Une récente "analyse technique" de chercheurs du groupe Computer Security and Industrial Cryptography (COSIC) de l'université catholique de Louvain (Leuven), la KUL, aboutit à des conclusions plutôt inquiétantes quant à l'instauration prochaine d'une représentation des empreintes digitales dans la puce des cartes d'identité.

Le projet de loi relatif à cette nouveauté a été approuvé à la Chambre en novembre (majorité contre opposition, sauf le cdH qui s'est abstenu), malgré un avis négatif de l'Autorité de protection des données. Les chercheurs du COSIC rejoignent d'ailleurs dans leurs conclusions certaines observations de cette dernière. Selon eux, la mesure qui devra entrer en vigueur en avril est peu claire, inutile, disproportionnée par rapport au but recherché et potentiellement risquée. Le texte était issu du ministre de l'Intérieur, qui était alors le N-VA Jan Jambon.

Il autorise entre autres l'intégration sur la carte d'identité électronique d'une représentation des empreintes digitales du porteur de la carte. Dans le processus, ces empreintes seront uniquement stockées de manière centralisée pour le temps nécessaire à la confection et à la délivrance de la carte d'identité, avec une durée de maximum trois mois. Les chercheurs Jens Hermans et Roel Peeters du COSIC, dirigé par le cryptologue Bart Preneel, ont voulu "analyser la technologie qui sera utilisée pour l'enregistrement des empreintes digitales sur l'eID, entre autres sur les plans de l'efficacité dans la lutte contre les fraudes d'identité, la performance, la protection des données et la sécurité".





"Un risque évident d'un tel stockage"



D'emblée, les deux chercheurs indiquent avoir identifié "de nombreux manquements", ce qui les a poussés à formuler des alternatives. Dans leurs conclusions, les deux auteurs estiment entre autres que l'intégration des empreintes dans la puce de la carte d'identité ne devrait pas efficacement lutter contre les fraudes, au vu notamment de la facilité à contourner ce dispositif en détruisant la puce. Le texte de la loi manque également de précisions et de clarté quant à la manière dont l'image digitale des empreintes sera transmise sur la puce, après avoir été enregistrée à la maison communale au moment de la demande d'une nouvelle carte d'identité.

Il s'agit pourtant d'une question cruciale, estiment les chercheurs. Le stockage centralisé temporaire de cette image serait par ailleurs jugé inutile et risqué. "Un risque évident d'un tel stockage" est celui d'une utilisation de ces données (ici l'image des empreintes) pour d'autres objectifs.

Au contraire de la photo d'identité qui doit être imprimée sur la nouvelle carte, la représentation des empreintes ne doit qu'être intégrée à la puce, ce qui pourrait se faire en dernière minute au moment de la remettre au citoyen, sans passage par un stockage centralisé, proposent-ils. On évite ainsi de la même manière les risques inhérents à tout système informatique.