(© United International Pictures)

featuredImage

Ça fait dix ans que votre passeport électronique ne sert à rien aux douanes américaines

Les douaniers américains, qui ont imposé le passeport à puce entre 2006 et 2009, n’ont plus de logiciel anti-contrefaçon fonctionnel depuis… 2007.

Le Terminal. (© United International Pictures)

La prochaine fois que vous vous rendrez aux États-Unis et que vous transpirerez, comme le veut la tradition, face à la proverbiale défiance du douanier américain qui vous demande pour la sixième fois l’adresse de votre hôtel et le nom de jeune fille de votre mère, détendez-vous un peu en retenant cette information : le logiciel qui vérifie l’authenticité des données personnelles contenues dans votre passeport pendant que vous subissez un interrogatoire ne fonctionne pas, et n’a même quasiment jamais fonctionné depuis dix ans.

En d’autres termes, le passeport électronique – ce joyau de fichage –, obligatoire depuis 2009 pour les ressortissants des 38 pays bénéficiant du programme d’exemption de visa aux États-Unis (ce bon vieux ESTA, le Système électronique d’autorisation de voyage), dont la France, peut être falsifié avant d’entrer sur le territoire américain.

Comment le sait-on ? Grâce à une lettre de deux sénateurs américains, Ron Wyden (Oregon) et Claire McCaskill (Missouri), publiée ce jeudi 22 février et envoyée aux autorités douanières du CBP (Service des douanes et de la protection des frontières des États-Unis), dans laquelle les élus s’émeuvent de la situation et pressent ce dernier de se mettre à la page. Les sénateurs constatent ainsi :

"Le CBP a déployé des lecteurs d’e-passeports à de nombreux points d’entrée, qui permettent au personnel de télécharger les données contenues dans les puces des passeports. Pourtant, [il] ne dispose pas du logiciel permettent d’authentifier l’information stockée."

Pire, écrivent-ils, "le CBP est au courant de cette faille de sécurité depuis 2010", à la faveur de la parution d’un rapport d’audit des protocoles douaniers. "Huit ans après cette publication", concluent les auteurs, les douanes américaines "n’ont toujours pas la capacité technologique d’authentifier les données des e-passeports".

Chantres de la numérisation

Soyons précis, cela ne signifie pas pour autant que le douanier qui scanne la puce RFID contenue dans votre passeport électronique – une technologie en soi déjà assez scandaleuse en matière de sécurité informatique – vous offre une performance digne du Cours Florent lorsqu’il fronce les sourcils devant son écran : les données que renferme la puce apparaissent bien devant ses yeux. Simplement, il n’a aucun moyen de savoir si elles sont originales ou contrefaites.

Là où ça devient un tantinet scandaleux, c’est qu’en 2007, les États-Unis de George W. Bush – grand instigateur du paradigme sécuritaire actuel – inauguraient l’ère des passeports électroniques et encourageaient le monde entier à faire de même, devenant au passage les VRP mondiaux de la technologie et vantant ad nauseam l’aspect pratique et sécuritaire de ces systèmes – "les voyageurs iront plus vite, les douaniers auront moins de boulot", et cetera.

Depuis douze ans, le reste du monde s’est donc docilement plié à la norme, et plus d’une centaine de pays obligent désormais leurs ressortissants à enregistrer leurs informations administratives et, surtout, mettent en place les protocoles de sécurité qui vont avec.

En France, les passeports électroniques, délivrés entre 2006 et 2009 (qui renferment nom, date de naissance, nationalité et numéro de passeport), cohabitent avec les passeports biométriques, délivrés automatiquement depuis fin juin 2009 (qui ajoutent la photo et les empreintes aux informations stockées). Dans les deux cas, l’intégrité des données présentes sur la puce est assurée par un protocole de clés cryptographiques – une sorte de signature unique, présente dans le passeport, qui montre au douanier que les données ne sont pas contrefaites.

Protocoles foireux, sécurité contestable

Lorsque vous voyagez dans un pays habilité au protocole électronique, le scan de votre passeport sert (aussi) à vérifier l’authenticité des renseignements électroniques. Et c’est précisément ce logiciel qui manque aux douaniers américains, chantres de la numérisation des passeports.

Alors certes, sur les 112 pays actuellement équipés de passeports électroniques, tous ne s’embarrassent pas de protocoles de sécurité en béton : un rapport de l’Organisation de l’aviation civile internationale (ICAO) révélait que 55 pays utilisaient des protocoles de sécurité vulnérables à la fraude et, qu’en conséquence, un tiers des passeports ne pouvait être correctement vérifié.

D’autre part, que l’on se rassure, la manipulation de données d’identité reste l’apanage de hackers extrêmement doués et méticuleux, même informés de la faille de sécurité, rappelle Wired, et ce, même si le piratage de puces RFID est un domaine en pleine croissance (depuis 2009, différents experts en sécurité ont réussi à manipuler, cloner et falsifier des e-passeports).

En soi, la révélation de cet amateurisme douanier n’augmente pas sensiblement les risques pour qui que ce soit. Pour les États-Unis, en revanche, la situation est un peu gênante : imaginez que vous imposez un système à tous vos partenaires tout en l’installant à moitié chez vous…

Une machine à fichage mise en place pour rien

Du côté des 38 pays bénéficiaires du programme d’exemption de visa, la pilule risque d’être un poil plus difficile à digérer, notamment du côté des activistes de la vie privée en ligne. En France, lors de l’implantation du système biométrique en 2008, la Cnil (Commission nationale de l’informatique et des libertés) se disait choquée par la publication (très) tardive de son avis sur la question, lequel avait été rendu public une semaine après l’annonce du décret, contrairement aux protocoles en vigueur.

Or, dans son rapport, la Commission déplorait que le nouveau système n’ait pas fait l’objet d’un débat parlementaire (d’où le passage par décret et non par loi), rappelait que la France n’avait aucunement besoin de prendre les empreintes de huit doigts quand l’UE et les États-Unis n’en réclamaient que deux (en 2011, le procédé sera déclaré illégal par le Conseil d’État), et exprimait ses réserves quant à la création d’un fichier biométrique central regroupant les informations de tous les Français.

Qu’importe : ce fichier des titres électroniques sécurisés, aboutissement de la politique de fichage électronique française impulsée il y a une décennie dans le sillage des États-Unis paranoïaques, est désormais en place, et il n’existe désormais plus d’alternative aux titres d’identité électroniques.

Alors, quand on tient un tant soit peu à la liberté de choisir si ses empreintes digitales seront ou non fichées puis stockées dans un fichier centralisé, se rendre compte que l’excuse sécuritaire invoquée depuis près de quinze ans – les discussions ont débuté outre-Atlantique en 2004 – par les États-Unis est totalement bidon a quelque chose de délicieusement révoltant. Savourez l’ironie de la situation la prochaine fois qu’un agent de l’Oncle Sam essaiera de vous faire suer : sur le plan douanier, votre Hexagone est bien plus strict que son pays à lui.

Par Thibault Prévost, publié le 26/02/2018

Copié