’identité numérique 3.0 ?

LES FAITS

• Les annonces de déploiement de la nouvelle carte d’identité électronique française (CNIe) ont provoqué des frictions entre les parties en présence, pour les choix des sécurités physiques et numériques de la carte.

• Des parlementaires ont même écrit au Président de la République pour lui faire part de leur mécontentement quant au retard pris par la France en matière d’identité numérique.

• C’est dans ce contexte que le Parlement a auditionné des institutionnels et des industriels, dans le cadre de la commission "Bâtir et promouvoir une souveraineté numérique" (l'ANTS, France Identité numérique, Idemia, CSP, IN Groupe et ATOS).

• Le décret du 15 mars et les annonces du gouvernement mentionnent uniquement les fonctionnalité ICAO de la puce, conformément au règlement européen pour l’harmonisation des cartes d’identité européennes. Les institutionnels ont pourtant dévoilé que la CNIe déployée sur le terrain intègrera nativement une fonctionnalité d’identité numérique (puce fonctionnalité V1 telle que décrite sur le site de l’ANTS) même si verrouillée et inactivable en l’état.

ENJEUX

• L'enjeu de ces nouvelles auditions est d'abord de débloquer le cadre juridique (débat parlementaire, avis de la CNIL) pour les nouvelles fonctionnalités d’une identité numérique au niveau élevé, associée à la carte CNIe.

• Protéger la vie privée en intégrant la divulgation sélective et la pseudonymisation dans la puce de la carte, comme souhaité par la CNIL. Il faudrait attendre 2024 pour disposer d’une puce V2 correspondant à ces fonctionnalités cryptographiques, alors qu'elles sont décrites dans la spécification eIDAS token franco allemande émise il y a 5 ans. Le CSM offert par l’IN pour maintenir les sécurités de la puce sur la carte déjà émise durant son cycle de vie de 10 ans (certificats, changements de clés) risque de ne pas éluder un changement de carte en raison de l’évolution structurante de l’OS et de la puce associée.

• Mettre en œuvre une infrastructure permettant de gérer cette identité numérique. La directrice de l’ANTS a déclaré que l’appel d’offre pour un système SGIN était en instance de notification. L’IN Groupe a mentionné par ailleurs que l’infrastructure d’identité numérique pourrait être techniquement publique ou privée, pour gérer le container identité numérique élevée de la puce (accessible avec lecteur sur son PC perso ou de maisons France Service ou via le NFC de son mobile ; et « que c’était à la loi de le définir ».

• Déployer des applications Web et App mobile pour permettre au citoyen d’activer sa carte, choisir son code PIN et s’authentifier en ligne. Une application mobile pourrait être disponible dès fin 2021 avec un objectif de qualification à mi-2022.

• Faciliter la vérification de l’authenticité de la carte, sans besoin de la puce, avec un code 2D sécurisé imprimé sur la carte (le cachet électronique visible ou CEV), le plus interopérable possible.

• Faciliter les contrôles de vérification de la photo du titre, avec une photo couleur au lieu d’une photo noir et blanc comme prévu par l’ANTS. La limitation en noir et blanc par gravure laser du matériau polycarbonate limite la facilité de contrôle (mauvais contrastes pour certaines personnes de couleur) ; elle peut être aujourd’hui contournée avec de nouvelles technologies (comme la solution Idemia ou encore la solution Veridos utilisée pour la nouvelle CNIe allemande).

MISE EN PERSPECTIVE

• Les questions des parlementaires se sont focalisées sur deux sujets :
  • l’émission du titre physique : relations entre l’ANTS et l’IN Groupe qui a le monopole pour produire les cartes selon le cahier des charges de l’ANTS
  • et les modalités d’appels d’offre : choix des sécurités physiques et puce, coût de revient et de revente de la carte…

• Cependant, les retards en termes d’identité numérique ne s’expliquent pas qu’en raison d’un co-développement natif de l’identité numérique eIDAS avec le titre physique régalien conforme à la règlementation européenne. En effet, bien d'autres causes ont été sosulevées lors des auditions :
  • manque de ressources de l’ANTS, y compris pour l’AO SGIN (un recrutement est en cours pour un chef de projet pour la CNIe),
  • aléas politiques,
  • blocages juridiques (décision du conseil d’Etat de 2012),
  • besoin de prise en compte des conclusions du CNNum et de la mission ad hoc du parlement sur l’identité numérique,
  • nécessité de revoir le parcours d’identité numérique pour l’inclusion
  • et potentiellement le business model post-Covid.

