Le monde de la téléphonie a connu ces dernières années une importante évolution. Il a donné entre autres naissance aux smartphones qualifiés de téléphones intelligents. Ces derniers, qui permettent de télécharger de nombreuses applications sont devenus le centre névralgique donnant accès à des pans entiers de notre vie privée. « Le développement des applications mobiles sur les smartphones s’est parfois accompagné d’atteintes graves à la vie privée » déplore Marie-Laure Denis, présidente de la Commission nationale de l’informatique et des libertés (CNIL).
Le 24 février 2024, le ministre de l’Intérieur et des Outre-Mer a annoncé la généralisation de l’application France Identité qui mise désormais sur une approche unique pour la carte nationale d’identité, le permis de conduire et la carte vitale. En effet, selon des sources gouvernementales citées par le Parisien, après la carte d’identité et le permis de conduire dématérialisés, c’est la carte vitale qui s’ajouterait à cette application au cours du 1er trimestre 2025. Les assurés disposant de la carte nationale d’identité nouveau format n’auront plus à sortir leur carte vitale chez le médecin. Ils auront accès à cette carte verte via l’application France Identité téléchargée sur leur smartphone.
La France, qui a fait le choix d’une application propriétaire pour la dématérialisation des titres d’identité, viserait désormais le déploiement d’ici 2026 d’un portefeuille européen d’identité numérique ». Reconnu dans toute l’Europe, ce portefeuille permettrait de partager ces identités via son smartphone. Cette initiative s’inscrit dans le rêve européen et français d’un grand projet de numérisation d’ici à l’horizon 2035.
Après avoir évoqué brièvement les cyberattaques ciblant les utilisateurs de smartphones, nous analyserons les enjeux et les défis de l’application France Identité.
1. Applications sur mobile et vol des données
1.1. Les smartphones sont devenus le centre névralgique de nos données personnelles
« Votre smartphone sait tout de vous »
Marie-Laure Denis, présidente de la CNIL
De nombreuses sociétés et organismes ont fait du mobile leur priorité stratégique car il est une ressource importante de données sur notre vie privée. Comme le souligne la CNIL, toutes les fois que nous utilisons une application sur mobile, celle-ci collecte des informations sur nous. Mais contrairement à la toile, les applications mobiles peuvent collecter des données plus variées et parfois plus sensibles. « Tous les pans de notre vie sont devenus traçables », alerte la présidente de la CNIL Marie-Laure Denis.
Les applications sur mobile, qui stockent des mégadonnées personnelles, connaissent une croissance exponentielle qui atteint des proportions inquiétantes. Avons-nous pris la mesure des risques de cybercriminalité liés aux piratages et vols de smartphones qui dégradent non seulement la vie des Français mais qui coûtent très chers à la nation et conduisent au délitement de notre société ? Certains osent les nier ou les minimiser en employant à tort le vocable « incivilités ».
1.2. Le smartphone, cible de la cybercriminalité
La lutte contre la cybercriminalité via un appareil mobile fait désormais partie de notre vie numérique, d’autant plus que les fraudeurs ne cessent d’inventer de nouveaux moyens pour tenter de tromper les utilisateurs. Ils sont toujours plus inventifs et habiles.
Par ailleurs, de manière générale, les utilisateurs sont beaucoup moins méfiants avec leur smartphone qu’avec leur ordinateur, alors que le smartphone est le maillon faible de la cybersécurité. Comme le rappelle le site cybermalveillance.gouv.fr, les capacités des mobiles ne cessent de croître et les fonctionnalités qu’ils offrent dépassent parfois celles des ordinateurs. Ils collectent et compilent un nombre croissant de données sensibles qui sont davantage sujettes au risque de perte ou de vol. En outre, ces appareils sont généralement moins bien sécurisés que les ordinateurs. Ainsi, les cyberattaques ciblant les utilisateurs de mobiles ne cessent d’augmenter, en particulier via une technique appelée mishing (contraction de mobile et phishing). Il s’agit d’attaques de type hameçonnage qui visent les utilisateurs via leur mobile et qui sont conçues pour être plus efficaces sur un smartphone qu’un ordinateur. D’après le rapport Global Mobile Phishing Attacks 2024 de Zimperium, 82 % des sites d’hameçonnage sont aujourd’hui adaptés aux mobiles. Une autre attaque de type hameçonnage est l’hameçonnage par texto ou smishing (contraction de SMS et phishing) qui « vise à obtenir des informations confidentielles, telles que des mots de passe ou des numéros de cartes de crédit, au moyen de textos usurpant l’identité d’institutions financières ou d’entreprises commerciales » (Source : FranceTerme).
