Alban Féraud : « Le Cybersecurity Act va créer une large incertitude quant à la conformité légale des titres d’identité »

Le diable se cache-t-il dans les détails ? Le processus de certification européenne en matière de cybersécurité ne semble pas avoir pleinement pris en compte le cas des documents d’identité numériques et électroniques. Alban Féraud, vice-président de l’ACN, dévoile pour inCyber le dessous des cartes… D’identité.

« Au-delà de cette date, votre titre d’identité ne sera plus valable ». Serons-nous bientôt confrontés à une annonce aussi lourde de conséquences… Au nom de la sécurité desdits documents ? Lors de la Cybersecurity Certification Conference organisée par l’Association pour la Confiance Numérique, le 11 janvier 2022, Alban Féraud, vice-président Identité numérique de l’ACN, a jeté un pavé dans la mare.

Celui qui est aussi responsable Affaires règlementaires, développement du marché et des affaires chez Idemia a souligné que la durée de vie des documents d’identité numériques et électroniques ne cadrait pas avec celles des certifications européennes en cours d’élaboration dans le cadre du Cybersecurity Act de l’UE, adopté en juin 2022. Un hiatus potentiellement lourd de conséquences. inCyber l’a interrogé à ce sujet.

Les documents numériques tels que la CNIe et le passeport stockées dans le digital wallet conserveront-ils la même durée de vie que les supports physiques ?

Cette décision sera du ressort des États émetteurs. Toutefois, il est probable que la durée de vie soit plus courte que le document que nous connaissons, principalement parce que la durée de vie d’un téléphone mobile est beaucoup plus courte : il est remplacé en moyenne tous les deux à trois ans.

Ces documents numériques officiels doivent présenter les meilleures certifications de cybersécurité. Quelles sont les principales d’entre elles ?

Dans le cas d’une CNIe ou d’un passeport dans un portefeuille d’identité numérique (wallet), la sécurité reposera essentiellement sur ce dernier. Il contiendra notamment la représentation des documents officiels, dont il assurera la protection et la divulgation sélective, sous le contrôle exclusif du porteur. Le projet de règlement eIDAS 2 instituant le portefeuille d’identité numérique – et ses exigences de certification de sécurité – est en cours de discussion.

Le consensus qui semble se dessiner sur l’utilisation de schémas de certification de sécurité européens (institués par le règlement 2019/881 – Cybersecurity Act) reste encore à confirmer dans le texte final. De plus, au vu de la sensibilité des données hébergées par le portefeuille d’identité numérique (CNIe…), un très haut niveau de certification de sécurité du portefeuille devrait être exigé, à savoir le niveau « élevé » au sens du règlement 2019/881. À ce jour, cette exigence n’a malheureusement toujours pas émergé des discussions sur le texte eIDAS 2.

Que se passerait-il si un titre d’identité digital se voyait refuser sa certification ?

Dans le cas où un portefeuille viendrait à perdre sa certification de sécurité ou à être exposé à une vulnérabilité, le projet de texte eIDAS 2 prévoit une suspension, voire une révocation du portefeuille. Les données qu’il contient seraient alors inutilisables, ce qui empêcherait tout détournement.

Que prévoient les certifications de cybersécurité pour les documents électroniques (tels que les CNI à puce) à longue durée de vie ?

Jusqu’alors, l’idée fondatrice des règlementations applicables aux titres d’identité était d’exiger uniquement une certification de sécurité initiale de très haut niveau, de sorte à anticiper la dégradation du niveau de sécurité du produit au cours de sa vie et donc de disposer d’une marge de sécurité suffisante.

Dans le cadre de l’entrée en vigueur du règlement 2019/881 (Cybersecurity Act), la gouvernance des schémas de certification de sécurité européens va introduire un suivi de la dégradation du niveau de sécurité des produits après leur certification. Or par nature, le niveau de résistance d’un produit ne peut que se dégrader dans le temps, si bien que pour des produits à très longue durée de vie, 10 ans pour les CNIe et les passeports (à ajouter aux années pendant lesquelles le même document est produit, à savoir trois ou quatre années, voire plus), le certificat de sécurité risquera à un moment donné d’être retiré.

Ainsi, l’entrée en vigueur du règlement 2019/881 (Cybersecurity Act) va créer une large incertitude quant à la conformité légale des titres d’identité déployés sur le terrain.

Qu’envisagent les autorités responsables pour répondre à ces défis posés aux documents électroniques ?

