1. Remarques liminaires : la dématérialisation des services publics
La transformation numérique dans les secteurs marchands est également à l’œuvre dans le secteur public (Yann Algan et al., 2016). Nous observons en effet que, depuis plus de vingt ans, l’administration électronique (« e-administration ») continue son déploiement.
Depuis 1998, les pouvoirs publics ont mis au point plusieurs programmes ou plans afin de développer l’administration en ligne ou administration électronique que d’aucuns définissent comme « l’utilisation des technologies de l’information et de la communication (TIC) par les administrations publiques pour rendre les services publics plus accessibles aux usagers et améliorer leur fonctionnement interne ».
Le mouvement de dématérialisation des services publics commence avec le programme d’action gouvernemental pour la société de l’information (PAGSI) qui débouche notamment sur la mise en place de programmes pluriannuels de modernisation (PPM) et sur la création en 2000 du portail de l’administration, « Service public.fr ».
Le programme PAGSI a été poursuivi avec le lancement du plan ADministration ELEctronique (ADELE) pour la période 2004-2007. L’objectif de ce plan, doté d’un budget de 1,8 milliards d’euros, était de faire de l’administration électronique un levier de modernisation de l’État.
En 2008, le plan « France numérique 2012 » succède au plan ADELE. Il a notamment pour objectif d’accroître l’accessibilité aux sites internet publics, de développer les transactions en ligne, d’améliorer l’interopérabilité entre administrations et d’ouvrir les données publiques (« open data »).
En 2016, le concept initial d’administration en ligne s’est encore élargi avec le déploiement de FranceConnect. Ce dispositif proposé par l’État, qui suit la logique de « l’État plateforme », permet d’utiliser un compte, un identifiant et un mot de passe unique pour tous les services publics en ligne (administration fiscale, caisse d’allocations familiales, mairie, etc.). Dans un article intitulé « L’État plateforme et l’identification numérique des usagers – Le processus de conception de FranceConnect », la sociologue Marie Alauzen écrit : « FranceConnect est un bouton de connexion aux services publics inséré, depuis 2015, sur plusieurs centaines de sites administratifs. Ce bouton, qui pourrait paraître anodin, constitue pourtant la première réalisation d’un projet de modernisation de l’État appelé « l’État plateforme », et s’inscrit dans la lignée des dispositifs administratifs qui ont fait de la figure de l’usager le destinataire privilégié de la modernisation de l’État (Weller, 1998 ; Gélédan, 2016) ».
Après avoir examiné les risques liés à l’identité numérique, nous illustrerons nos propos en évoquant le dispositif FranceConnect.
2. Les risques relatifs à l’identité numérique
2.1 Le concept d’identité numérique
Il existe une multitude de définitions de l’expression « identité numérique » comme le rappellent une mission d’information de l’Assemblée nationale sur l’identité numérique présidée par Madame Marietta Karamanli ou bien encore la Commission nationale informatique et libertés (CNIL) dans un dossier thématique intitulé « L’identité numérique ». Cela étant, le développement de l’administration en ligne a conduit les services de l’État à recourir à une définition « objective » publique de l’identité numérique pour permettre aux internautes de prouver leur identité au sens de l’état civil, c’est-à-dire leur « identité pivot ». « Cette « identité pivot », qualifiée « d’identité régalienne », est constituée d’un nombre restreint de données (nom, prénom, date , lieu de naissance et sexe de l’individu) et sert pour les démarches administratives ou formelles. Madame Valérie Peneau, directrice du programme interministériel sur l’identité numérique écrit : « « l’identité numérique constitue le prolongement dans le monde numérique de l’un des plus anciens services publics fournis par la puissance publique dans le monde physique à ses citoyens : assurer leur droit à l’identité par l’inscription et la tenue de l’état civil et le certifier par la délivrance de titres d’identité ». A cet égard, les données d'« identité régalienne » collectées « sont au demeurant les seules données à la disposition de l’État qui, à la différence des grands acteurs privés du Net, ne trace ni ne recoupe les comportements, habitudes ou préférences numériques des usagers ».
La Commission Nationale Informatique et Libertés (CNIL) précise dans son dossier précité sur l’identité numérique que cette dernière « repose sur un moyen d’identification électronique (MIE), c’est-à-dire sur un élément matériel et/ou immatériel contenant des données d’identification personnelle et utilisé pour s’authentifier à un service en ligne ».
Le fonctionnement de l’identité numérique repose sur trois acteurs : l’utilisateur, le fournisseur de services et le fournisseur d’identité - tiers de confiance qui va permettre de faire le lien entre le fournisseur de services et l’utilisateur.
Les trois phases de la vie d’une identité numérique sont : 1) l’enrôlement qui correspond à l’inscription ; 2) l’authentification qui permet à la personne inscrite de prouver qu’il s’agit bien de son identité ; 3) l’utilisation qui consiste à s’appuyer sur son identité numérique afin d’accéder à un ensemble de services, une fois l’authentification réussie.
