19/02/2021

Privatisation de l’identité électronique (passeport numérique) : réponse à quelques arguments des partisans

Le 7 mars, le peuple se prononcera sur la loi sur les services d’identification électronique (LSIE), qui créerait un identifiant électronique officiel. Mais cet identifiant serait émis et contrôlé par des entreprises privées. Ce ne serait donc rien d’autre que la privatisation du passeport numérique et je m’y oppose fermement.

Même si les sondages sont pour le moment plus favorables au camp du non, il est important de convaincre les derniers-ères indécis-e-s, car chaque voix va compter. Voici pour cela une réponse à quelques-uns des principaux arguments du camp du oui.

numérique,eid,identité numérique,passeport numérique,gafam

  • « Ce n’est pas un passeport numérique » L’argument-phare des partisans est de prétendre que le passeport numérique sur lequel nous votons n’est pas un passeport. C’est vrai que privatiser l’émission de passeport est une idée absurde qui ne plairait qu’au plus ultralibéral des idéologues ultralibéraux. Donc, les partisans de la privatisation de l’eID, et la première d’entre eux, la Conseillère fédérale Karin Keller-Sutter, prétendent que l’identifiant électronique (eID) « n’est pas un passeport ». Sauf qu’ils se contredisent. Plusieurs partisans du oui parlent bel et bien de « passeport numérique » (comme La Poste sur la photo). Ainsi que les propres services de Mme Keller-Sutter. Quoi qu’il en soit, il suffit d’examiner les fonctions d’un passeport pour se convaincre que l’identifiant électronique soumis au vote en est bien un :
    1. Un passeport sert à franchir les frontières physiques. Ce n’est certes pas le cas d’un eID, mais dans le cyberespace, cette fonction serait totalement inutile.
    2. Un passeport permet aux autorités d’attester que vous êtes bien vous-même. C’est une des fonctions de l’eID.
    3. Un passeport vous sert à attester auprès de tiers (ou d’une autorité) que vous êtes bien vous-même : C’est aussi une des fonctions de l’eID.
    4. En revanche, un passeport ne sert pas à vous accorder une nationalité (l’eID non plus). C’est plutôt l’inverse : c’est parce que vous avez une nationalité que le pays en question vous délivre un passeport (qu’il n’est d’ailleurs pas obligatoire de détenir ; personnellement, je n’en ai pas).
  • « Le projet permettra d’avoir une solution suisse et d’éviter que Google, Facebook & co. ne s’emparent de ce marché ». Le meilleur moyen d’éviter que les GAFAM ne s’emparent de notre identité numérique, c’est encore de renoncer à une solution privée. Car la loi soumise au vote du peuple n’empêchera pas Facebook et autres entreprises qui font commerce de nos données personnelles d’émettre un passeport numérique : il leur suffirait pour cela d’avoir une succursale en Suisse (c’est déjà le cas) et de stocker les données en Suisse (c’est pas compliqué). En cas de oui, les géants californiens du numérique, s’ils remplissent ces quelques conditions, ne tarderont pas à remplacer nos offices communaux et cantonaux de l’Etat civil et ce sera la fin de notre souveraineté numérique. Détail piquant : cet argument comme quoi voter oui empêcherait les GAFAM de s’emparer de notre identité numérique vient du conseiller aux Etats PLR Ruedi Noser… dont l’entreprise a un intérêt financier dans le consortium qui émettrait les passeports numériques privatisés.
  • « Le projet d’eID renforce la sécurité des données ». Ce sera exactement le contraire. Car, en centralisant les données d’identification comme le prévoit le projet, on facilite grandement la tâche des pirates qui voudraient s’en emparer. Et on augmente les dégâts qu’ils peuvent causer, tout comme l’attrait de tenter un piratage, car tout ce qu’il y a à voler est au même endroit.
  • « L’eID ne sera pas obligatoire ». Pour faire ses achats en ligne, il sera obligatoire, car les prestataires privés l’exigeront (surtout s’ils y participent et en retirent des bénéfices). En revanche, dans le monde réel, depuis quand faut-il montrer un document d’identité pour faire ses achats au supermarché ? Par ailleurs, de plus en plus de prestations publiques ne sont facilement accessibles qu’en ligne. Impossible d’y accéder sans eID. Et on peut compter sur les entreprises qui l’émettront pour encourager leurs clients à adopter l’eID, d’abord à coup de bonus et de promotions pour les premiers qui font le pas, puis à coup de pénalités pour ceux qui renâclent. On nous a déjà fait le coup avec les factures qui deviennent payantes si on les veut sur papier. Au début, on avait un rabais si on acceptait d’avoir une facture par courriel. Aujourd’hui, si on veut une facture papier, on paie une surtaxe.
