Logo ETI Quitter la lecture facile

Les technologies du gouvernement pour protéger vos données

Posté le par Séverine Fontaine dans Informatique et Numérique

Messagerie, disque USB, authentification, cloud... le gouvernement français déploie ou supervise des solutions sécurisées pour protéger les données de ses citoyens ou de ses entreprises. En ce mois de la cybersécurité, le “Cybermoi/s” lancé par l’Anssi, Techniques de l’ingénieur vous propose de faire le point sur ces technologies parfois controversées.

Au cours de l’année, plusieurs solutions sécurisées ont été proposées par le gouvernement. Parmi elles, on retrouve la messagerie sécurisée, le disque de stockage USB ou encore l’application d’authentification. Un cloud “souverain” est quant à lui en cours d’élaboration.

 L’authentification biométrique

L’application smartphone Alicem (pour “Authentification en ligne certifiée sur mobile”) permet aux particuliers de prouver leur identité sur internet par reconnaissance faciale. Celle-ci permettrait, selon le ministère de l’Intérieur et l’Agence internationale des titres sécurisés (ANTS) à l’origine de la technologie, de s’affranchir des multiples mots de passe nécessaires pour accéder à des services en ligne. Progressivement, elle donnera également l’accès aux services imposant la présence physique. Lors de la création de l’identifiant, une vidéo de reconnaissance faciale est réalisée. Celle-ci est comparée aux informations contenues dans la puce sécurisée du titre biométrique, comme le passeport.

En cours de qualification par l’agence nationale de la sécurité des systèmes d’information (Anssi), la solution est cependant controversée. En effet, en juillet dernier, La Quadrature du Net a “déposé un recours devant le Conseil d’Etat pour demander l’annulation du décret autorisant la création de l’application” peut-on lire sur le site de l’association. Cette dernière met en avant le non-respect du règlement général sur la protection des données (RGPD) – pointé par la Cnil – par un consentement contraint de l’utilisateur. Pour utiliser l’application, celui-ci n’a pas d’autre choix que d’utiliser la reconnaissance faciale.

La messagerie instantanée

L’Etat français dispose depuis avril 2019 d’une messagerie personnelle (en version bêta) pour s’affranchir des applications Telegram et Whatsapp. Baptisée Tchap, elle permet aux agents de communiquer entre eux et d’échanger des informations sensibles depuis leur ordinateur. La messagerie repose sur le logiciel open source Riot et implémente le protocole Matrix, un standard open source pour la communication sécurisée, décentralisée et en temps réel (https://matrix.org/).

Cependant, quelques heures après son lancement, le hacker Elliot Alderson lançait l’alerte d’une faille de sécurité (https://twitter.com/fs0c131y/status/1118791420624687104). Contacté par BFM, il explique qu’il a réussi à s’inscrire sur la messagerie réservée aux employés du gouvernement disposant d’une adresse mail en gouv.fr et elysee.fr (https://www.bfmtv.com/tech/tchap-la-messagerie-securisee-du-gouvernement-victime-d-une-faille-de-securite-1675988.html). Pour y parvenir, “Elliot Alderson a intercepté les échanges entre le formulaire d’inscription de l’application et les serveurs”. Il s’est ensuite inscrit avec son mail personnel en y ajoutant @elysee.fr.

Le disque de stockage USB

L’agence nationale de la sécurité des systèmes d’information (Anssi) a partagé en mai le prototype d’un disque de stockage USB chiffrant, open source et open hardware, ainsi que l’ensemble des modules qui le compose. “Les nombreux mécanismes matériels et logiciels implémentés lui permettent de résister à tout type d’attaques sophistiquées” peut-on lire sur le communiqué. L’année dernière, l’agence avait dévoilé Clip OS, son système d’exploitation sécurisé et open source.

Le fonctionnement complet de WooKey est décrit chez nos confrères de 01net. L’ensemble des informations de WooKey est disponible sur la page du projet (http://wookey-project.github.io/). Le schéma de la carte électronique et le code source le sont sur GitHub.

Le cloud de confiance

Dassault Systèmes et OVH ont été sollicités par l’Etat pour travailler sur un projet de “cloud souverain” en 2020. Une alternative aux clouds américains pour éviter aux entreprises françaises et européennes de stocker leurs données sensibles sur des plateformes américaines qui reposent sur le Cloud Act. Ce dernier permet aux forces de l’ordre de contraindre les fournisseurs de services américains à fournir les données stockées sur les serveurs d’entreprises américaines, qu’ils soient situés aux États-Unis ou dans des pays étrangers. Nous voulons créer un cloud de confiance. Il aura vocation à stocker toutes les données stratégiques des entreprises qui le souhaitent, privées comme publiques, en toute indépendance et avec des garanties nécessaires explique Bruno LeMaire, ministre de l’Economie, lors de la commission d’enquête “Souveraineté numérique” le 10 septembre.

Interrogé par France 3 Régions, Michel Paulin, directeur d’OVH, préfère la dénomination “cloud de confiance” : On préconise un cloud ouvert. Il doit être simple à mettre en œuvre, multilocal (nos centres de données sont sur quatre continents), accessible (avoir des prix compétitifs), réversible et transparent. Du côté de Dassault Systèmes, c’est 3D Outscale – qui a lancé en 2018 une offre cloud dédiée au secteur public – qui est en charge du développement. L’entreprise fait partie du comité stratégique d’Exatrust, un groupement d’entreprises spécialisées dans le cloud et la cybersécurité.

Pour aller plus loin

Posté le par Séverine Fontaine


Réagissez à cet article

Commentaire sans connexion

Pour déposer un commentaire en mode invité (sans créer de compte ou sans vous connecter), c’est ici.

Captcha

Connectez-vous

Vous avez déjà un compte ? Connectez-vous et retrouvez plus tard tous vos commentaires dans votre espace personnel.

INSCRIVEZ-VOUS
AUX NEWSLETTERS GRATUITES !