Navigo belge pas du tout anonyme
Des universitaires viennent de démontrer que, et contrairement à ce que ses promoteurs avaient déclaré, Mobib, l’équivalent bruxellois du pass Navigo, contient bel et bien des données personnelles. Mieux : on peut également les consulter, au moyen d’un simple lecteur de puce sans contact RFiD, et d’un logiciel qu’ils viennent de rendre public :
Ces données peuvent être obtenues par n’importe quelle personne se trouvant à proximité de la carte. Prénom, nom, date de naissance et code postal sont présents, mais aussi et surtout la trace des trois derniers passages dans les transports publics (date, heure, ligne de bus, arrêt de bus, station de métro, etc.), ainsi que d’autres données techniques (transit, nombre total de validations de la carte, date d’achat, etc.) .
Cette révélation est en contradiction avec les propos du Ministre du Gouvernement de Bruxelles-Capitale chargé de la Mobilité et des Travaux Publics qui indiquait le 8 octobre 2008 devant le parlement que “les trajets ne sont pas enregistrés au niveau de la carte”.
En réaction, la STIB, équivalent bruxellois de la RATP, a annoncé… qu’elle ne modifierait rien à son système (cliquez sur l’image pour voir en grand la copie d’écran des données auxquelles ont peut accéder).
Son porte-parole, Jean-Pierre Alvin, s’en est d’ailleurs expliqué avec des mots qu’il convient de savourer :
“Il y a des données qui peuvent apparaître en clair, à condition d’avoir les logiciels et le matériel approprié, mais ce n’est pas en clair, il faut avoir un terrible matériel.”
C’est sûr : pour lire une clef USB, il faut un ordinateur, de même que pour lire une page web, il faut un navigateur. C’est terriblement compliqué.
Ainsi, et aussi étonnant que cela puisse éventuellement paraître à Mr Alvin, pour lire le contenu d’une carte RFiD, il suffit… d’un lecteur de puce RFiD.
Le lecteur utilisé pour lire les données du Mobib coûte moins de 20 euros. On trouve même des duplicateurs de puces RFiD pour moins de 50 euros. C’est ballot.Imaginer que personne n’ira lire les données des puces RFiD est aussi intelligent qu’utiliser le chinois comme code secret en partant du postulat que personne ne lit le chinois, ne connaît de Chinois ni n’est à même de trouver un traducteur de chinois.
Plus nous seront entourés de puces RFiD, plus nombreux seront ceux qui chercheront à savoir ce qui y est écrit, et plus on y trouvera de failles et problèmes de sécurité. Et il y en aura, forcément. Parce que la RFiD n’a pas été conçue pour être sécurisée, mais pour faciliter la vie de ceux qui ont beaucoup de choses (ou de gens) à surveiller, tracer, identifier.
Gildas Avoine, professeur de cryptographie à l’université catholique de Louvain, et co-auteur de cette “découverte”, souligne à juste titre qu’“il n’y a pas lieu de mettre des informations en clair sur la carte, alors qu’elles pourraient y être de façon chiffrée” (ce qui est rarement le cas en matière de puce RFiD).
Un problème similaire avait été posé en 2005, lorsque des chercheurs français avaient découvert que les données sensibles contenues sur la carte Sésam Vitale était consultables, elles aussi, en clair, parce que le mécanisme de sécurité censé les protéger n’avait tout simplement pas été activé.
Les responsables de cette grave bévue s’était dans la foulée engagé à l’activer, mais sans jamais expliquer ce pour quoi ils ne l’avaient préalablement pas fait.
Mais comme dansle cas Mobib, ils avaient eux aussi menti, en déclarant préalablement que les gens n’avaient rien à craindre, que leurs données étaient protégées.
Mon confrère Pierre Vandeginste en est tout retourné :
Comment on peut commander, concevoir, réaliser, livrer, accepter, mettre en route une application informatique aussi calamiteuse. On hésite : bêtise ou méchanceté ? On a du mal à imaginer qu’une erreur de conception aussi énorme puisse résulter d’une volonté délibérée de faciliter le travail des curieux. Mais sinon, c’est encore plus fou : ils ne l’auraient même pas fait exprès ?
N’est-ce pas le même genre de technolâtrie inconséquente qui a permis à d’autres technocrates de se faire croire que la démocratie gagnerait à remplacer au plus vite l’urne par un ordinateur, infiniment plus piratable ? Ou que nos passeports seraient plus sûrs, si on les dotait d’une puce RFID, bavarde et clonable. Et d’une couche de biométrie, alors qu’un enfant de dix ans peut fabriquer une fausse empreinte digitale.
J’ai eu beau réfléchir à ce sujet, la seule réponse qui m’est venue lors du (non)scandale de la carte Vitale est que l’enjeu devait être tout simplement financier, et que cette absence de protection de la vie privée de ceux qu’ils fichaient leur permettait de payer moins cher leur système de traçabilité des données de santé, tout comme il permet probablement à la STIB de payer moins cher le système de traçabilité de leurs usagers.
Je laisse le mot de la fin à Gildas Avoine, qui avaient déjà démontré que les passeports belges à puce RFiD étaient eux aussi particulièrement bavards, et que la RTBF a interrogé sur ses motivations :
- Si vous êtes pour le respect de la vie privée, pourquoi mettre un logiciel en ligne qui va permettre à des gens de ne pas respecter la vie privée des autres ?
- Parce que je crois justement que tout un chacun a le droit de lire le contenu de sa carte
C’est d’ailleurs un des fondements de la loi informatique et libertés, qui prévoit des droits d’information, d’opposition, d’accès et de rectification face aux traitements de données personnelles dont nous faisons l’objet.
On attend avec impatience le lecteur de passe Navigo.
Voir aussi : Le passe Navigo “anonyme” n’existe pas .