  • « L’eID sera gratuit ». Ah bon ? Rien ne le garantit dans la loi soumise au vote. Rien du tout. Pire : les communes devront payer les prestataires privés d’eID pour identifier leurs propres citoyens. Dans tous les cas, difficile d’imaginer que les entreprises privées qui émettent les passeports numériques renoncent à faire des bénéfices si la loi les y autorise.
  • « L’eID nous facilitera la vie sur internet ». Pour en finir avec les « soucis » que cause une multitude de mots de passe à gérer, un bon gestionnaire de mots de passe suffit. Pas besoin pour cela de confier à des privés le soin d’attester officiellement que nous sommes bien nous-mêmes. Et je relève que la Fédération des Entreprises Romandes nous avertit que « le risque existe (…) qu’une bureaucratie coûteuse soit créée pour gérer le système » (« entreprise romande », 12 février 2021).
  • « L’Etat est incapable de gérer un projet informatique aussi ambitieux ». C’est faux. L’Estonie montre que, si l’Etat veut, l’Etat peut. Mais c’est clair qu’à force de leur répéter le contraire, les collectivités publiques vont finir par le croire. Pourtant, des offices fédéraux (Fedpol), des cantons (SH, VD) ou des communes (Zoug) ont des projets d’eID publiques. C’est donc possible !
  • « Ce sont les privés qui impriment les passeports et les billets de banque ». Il ne faut pas confondre fabrication et émission d’un document officiel. Peu importe qu’il soit fabriqué par un privé ou par une entité publique, ce qui compte, c’est que son exactitude soit garantie par l’Etat. Un passeport « sur papier » a de la valeur parce que c’est l’Etat qui l’émet et qui garantit son contenu, peu importe comment et par qui il a été imprimé. La même remarque vaut pour les billets de banques.
  • « La protection des données est garantie par la loi ». Sur le papier, c’est vrai. Mais qui ira contrôler ? Personne. Le Préposé fédéral à la protection des données aura-t-il plus de moyen pour le faire ? Non. Quoi qu’il en soit, qui pourrait faire confiance à des entreprises privées qui pourraient faire main basse sur une masse colossale de données personnelles de très grande valeur ? Pas moi, en tout cas. Par ailleurs le Préposé fédéral à la protection des données a dû démentir qu’il soutenait la LSIE : même si certains partisans l’ont prétendu, ce n’est pas vrai.
  • « Le fournisseur d’eID ne saura pas ce que je fais avec mon identifiant. Il saura seulement qui s’est connecté avec l’e-ID, où et quand.» (KKS in « 24 heures » du 13 février) C’est faux. C’est en tout cas ce qu’ont montré les recherches du magazine en ligne Republik. En outre, savoir qui s’est connecté, où, et quand, c’est déjà une information très précieuse qui permet en général de savoir précisément le « pourquoi ». Les émetteurs privés de l’eID pourront donc nous suivre à la trace. Et nous les paieront pour ça.
  • « Il pourra y avoir plusieurs modèles d’eID, dont des modèles publics cantonaux ou communaux, les usagers pourront faire leur choix ». Ça, ça m’étonnerait. En matière de nouvelles technologies, il y a un principe qui s’applique à presque tous les marchés : « the winner takes it all ». Le consortium privé swisssign comporte de nombreuses grandes entreprises très bien établies qui n’auront aucun problème à imposer leur solution à leurs clients. Développer d’autres solutions sera cher et les chances de succès très maigres face à un tel mastodonte. Personne ne va donc s’y risquer. Sauf peut-être d’autres entreprises encore plus grandes, encore plus puissantes et encore plus intéressées à faire main basse sur nos données personnelles sensibles, comme les GAFAM… Quoi qu’il en soit, la NZZ a révélé que le canton de Schaffhouse n’a pas l’intention d’émettre un modèle d’eID conforme à la LSIE. Son modèle ne pourrait donc pas servir d’alternative publique à l’eID proposé par un consortium privé. Sur ce point, la cheffe du DFJP n’a pas dit la vérité.
  • « Si c’est non, la Suisse n’aura jamais d’eID avant des années et creusera son retard numérique ». C’est faux, un projet de la Police fédérale d’identifiant numérique public basé sur la puce du passeport biométrique serait faisable pour 2023. Les recherches de Republik ont montré qu’un projet était prêt à être soumis au Parlement, mais que le consortium privé qui souhaite faire des bénéfice avec l’eID a réussi à le torpiller…