Aujourd’hui, nous vivons sous la menace constante de la criminalité et de la cybercriminalité. En France, un smartphone est volé toutes les six minutes. Il s’agit du vol le plus fréquent, avec celui des espèces. Les smartphones sont la clé de toutes sortes d’arnaques et d’escroqueries, notamment en matière bancaire. D’aucuns parlent de « Smartvol » pour piller les comptes en banque. Chaque année, le nombre de victimes ne cesse de croître, illustrant l’ampleur de ce problème. La dernière étude publiée par l’Observatoire national de la délinquance et des réponses pénales (ONDRP) faisait état de 775 000 plaintes pour vols de smartphones.
2. France Identité : enjeux et défis de cette applications sur mobile
« L’application France Identité
Ce sont vos données d’identité dans votre téléphone »
France Identité
’2.1. France Identité : l’application pour stocker et utiliser ses documents d’identité sur son smartphone
L’application France Identité est entendue comme la « transposition numérique contenue dans l’un des titres d’identités sécurisés délivrés par le ministère de l’intérieur qui permet à son détenteur de s’authentifier en ligne comme hors ligne ». Cette identité numérique va prendre de l’essor avec la dématérialisation des titres d’identité sécurisés (carte d’identité) et des documents administratifs (permis de conduire, carte vitale).
L’application France Identité est un service qui permet de prouver son identité. Elle est gratuite et accessible à tous, à la condition d’être détenteur d’une carte d’identité nouveau format, à l’œuvre depuis 2021.
Elle est activable et révocable en ligne. Facultative, elle n’a pas vocation à remplacer la carte d’identité et les démarches déjà existantes mais à offrir de nouvelles alternatives aux Français qui le souhaitent.
Enfin, elle est destinée à un usage strictement personnel et son utilisation est effectuée sous le seule et entière responsabilité du titulaire.
2.2. Restons vigilants face aux vulnérabilités et attaques courantes des applications sur mobile
Si les technologies d’identité numérique apportent d’innombrables avantages, leur développement et leur mise en œuvre donnent lieu à une variété de défis.
Selon France Identité, l’identité numérique régalienne permet de fournir un justificatif d’identité à usage unique pour accéder à plus de 1 400 services en ligne.
Cela étant, d’aucuns déplorent que la majorité des solutions d’identité numérique possèdent un niveau de sécurité relativement faible. Dans un « Policy brief » publié en juillet 2022, Bénédicte Bévière-Boyer, Maître de conférences à l’Université Paris VIII, évoque « les enjeux paradoxaux de l’identité numérique régalienne ».
Dans un environnement numérique où les arnaques et la fraude ne cessent d’augmenter - les arnaqueurs et les pirates sont partout -, les nombreux risques, liés à l’identité numérique, doivent être pris au sérieux. Tout l’enjeu de France Identité consiste à éviter au maximum les risques d’usurpation d’identité et d’atteinte à la protection des données personnelles et à la vie privée.
a) Les risques d’usurpation d’identité :
L’exposé des motifs du projet de loi de juillet 2013 visant à aggraver la sanction pénale applicable à l’usurpation d’identité commise par le biais de réseaux de communication électronique définit l’usurpation d’identité comme « le fait de prendre, délibérément, l’identité d’une autre personne vivante pour réaliser des actions frauduleuses commerciales, civiles ou pénales, accéder aux finances de la personne usurpée, ou commettre en son nom un délit, ou accéder à des droits (indemnités sociales) de façon indue ».
