Français fichés : le prochain eldorado des hackers

Bastien Dubuc 4 nov. 2016

Le gouvernement français a annoncé le lancement d'une base de données biométriques (comme les empreintes digitales) de 60 millions de citoyens français.

En fin de semaine dernière, le Journal Officiel annonçait le lancement par le gouvernement français d'une base de données unique réunissant toutes les données biométriques, telles que les empreintes digitales ou la couleur des yeux de l’ensemble des citoyens français âgés de plus de 12 ans – criminels ou honnêtes.

La Cnil (Commission nationale de l’informatique et des libertés) a émis quelques réserves sur un dispositif qui réunisse au sein d’un même fichier des données aussi sensibles, et c’est bien là que se situe le problème central. Le gouvernement devra tout mettre en œuvre pour une sécurité maximale car la moindre faille sera inévitablement exploitée par des hackers motivés par le gain du vol de telles données.

Tony Anscombe, Senior Security Evangelist chez Avast explique :

« La décision du gouvernement de recueillir des données sur les citoyens peut être controversée, surtout lorsqu’il s’agit de citoyens mineurs. Le gouvernement français vient de voter en faveur de la création d'une base de données unique sur tous les citoyens âgés de plus de 12 ans et qui contiendra des identifications biométriques comme les empreintes digitales et les données personnelles dont l’adresse, l’âge, la couleur des yeux, et des photos. Il y a, bien sûr, ceux qui s’indignent et expliquent qu’un tel dispositif constitue une violation de leur liberté et ceux qui déclarent qu’ils n’ont pas de problème avec cette loi puisqu’ils n’ont rien à cacher.

La plupart des gouvernements disposent déjà de données centralisées de ce type, mais généralement elles se limitent aux personnes qui ont un pied dans le système pénal ou qui résident dans le pays en tant que migrants ou travailleurs temporaires. Aucun gouvernement occidental n’a, à ma connaissance, pris de mesure aussi audacieuse et exigé de détenir les informations de tous les citoyens âgés de plus de 12 ans. La France a déjà eu une approche similaire en collectant les données de ses citoyens par le passé. Par contre, cela s'est passé durant la seconde guerre mondiale et toutes les informations ont été détruites lors de la libération en 1945.

Ceci dit, la plupart des données en question sont déjà collectées par les gouvernements, les différents ministères et organismes officiels qui sont susceptibles de recueillir les données individuelles afin de pouvoir délivrer un passeport ou un permis de conduire. En revanche, les informations sont conservées séparément et non dans un système centralisé contenant toutes les indications pour plus de 60 millions d'habitants.

Les vols de données à grande échelle touchant aux données sont monnaie courante et l’actualité met régulièrement à jour des scandales d’entreprises  se faisant pirater et voler les données de leurs clients et de leurs partenaires. Nous, citoyens, considérons à juste titre la plupart du temps, que le gouvernement met en place des dispositifs de sécurité et de conformité plus stricts afin d’assurer la protection de ses citoyens contre une telle faille.

La question est de savoir si nous devons faire confiance au gouvernement et accepter qu’il dispose de cet ensemble de données améliorées, dont des informations biométriques. L'année dernière, une agence gouvernementale américaine, le Bureau de la gestion du personnel (OPM), responsable des dossiers individuels de tous les fonctionnaires ou employés potentiels, a été victime d’une attaque qui a entraîné le vol des numéros de sécurité social de 21,5 millions de personnes. Environ 5,6 millions de ces dossiers contenaient des données biométriques telles que les empreintes digitales. Ces informations concernaient les personnes postulant ou travaillant dans des agences gouvernementales et certaines données correspondaient même aux antécédents complets sur la famille et les amis.

Disposer des données sensibles de plus de 60 millions de citoyens français fera du gouvernement une cible pour les hackers qui verront ces informations comme des commodités d’une valeur inestimable à vendre au plus offrant. Il est important de noter que la sécurité des données n’est peut-être pas le problème central ; en effet, lors de précédents vols de données, nous remarquons généralement que la faille est humaine avant tout. Si un cybercriminel lance et réussit une attaque de spear phishing – ou hameçonnage – contre un employé qui a accès à l'ensemble de la base de données, alors plus de 60 millions de personnes risquent de voir leur identité usurpée. Le contenu et le volume d’informations constituent une belle récompense pour les hackers qui pourraient s’investir plus que d'habitude et développer une attaque particulièrement sophistiquée afin d’y avoir accès. »

 

Pour toute information complémentaire, veuillez contacter :

Jessy Mekpoh / Marie Chauvel

FINN PARTNERS

AvastTeamFR@finnpartners.com

01 53 43 51 62

Articles liés

--> -->