29/10/2019

L’essor de la robotique redéfinit le droit fondamental à la dignité humaine et à la liberté

L’essor de la robotique ne fait pas que bouleverser notre vie quotidienne. Il pose des questions sur l’avenir de nos droits fondamentaux, à commencer par le premier d’entre-eux : la dignité humaine (art. 7 de la Constitution fédérale). En effet, même si nous sommes encore loin de la « singularité », l’irruption dans nos vies de robots capables de copier à la quasi-perfection les interactions et émotions humaines nous pousse à nous interroger sur la relation humain-machine. Ces questions pouvaient relever de la science-fiction il y a quelques années à peine, mais portent désormais toutes sur des cas bien réels.

Ainsi, la dignité humaine tolère-t-elle que l’on impose à un humain de se faire soigner par un robot dans un contexte de pénurie de main d’œuvre dans le domaine des soins ? Et commande-t-elle que ce soit désormais les robots qui soient chargés des tâches triviales, abrutissantes, harassantes ou dangereuses en lieu et place des humains ? Est-il compatible avec ce droit fondamental d’être « aux ordres » d’un robot ? Ou de lui confier des décisions cruciales pour la suite de notre existence comme trouver un emploi… ou le perdre ? La dignité humaine comporte-elle le droit de n’avoir des interactions humaines qu’avec des congénères humains ? Ces questions méritent un débat éthique et juridique approfondi. Dans ce cadre, il faudra avoir à l’esprit que nos réponses ne seront pas universelles : certaines sociétés comme celles qui sont sous l’influence du Shintoïsme ayant une toute autre approche de la relation avec les « choses ».

L’essor de la robotique pose aussi la question de l’avenir du droit fondamental à la liberté, mais aussi de son indispensable pendant : le devoir de responsabilité. En effet, même si vivre dans un monde de plus en plus gouverné par des algorithmes n’est pas une nouveauté si l’on considère certains algorithmes non-numériques à l’impact considérable comme le « frein à l’endettement », l’usage intensif d’algorithmes pour prendre des décisions ne peut que restreindre le libre arbitre. Car celui qui se fie à un algorithme pour prendre une décision ne décide en réalité pas, il obéit. Et, bien souvent, il n’a aucune idée du mécanisme derrière la décision que lui propose ou impose l’algorithme, car c’est en général une « boîte noire », percluse de biais ou d’erreurs.

Quant à la responsabilité, elle est aussi menacée de disparition par l’essor des robots de plus en plus « intelligents » et autonomes. En effet, en l’absence de règles claires sur la responsabilité en cas de dommages, il y a un fort risque que plus personne ne les assume. La solution ne réside certainement pas dans l’attribution d’une personnalité juridique aux robots (qui resteraient financièrement incapables d’assumer un éventuel dommage). Elle ne réside pas non plus dans une confiance aveugle en les entreprises technologiques. Ces dernières tentent certes de nous faire croire qu’elles se soucient de minimiser les dommages que pourraient causer leurs créations, par exemple avec le jeu « moral machine ». Mais cette poudre aux yeux détourne des vrais enjeux : la question n’est en effet pas de savoir si un véhicule autonome, confronté au dilemme peu réaliste de devoir renverser un vieillard et un chaton pour épargner des enfants, fera le choix le plus « moral » possible, mais bien de savoir qui paiera les dégâts (peu importe si les victimes sont les enfants ou le couple vieillard-chaton).