• Coralie Heritier d’ATOS indiquait notamment avec pertinence que « la eCNI n’est pas le sesame unique de l’identité numérique ». L’identité numérique attestant de son état civil (conforme eIDAS) est souvent confondue à tort avec le titre d’identité électronique. Cette identité numérique peut être procurée par un fournisseur d’identité, qui peut être privé ou public, avec ou sans usage d'une CNIe.
  • Ce fournisseur doit vérifier à l’enrôlement l’identité de la personne à l’aide d’une identité source (en France une CNI ou une CNIe ou un passeport). Or le référentiel de l’ANSSI pour la prestation de vérification d’identité à distance PVID, vient juste de rentrer en vigueur depuis le 1er avril.
  • Ce fournisseur doit remettre à la personne un moyen d’identification eIDAS conforme aux exigences de l’ANSSI pour s’authentifier en ligne : ce moyen peut être matériel (le seul pouvant atteindre un niveau élevé avec une puce Certifiée Critère Commun : cela peut être la CNIe ou un autre support) ou immatériel (une app sur mobile comme l’identité numérique de La Poste, qualifiée au niveau substantiel).
  • Pour accéder en ligne aux différents services, l’usager doit pouvoir se connecter en ligne à un système d’information conforme aux exigences de l’ANSSI (SSO ou fédération d’identité). Pour les services publics français et certains services privés, l’Etat met à disposition FranceConnect pour le niveau faible et bientôt FranceConnect+ pour les services requérant un niveau de confiance substantiel ou élevé, la plateforme ayant été qualifiée par l’ANSSI en 2020.

• Pendant que la France débat sur l’identité numérique V3.0 à partir d’une CNIe, conforme à la vision actuelle du règlement eIDAS, d’autres pays se sont déjà lancés dans la vision V4.0 de systèmes de gestion de l’identité à l’état de l’art des attentes de contrôle des utilisateurs de leurs données et en conformité avec le besoin privacy by design du RGPD : la vision Self Sovereign IDentity supportée par le standard du W3C Verified Credentials.

• L’Allemagne a émis sa eCNI (la plus complexe mais aussi la plus privacy by design avec la pseudonymisation sectorielle). Elle s’est lancée dans une solution mobile ID avec dérivation de l’identité dans un Secure Element ouvert à des tiers (opposé à la vision mobile ID de Google). Désormais, elle se prépare intensivement avec le support de son gouvernement à la vision SSID dans un écosystème ouvert basé sur un consortium public/privé SSID : IDunion. Outre l’intérêt de la préparation à la prochaine révision eIDAS, il y a urgence car les acteurs Big Tech anglo-saxons sont déjà prêts : ainsi, Microsoft est prêt pour lancer sa solution Azure Active Directory Verified Credentials et a lancé des partenariats pour la vérification d’identité à distance (avec Jumio, Idemia, Onfido, Acuant).

FOCUS SUR LE CEV

• Le CEV est un code 2D qui garantit l’origine et l’intégrité des données-clés d’un document, quel que soit le support, électronique ou papier.
• Il s’agit d’un container cryptographique sécurisé dont l’en-tête et le message sont signés.
• Le certificat de l’émetteur qui atteste de l’authenticité des données n’est pas intégré dans le code en tant que tel. C’est l’en-tête qui permet de définir l'identification du certificat, outre les modalités du code et le cas d’usage.
• Le CEV peut assurer certaines des fonctionnalités desservies par l’ICAO à la puce d’un passeport ou d’une CNIe : le stockage mémoire sécurisé de données avec l’accès à un certificat pouvant attester de l’authenticité des données (origine, intégrité, statut de validité) mais avec l’avantage de ne pas stocker le certificat et de ne pas limiter à l’Etat l’accès à la vérification du certificat. Pour l’heure le CEV dans la CNIe n’intégrera que les données texte présentes sur le titre et dans la puce. L’avantage du CEV est l’accès au code par simple scan, photographie via un PC ou un mobile, quel que soit le document avec ou sans puce fonctionnelle.
• Le bloc optionnel annexe du CEV ouvre le champ à des usages et fonctionnalités diverses pouvant être sécurisées par du chiffrement additionnel (vérification de l’authenticité d’une sécurité physique du document, vérification d’une donnée biométrique …).
• Le premier cas d’usage opérationnel est le 2D DOC de l’ANTS (qui est d’ailleurs à l’origine des travaux de normalisation Afnor), qui est présent par exemple sur les vignettes Critair. Ce code 2D DOC s’appuie sur un codage C40, utilisé par les lecteurs choisis par l’ANTS, qui est une des causes de la limite d’interopérabilité.
• Pour l’heure la CNIe serait déployée avec la référence 101 de la norme Afnor à portée limitée d’interopérabilité, pour des raisons de « maturité » et de « préparation de la plateforme IN Groupe ».
• L’IN Groupe a indiqué que l’évolution vers la nouvelle référence 105 de la norme Afnor plus interopérable (en code binaire avec les standards internationaux ICAO du Visible Digital Seal et avec la vision du passeport vert européen de santé) pouvait être envisagée si l’ANTS le prescrivait.