Ce sujet a été évoqué parmi les instances européennes concernées qui sont doubles, à savoir les autorités responsables des schémas de certification de sécurité et les autorités responsables de la règlementation des titres d’identité. Toutefois, un consensus semble se dégager pour reconnaître que le sujet ne porte pas tant sur l’organisation des schémas de certification de sécurité, mais devrait plutôt être traité par les autorités responsables de la règlementation des titres d’identité via une mise à jour des règlementations ou dispositions applicables.

En particulier, ces dernières, au lieu de prévoir une obligation de certificat de sécurité valide tout au long de la vie du document comme c’est souvent le cas actuellement, devraient être mises à jour pour permettre que des produits déjà sur le terrain puissent continuer à être utilisés à condition qu’une gestion de risque adéquate puisse être mise en œuvre.

Pouvez-vous détailler cette démarche de gestion de risque, qu’il s’agisse de documents numériques ou électroniques ?

Elle consiste à considérer le problème dans sa globalité. Il faut évaluer au cas par cas la nature des risques, mais aussi la complexité d’un éventuel remplacement des produits sur le terrain et les conséquences pour l’utilisateur final en termes de privations des services qui y sont attachés. Il faut par exemple se demander quelle est la nature du risque, qui est concerné, s’il y a des possibilités de l’éviter, de le minimiser ou de le supprimer, quelles sont les conséquences pour l’utilisateur en termes d’accès aux services.

Dans la plupart des cas, le risque peut être supprimé sans devoir nécessairement organiser un remplacement massif des produits. Il suffit le plus souvent de compenser les éventuels risques par des mesures supplémentaires (par exemple restriction d’utilisation, mesures complémentaires…).

De telles mesures suffiront-elles à conserver la confiance du public dans tous ces documents d’identité ?

Je le pense. En effet, je rappelle que la gestion de risque est pratiquée depuis des décennies pour les cartes de paiement, dans lesquelles le public a toute confiance. Cette approche a fait preuve de son efficacité et de sa pertinence, tout en assurant un haut niveau de sécurité. Pourquoi ne pourrions-nous pas réussir la même chose dans le domaine de l’identité numérique et des titres électroniques (CNIe et passeport) ? Les États devraient donc s’inspirer de cette approche.

Quelles en seraient les implications pour le porteur du document d’identité électronique ?

Cette approche offre une plus grande souplesse dans la gestion des vulnérabilités touchant les produits sur le terrain en permettant de mieux concilier un haut niveau d’exigence de sécurité et des conséquences limitées sur les porteurs, en leur permettant de continuer à les utiliser.

Il ne s’agit en aucune manière de permettre l’utilisation des titres d’identité présentant un faible niveau de sécurité. Il s’agit au contraire de permettre de continuer à les utiliser avec le même niveau de sécurité, à savoir élevé, mais où les éventuelles vulnérabilités sur le produit sont compensées par des restrictions d’usage ou des mesures complémentaires. J’observe par ailleurs que cette approche est déjà prise en compte dans le règlement 165/2014 portant sur les cartes tachygraphes. Elle devrait être généralisée.

Quelles autres mesures les autorités émettrices devraient-elles prendre ?

Si les règlementations applicables aux titres d’identité devaient évoluer vers un suivi continu de la dégradation du niveau de sécurité des produits après leur certification, pouvant conduire au retrait du certificat de sécurité, deux options – non exclusives – s’offriraient aux autorités en charge de la délivrance de ces documents pour limiter le risque de perte de certificat de sécurité. La première serait de reconsidérer la durée de vie des documents -actuellement fixée à 10 ans – pour la ramener à une durée plus raisonnable, à savoir cinq ans. La seconde serait de prévoir nativement dans les titres d’identité un mécanisme permettant d’y appliquer des mises à jour sécuritaires tout au long de la vie du document.

Des discussions avec l’Anssi sont en cours sur ces thématiques, Pouvez-vous nous en dire plus ?

La discussion engagée avec l’Anssi concernait essentiellement les dispositifs de création de signature et les portefeuilles d’identité numérique et portait sur un sujet connexe, qui de toute manière n’apporte pas de réponse satisfaisante à la problématique évoquée plus haut.

Il s’agissait là d’optimiser les tâches de suivi de dégradation du niveau de sécurité. Le projet de texte eIDAS 2 semble s’orienter vers une obligation de certification de sécurité et d’évaluation de vulnérabilités tous les deux ans.

Or l’utilisation de schémas de certification de sécurité européens (institués par le règlement 2019/881 – Cybersecurity Act) pour les dispositifs de création de signature et les portefeuilles d’identité numérique rend inutile l’obligation d’évaluation de vulnérabilités tous les deux ans. En effet, lesdits schémas de certification contiennent des processus de suivi continus et centralisés des vulnérabilités, qui permettent d’anticiper la dégradation du niveau de vulnérabilité de manière proactive.