Il est possible de regrouper les éléments qui composent l’identité numérique en quatre catégories : 1) les éléments d’authentification (nom, prénom, adresse IP, adresse électronique, mot de passe, pseudonyme) ; 2) les données personnelles, administratives, bancaires, professionnelles et sociales qu’il est nécessaire de fournir pour accéder à certains services sur internet ; 3) les signes de reconnaissance comme les photos, avatars, etc. ; 4) les traces numériques que le Grand dictionnaire terminologique définit comme « l’ensemble de données numériques laissées de manière active et passive par une personne à la suite de ses actions dans internet ».
Enfin, le principal objectif de l’identité numérique consiste à : 1) créer la confiance dans l’écosystème numérique ; 2) simplifier l’accès à des services en ligne, qu’il s’agisse de services publics tels que l’assurance maladie ou les impôts, ou des services privés comme les assurances ou les services bancaires numérisés ; 3) garantir un niveau de sécurité élevé et protéger la souveraineté européenne.
2.2 Les défis de l’identité numérique
Internet permet de simplifier les formalités et les procédures administratives, mais il s’agit d’un outil peu sécurisé car lors de sa création l’accent a été mis plus sur la convivialité d’utilisation que sur la sécurité.
Nous déplorons que la majorité des solutions d’identité numérique possèdent un niveau de sécurité relativement faible. Quid dès lors du développement d’une application d’identité numérique régalienne dans le cadre de la révision du règlement européen eIDAS (voir glossaire) pour rehausser le niveau de sécurité dans les usages quotidiens par les citoyens de services publics et privés ? (voir Chronique du Cabinet Caprioli & Associés intitulé « Révision du règlement eIDAS et identité numérique).
Dans un « Policy brief » publié en juillet 2022, Bénédicte Bévière-Boyer, Maître de conférences à l’Université Paris VIII, évoque « les enjeux paradoxaux de l’identité numérique régalienne ».
Dans un environnement numérique où les arnaques et la fraude ne cessent d’augmenter - les arnaqueurs et les pirates sont partout -, les nombreux risques, voire les dangers liés à l’identité numérique, doivent être pris au sérieux. L’identité numérique de confiance est devenue une nécessité pour la protection des personnes et des données.
Les nombreux risques posés par l’identité numérique sont les suivants : usurpation d’identité, atteinte à la vie privée ainsi qu’à la réputation en ligne et fraude au paiement en ligne.
- Usurpation d’identité
L’exposé des motifs du projet de loi de juillet 2013 visant à aggraver la sanction pénale applicable à l’usurpation d’identité commise par le biais de réseaux de communication électronique définit l’usurpation d’identité comme « le fait de prendre, délibérément, l’identité d’une autre personne vivante pour réaliser des actions frauduleuses commerciales, civiles ou pénales, accéder aux finances de la personne usurpée, ou commettre en son nom un délit, ou accéder à des droits (indemnités sociales) de façon indue ».
Un des cas les plus fréquents d’usurpation d’identité sur internet est l’hameçonnage (« phishing »). Un véritable fléau en plein essor. L’hameçonnage consiste à envoyer massivement un faux courriel, apparemment authentique, utilisant l'identité d'une institution financière ou d'un site commercial connu, dans lequel on demande aux destinataires de mettre à jour leurs coordonnées bancaires ou personnelles, en cliquant sur un lien menant vers un faux serveur Internet, copie conforme du site de l'institution ou de l'entreprise. Le pirate récupère ensuite ces informations, en vue de les utiliser pour détourner des fonds à son avantage.
D’après le Baromètre annuel « La confiance des Français dans le numérique » diffusé en février 2023, les tentatives d’usurpation d’identité ont bondi ces trois dernières années. Chaque année en France, 210 000 personnes sont victimes d’une usurpation d’identité. Enfin, selon un rapport du Centre de recherche pour l’Etude et l’Observation des Conditions de vie (CREDOC), un Français risque plus de subir une usurpation d’identité qu’un cambriolage ou un vol de voiture. - Violation de la vie privée
Dans un article intitulé « Vers un droit de propriété des données personnelles, Maître Alain Bensoussan écrit : « N’étant pas clairement informés, les internautes ne sont pas conscients des risques qu’ils encourent en termes notamment de protection de leur vie privée et de leur identité numérique … ».
Pour assurer la protection de la vie privée et des données personnelles, la CNIL entre autres préconise la protection dès la conception (« privacy by design »). Il s’agit d’un mécanisme juridique ayant pour objectif de garantir que la protection de la vie privée soit intégrée dans les nouvelles applications technologiques et commerciales dès leur conception. - Atteinte à la réputation en ligne (« e-reputation »)
L’identité numérique non protégée augmente le risque d’atteinte à la réputation en ligne (voir glossaire) en matière de sécurité et de protection des données.
Les principales atteintes à la réputation d’une personne, d’une entreprise ou d’un organisme ont lieu lors de la publication de propos diffamants sur des blogs, des forums ou encore lors de l’usurpation d’identité.
Une atteinte à la réputation en ligne pourrait entraîner des répercussions importantes, notamment une grave crise de confiance. - La fraude aux paiements en ligne
L’augmentation fulgurante des paiements en ligne constitue une opportunité pour les cybercriminels. En conséquence, une mauvaise maîtrise de l’identité numérique va augmenter le risque de fraude pour les paiements en ligne.
