Le scandale du passeport RFID

Je devrais titrer : « Le scandale du non-scandale du passeport RFID ». Le vrai scandale, c’est le silence médiatique assourdissant sur cet état de fait : après les USA, l’Europe impose à ses citoyens un e-passeport doté d’une puce RFID qui ne demande qu’à bavarder. Qui facilite le vol d’identité, qui donne un coup de pouce au banditisme, au terrorisme. Et tout cela au nom de la sécurité nationale.

Dès le départ, les experts avaient prévenu. Non, une puce RFID n’est pas un moyen de sécuriser un passeport, mais bien plutôt de lui coller un gros problème de sécurité supplémentaire. En octobre 2004, le pape de la sécurité informatique Bruce Schneier dénonçait : «  ...les porteurs d’un [tel] passeport diffuseront en permanence leurs nom, nationalité, âge, adresse et tout ce qu’il y a sur la puce RFID. » C’était le premier volet du scandale : les politiques décident contre l’avis des compétents.
Acte deux. Les preuves s’accumulent. En Allemagne, début 2006, le consultant en sécurité Lukas Grunwald clone la puce de son propre passeport, avec du matériel du commerce. Puis, Kevin Mahaffey, spécialiste du RFID de Los Angeles, montre que le passeport de l’administration Bush permet d’envisager une mine qui se déclencherait au passage d’un citoyen des États-unis. Sa démo fait un tabac sur YouTube. Enfin, un article du Guardian annonce que des spécialistes savent lire le contenu d’un e-passeport. À distance.
Mais nous avons atteint un troisième stade : le scandale est désormais officiel mais chut, n’en parlons pas. Et ne faisons rien. Aux États-Unis, des gourous de la sécurité informatique appointés par un sous-comité ad hoc du Department of Homeland Security expliquaient, en mai, dans un rapport (L’usage de la RFID pour l’identification humaine) que la RFID «  ...augmente les risques pour la sphère privée et la sécurité personnelle, sans bénéfice proportionné pour l’efficacité ou la sécurité nationale. » Réaction : néant.
Ce n’est pas tout. «  En omettant de mettre en place un concept et un système de sécurité appropriés, les gouvernements européens obligent leurs citoyens à adopter des pièces d’identité [...] qui diminuent leur sécurité et la protection de leur sphère privée tout en accroissant les risques liés aux vols d’identité. » Quel groupuscule gauchiste parle ainsi ? Un comité d’experts auprès de l’UE, le Fidis (Futur de l’identité dans la société de l’information), qui a voté à l’unanimité et publié en novembre dernier la Déclaration de Budapest. C’est donc la crème de la crème de nos experts européens officiels en sécurité informatique qui interpelle nos gouvernements et leur dit : « Vous avez déconné à plein tube. » Où sont les réactions ? Où sont les gros titres ?
Autopromo. On trouvera des précisions dans un article sur la technologie RFID que je signe dans le dernier numéro spécial de La Recherche, sur les Sciences à risque (Les Dossiers de La Recherche, N° 26, p. 64).