Doutes sur l'adoption de la biométrie au Royaume-Uni

Lancé en 2006, le passeport biométrique britannique n'a guère tenu ses promesses. Suite à de multiples problèmes de sécurité, l'extension de la technologie à la carte d'identité a été reportée à 2012.

Le Royaume-Uni s'éprend peu à peu de la biométrie, ou tout du moins les pouvoirs publics du pays. C'est cette fois l'aéroport de Manchester qui va expérimenter cette technologie dans le but à la fois de renforcer la sécurité et d'accélérer les contrôles des voyageurs étrangers. Durant une période de six mois, c'est une technologie biométrique de reconnaissance faciale qui sera éprouvée dans l'enceinte de l'aéroport.

La mise en œuvre de la biométrie va permettre de contrôler notamment les voyageurs britanniques et les européens munis d'un passeport biométrique. L'analyse reposera sur une comparaison du visage aux postes de contrôles avec la photo numérique stockée dans la puce intégrée au passeport des passagers.

Cette expérimentation fait partie du projet e-Borders doté d'un budget de 1,2 milliard de livres. Si celle-ci s'avère satisfaisante, elle pourrait en 2010 permettre de contrôler 99% des visiteurs non-européens entrant sur le territoire anglais, promet le gouvernement. Parmi ses autres outils de contrôle de l'immigration, le Royaume-Uni a notamment déjà mis en œuvre des visas basés sur les empreintes digitales.

Toutefois, l'application de la biométrie dans le pays est loin de ne concerner que les ressortissants étrangers, suscitant parfois l'ire des associations de défense des libertés individuelles, mais aussi d'une frange de la population attachée par tradition à ses libertés. Ainsi depuis 2006, les citoyens anglais disposent d'un passeport biométrique couplé à une puce RFID. Malgré les affirmations des autorités, ce dernier n'a guère tenu ses promesses en matière de sécurité. 

En effet, seulement quelques jours après sa sortie, deux experts en sécurité, Steve Boggan et Adam Laurie venaient à bout de son algorithme de chiffrement censé protéger l'accès aux données stockées sur la puce RFID. Le département en charge des pièces d'identité, le Home Office, a depuis revu sa copie, mais semble-t-il encore insuffisamment.

Un chercheur en sécurité insère la photo de Ben Laden sur le passeport d'un bébé

Jeroen van Beek, un chercheur en sécurité à l'Université d'Amsterdam, a aisément pu prendre en défaut la nouvelle mouture du passeport. Dans un article, il explique ainsi qu'il est possible de pirater et de manipuler les données pour les réinsérer au sein d'un passeport vierge, qu'il soit volé ou faux. La démonstration vient donc directement contredire les assertions des autorités affirmant que les 3000 passeports vierges récemment volés ne représentaient aucun risque, ne pouvant être falsifiés. 

En l'espace d'une heure, Jeroen van Beek a pu lire et cloner les puces RFID de deux passeports biométriques, et cela à peu de frais : un logiciel dont le code source est disponible sur Internet, un lecteur de carte (prix : 40 livres) et deux puces à radio-fréquence (10 livres). Pour démontrer ses dires,  il a altéré la pièce d'identité d'un bébé pour changer sa photo par celle d'Osama Ben Laden, et celle d'une anglaise de 36 ans pour y insérer une photo de Hiba Darghmeh, morte en 2003 dans un attentat.

Ces identités ont été choisies dans le but de démontrer qu'il n'était aucunement dans l'intention du chercheur de falsifier des documents dans le but de tromper l'administration, et ainsi de s'exposer à des poursuites. Après ce camouflet, le Home Office aura de nouveau du mal à faire reconnaître la viabilité de sa solution. Ce dernier se serait pourtant bien passé de cette mauvaise publicité alors qu'il peine toujours dans son projet de carte d'identité nationale biométrique. 

Malgré un vote favorable à la Chambre des Communes en février, le projet de loi présenté par le gouvernement a été modifié en mars par la Chambre des Lords. Celle-ci a ainsi décidé de fixer à 2012, et non plus 2008, l'enregistrement obligatoire de la carte d'identité. Les premières cartes sont cependant attendues en 2009, soit un an après la date prévue.

Le projet, qui a déjà couté 46 millions d'euros, prend donc du retard. A terme il devrait représenter une enveloppe estimée à trois milliards de livres. Une étude de la London School of Economics a relancé la polémique en jetant le doute sur la facture réelle de la carte d'identité biométrique. Si le gouvernement évalue à environ 88 euros le coût d'une carte, l'étude évoque une fourchette bien supérieure, de l'ordre de 190 à 435 euros, selon la technologie qui sera effectivement retenue.

Mais outre les critiques à l'égard de la carte d'identité, son prix et sa sécurité manifestement approximative, des voix s'élèvent contre son couplage à une base de données centralisée des identités. Le docteur Gladman du département recherche et développement de la sécurité des systèmes d'information du Ministère de la Défense a d'ailleurs à ce sujet adressé un courrier au premier ministre pour en déconseiller la mise en place, arguant de la difficulté à sécuriser les multiples points d'accès induits par cette architecture.