(Texte paru dans la "newsletter" d'octobre 2019 de TA-Swiss, fondation pour l'évaluation des choix technologiques)

14/03/2019

Vote électronique Scytl/La Poste: c’est bien pire qu’une « simple » faille

Hier, une faille importante a été révélée dans le logiciel de vote électronique de La Poste. Ce n’est hélas pas un énième problème de sécurité informatique. C’est bien pire. Car, en plus de la faille elle-même (qu’un expert à qualifié de « stupéfiante » et qu’un autre a considéré comme relevant « d’une programmation négligente »), ce sont les circonstances de sa découverte et la réaction tant de La Poste que des autorités qui doivent fortement nous inquiéter. 

1. La faille n’aurait jamais dû être ni trouvée, ni révélée
Si les conditions imposées par La Poste pour tester la sécurité de son système de vote électronique avaient été respectées, la faille n’aurait jamais été découverte, ni rendue publique. En effet, la faille a été découverte hors du périmètre du test. Si quelques spécialistes beaucoup plus inspirés par l’intérêt général que La Poste n’avaient pas publié la totalité du code (ce que La Poste a condamné), personne n’aurait pu découvrir le problème. Et si les participants au test avaient respecté les incompréhensibles clauses de confidentialité imposées par La Poste (qui avait décidément peur que quelqu’un trouve un problème et en parle), le problème n’aurait jamais pu être rendu public. Le vote électronique serait resté vulnérable à l’insu de tout le monde. Cela démontre que ce test d’intrusion n’est qu’une vaste opération de relations publiques et que l’objectif de La Poste n’est pas de trouver d’éventuels problèmes, mais plutôt de faire croire qu’on a pu (un peu) les chercher.
Mais il n’y a pas que le test public qui a été volontairement restreint. Le Prof. Haenni de la HES bernoise (pourtant favorable au e-voting!), relève que les tests préliminaires menés par l’EPFZ, l’Université de Cambridge et KPMG auraient pu et dû trouver cette faille… si on les avait laissé chercher au bon endroit. Or, là aussi, La Poste a limité le périmètre d’investigation. C’est un peu comme partir à la recherche des cités perdues des Incas sans fouiller la Cordillère des Andes*. M. Haenni en conclut qu’il y a probablement d’autres failles aussi importante cachées à d’autres endroits du code. Pas rassurant.

2. Scytl et La Poste savaient dès 2017, mais Scytl n’a pas corrigé le problème
Tout aussi grave: La Poste a dû admettre que le problème était connu depuis longtemps, qu’elle avait demandé à Scytl de le corriger, mais que cela n’avait été fait que « partiellement ». On croit rêver devant tant d’amateurisme et d’incompétence. Ce n'est d'ailleurs pas la seule cachotterie de Scylt, qui a prétendu que le système en question n'avait pas été utilisé dans l'Etat australien de Nouvelles-Galles-du-Sud. Ça aussi ce n'est pas vrai.