3. Quid des risques relatifs à FranceConnect ?
3.1 Présentation de FranceConnect
En France, la gestion de l’identité numérique pour des services publics en ligne repose principalement sur le fédérateur d’identité FranceConnect . Ce dispositif permet de centraliser l’accès à tous les services d’administration en ligne ainsi qu’à certains services privés ayant un besoin réglementaire de vérifier des attributs d’identité.
Il ne s’agit pas d’un service obligatoire. C’est un téléservice facultatif comme le précise l’arrêté du 24 juillet 2015 portant création d'un traitement de données à caractère personnel par la direction interministérielle des systèmes d'information et de communication (DISIC) d'un téléservice dénommé « FranceConnect ».
FranceConnect centralise l’historique d’utilisation et permet à un internaute d’accéder à l’ensemble des connexions et échanges de données liées à ses comptes sur les six derniers mois. Comme le souligne la CNIL, cette conservation n’est pas sans risque dans la mesure où il s’agit de données personnelles, qui peuvent révéler des informations sensibles.
3.2 FranceConnect est une cible de choix pour les cybercriminels
La possibilité d’accéder aux principaux services publics en ligne en utilisant toujours les mêmes identifiants et mot de passe une fois le compte FranceConnect créé, présente de sérieux risques de fraude et d’arnaque.
En août 2022, la Direction interministérielle du numérique (DINUM), maître d’œuvre de FranceConnect, a suspendu la connexion via FranceConnect pour certains services publics comme la Sécurité sociale ou les impôts, en raison de nombreuses attaques informatiques.
Concrètement, la Caisse nationale de l’Assurance maladie (CNAM) ne propose plus le bouton FranceConnect pour se connecter à son compte AMELI, non pas en raison d’une « maintenance technique » mais à cause de « failles béantes de sécurité de FranceConnect » qu’elle dénonce dans une note adressée à la DINUM le 12 août 2022. De même, la Direction générale des finances publiques annonce « avoir suspendu l’accès à l’espace particulier sur impôts. Gouv via FranceConnect depuis le 4 août 2022 ».
Cette course effrénée pour une numérisation des services publics en ligne est une aubaine pour les escrocs mais un énorme danger pour les citoyens français.
Au total, face à l’ampleur des cyberattaques qui inquiète au plus haut point de nombreux experts renommés en cybersécurité, l’Etat est-il à la hauteur, s’interrogent certains. Les autorités ont-elles pris la mesure des dangers liés à la cybercriminalité ? Ce sont nos données personnelles qui sont en jeu, celles que nous confions à des administrations, à des banques ou à des assurances. Concernant l’usurpation d’identité, il semblerait qu’en France, les autorités n’aient pas vraiment évalué les conséquences désastreuses de ce fléau. Que fait-on pour aider les victimes dont certaines sont poussées au suicide ? Le devoir de l’Etat n’est-il pas de protéger les citoyens ? Le législateur a affirmé à maintes reprises que « l’État a le devoir d’assurer la sécurité ». Il a également reconnu, lors du vote de la loi relative à la sécurité quotidienne que la sécurité « est un devoir pour l’État, qui veille sur l’ensemble du territoire de la République, à la protection des personnes, de leurs biens et des prérogatives de leur citoyenneté, à la défense de leur institution et des intérêts nationaux, au respect des lois, au maintien de la paix et de l’ordre public ».
En présence d’une société gangrénée par une importante délinquance et une cybercriminalité qui ne cesse d’augmenter, il est urgent d’agir car Il en va non seulement de la paix civile mais également de la dignité et de l’honneur de la France.
4. Glossaire
Cyberattaque : « Ensemble coordonné d’actions menées dans le cyberespace qui visent des informations ou les systèmes qui les traitent, en portant atteinte à leur disponibilité, à leur intégrité ou à leur confidentialité »( FranceTerme).
Donnée personnelle : « Toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres » (Article 2 de la loi Informatique et Libertés).
Identité régalienne : Capacité à prouver de façon numérique et sécurisée les attributs de son identité civile.
Règlement eIDAS (« electronic IDentification Authentification and trust Services ») : Règlement sur l’identification électronique et les services de confiance pour sécuriser les transactions numériques au sein de l’Union européenne.
Réputation en ligne (« e-reputation ») : Ensemble des informations, des rumeurs et des jugements qui circulent sur internet et qui donnent une certaine image d’une personne physique ou morale ou d’une marque.
© Copyright ANDESE
Le présent document est protégé par les dispositions du code de la propriété intellectuelle. Les droits d'auteur sont la propriété exclusive d'ANDESE (Association Nationale des Docteurs ès Sciences Économiques et en Sciences de Gestion). La copie ou la reproduction (y compris la publication et la diffusion), intégrale ou partielle, par quelque moyen que ce soit (notamment électronique) sans le consentement de l’éditeur constituent un délit de contrefaçon sanctionné par les articles L. 335-2 et suivants du code de la propriété intellectuelle.