3. Cette faille confirme qu’une seule personne suffit pour manipuler un scrutin par vote électronique
Lorsque les adversaires du vote électronique avancent qu’un vote par Internet est beaucoup plus facile à frauder qu’un vote sur papier (ce qui nécessite beaucoup de logistique et de complices pour être efficace), on leur rit au nez. Certains prétendent même la bouche en coeur que le e-voting est « plus sûr que le vote sur papier ». Or, cette faille est, selon Matthew Green, professeur de cryptographie à la John Hopkins University, la preuve qu’une seule personne bien placée peut falsifier la totalité des résultats sans que personne ne s’en aperçoive. Pis, les votes en questions seraient considérés comme ayant été « vérifiés ». Certes, cette personne doit se trouver à l’interne de l’autorité qui organise le scrutin, mais, une fois que l’on a trouvé comment la corrompre, la faire chanter (ou tout simplement la convaincre par un autre moyen de modifier le résultat), cette unique personne suffit à organiser une fraude portant sur la totalité du résultat (et non pas sur quelques votes éparse comme lors d’une fraude « papier »). M. Green conclut: « Lors d’une élection, il ne devrait jamais y avoir une seule personne qui soit en mesure d’organiser un fraude invisible. Or, le système de vote électronique Scytl/La Poste permet cela ». Sarah Jamie Lewis, l’experte canadienne en cryptographie qui a découvert la faille, considère en outre qu’aucun système de vote électronique ne devrait contenir pareille porte dérobée.

4. Le futur système de vote électronique ne remplit pas les garanties légales
Rarement un communiqué de la Chancellerie fédérale n’aura été aussi sévère, surtout avec son enfant chéri qu’est la généralisation coûte que coûte du vote électronique. Selon la Chancellerie, « La présence de cette faille empêche le système de répondre aux exigences légales pertinentes ». Voilà qui est dit. Mais malgré tout, on continue comme si de rien était. La preuve que, lorsque Berne dit qu’en matière de vote électronique, « la sécurité passe avant la précipitation », c’est du vent.

5. KPMG a certifié que le système était sûr… mais c’était faux
Là encore, un couac majeur. L’entreprise de consulting KPMG a certifié que le système de vote électronique remplissait les conditions légales…. malgré l’existence de la faille qui a conduit la Chancellerie a conclure que le système ne remplit pas les exigences légales. Cette certification est donc le fruit d’incompétents, incompétence le cas échéant légèrement atténuée par le fait que La Poste a interdit de chercher au bon endroit. Toutefois, s’ils avaient été compétents, ces experts n’auraient jamais dû se contenter de chercher uniquement là où on leur a dit de le faire. La Chancellerie fédérale a d’ailleurs déjà tiré des conséquences et va revoir sa procédure de certification (Comment? On n’en sait rien…).

6. Le système utilisé actuellement n’offre pas les mêmes garanties… mais reste en fonction
Autre point intéressant: la faille majeure concerne la « vérifiabilité individuelle ». Derrière ce concept un peu barbare se cache l’idée que les citoyens puissent contrôler après avoir voté que leur vote a bel et bien été enregistré (enfin, c’est ce qui s’affichera sur leur écran, car en réalité, il ne pourront pas vérifier si le vote est bel et bien dans l’urne et s’il sera compté correctement). Ce concept doit être, selon la Chancellerie fédérale, le grand progrès qui rendra le vote électronique digne de confiance. Or, cette fonction n’est pas encore en vigueur. Le vote électronique tel qu’il existe actuellement dans certains cantons ne prévoit pas la vérifiabilité individuelle. Il est donc, du point de vue des partisans du vote électronique eux-même, nettement moins sûr que le futur système. Mais ce système actuel reste pourtant en vigueur, malgré le fait que le futur système qui doit être plus sûr ne l’est finalement pas tant que ça.

7. Il est impossible d’exclure que des scrutins aient été manipulés en Suisse
Même si le système de vote électronique où cette faille a été trouvée n’est pas encore en fonction dans notre pays, La Poste et Scytl sont incapable de démontré que leur système actuellement en service n’a pas permis de falsifier des scrutins ayant déjà eu lieu. Comme la programmation de leur futur système qui doit être « sûr, vérifiable, inattaquable » etc. a été descendue en flamme par les experts, le risque est que les systèmes actuels ne soient pas de meilleure facture. Donc bourrés de failles. Dont personne ne remarquerait l’utilisation. De quoi jeter le discrédit sur la légitimité de nombreux scrutins.

Si vous êtes aussi effrayé que moi, soutenez l’initiative pour un moratoire sur le vote électronique, qui sera lancée ce samedi!

 

 

* Oui, je viens de re-regarder l’intégrale des « Cités d’or »