Les données sensibles liées aux documents d’identité numérique régalienne ne sont pas stockées sur des serveurs à distance mais uniquement sur les smartphones des utilisateurs. Dès lors, en cas de perte ou vol de smartphone, il est important d’agir rapidement pour protéger ses données qui pourraient être utilisées non seulement à des fins d’escroquerie mais notamment pour une usurpation d’identité. En cas de carte nationale d’identité électronique perdue ou volée, France Identité recommande de supprimer son compte France Identité pour protéger ses données, car l’usurpation d’identité entraîne des conséquences fâcheuses pour la victime. L’usurpateur peut utiliser le nom et les données personnelles de la victime pour par exemple :
- Ouvrir un compte bancaire au nom de la victime et émettre ensuite des chèques qui reviendront impayés entraînant l’inscription de la victime au Fichier central des chèques (FCC). L’usurpateur peut également souscrire un crédit au nom de la victime et ne pas le rembourser. La victime est alors inscrite au Fichier des incidents de remboursement des crédits aux particuliers (FICP) ;
- Faire de faux papiers d’identité au nom de la victime en utilisant ses données personnelles. La victime se heurte alors à un refus de renouvellement de ses papiers d’identité ;
- Bénéficier d'aides sociales auprès de la sécurité sociale ou de la caisse des allocations familiales.
- Porter atteinte à l’honneur ou à la considération de la victime via les réseaux sociaux ;
- Commettre une infraction sous l’identité de la victime.
- etc.
A-t-on vraiment évalué les conséquences désastreuses d’une usurpation d‘identité ? Que fait-on pour aider les victimes dont certaines sont poussées au suicide ?
b) Les risques d’atteinte à la protection des données personnelles et à la vie privée :
Dans un article intitulé « Vers un droit de propriété des données personnelles, Maître Alain Bensoussan écrit : « N’étant pas clairement informés, les internautes ne sont pas conscients des risques qu’ils encourent en termes notamment de protection de leur vie privée et de leur identité numérique … ».
Le vol d’un mobile peut constituer un cas grave de violation de données personnelles. Pour certains, un smartphone est synonyme de risques de vols de données.
Le vol de données consiste à voler des informations numériques stockées sur des appareils numériques. Ces données volées peuvent inclure des informations relatives à des comptes bancaires, des mot de passe en ligne, des numéros de passeport, des numéros de permis de conduire, des numéros de sécurité sociale, des dossiers médicaux, etc. Ces informations sont soit vendues, soit utilisées à des fins d’usurpation d’identité.
Le vol de données consiste à voler des informations numériques stockées sur des appareils numériques. Ces données volées peuvent inclure des informations relatives à des comptes bancaires, des mot de passe en ligne, des numéros de passeport, des numéros de permis de conduire, des numéros de sécurité sociale, des dossiers médicaux, etc. Ces informations sont soit vendues, soit utilisées à des fins d’usurpation d’identité.
2.3 Qu’en est-il de l’exclusion d’une catégorie de la population dans ce nouveau dispositif ?
En plus des dangers de piratage et des vols de données, cette démarche risque d’éloigner de ce dispositif les personnes qui n’ont pas une maîtrise suffisante des outils numériques. L’INSEE révèle qu’un Français sur 6 souffre « d’illectronisme » ou « illettrisme numérique ». La fracture numérique a amené plus d’un quart des personnes âgées de plus de 60 ans en situation « d’exclusion numérique (Pitaud, Deschamps, 2021). L’incapacité à utiliser les outils numériques, dont souffrent en particulier les personnes âgées, a un impact significatif sur leur autonomie et leur inclusion sociale. Ainsi, alors que certains attendent l’entrée de la carte vitale dans le dispositif de France Identité, d’autres la craignent car elle pourrait priver l’accès au remboursement des soins des millions de séniors. Comment vont faire les personnes qui ne possèdent pas de smartphone ? La fracture numérique a encore de beaux jours devant elle !
L’ampleur des cyberattaques inquiète au plus haut point de nombreux experts renommés en cyber sécurité. Certains s’interrogent : les autorités ont-elles pris la mesure des dangers liés à la cybercriminalité ? Ce sont nos données personnelles qui sont en jeu, celles que nous confions à des administrations, à des banques ou à des assurances.
3. Glossaire
Cybercriminalité : Ensemble des infractions pénales qui sont commises via les réseaux informatiques, notamment le réseau Internet.
Donnée personnelle : « Toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres » (Article 2 de la loi Informatique et Libertés).
Fracture numérique : Inégalités d’accès aux TIC.
Hameçonnage : Pratique frauduleuse consistant à envoyer massivement un faux courriel, apparemment authentique, utilisant l'identité d'une institution financière ou d'un site commercial connu, dans lequel on demande aux destinataires, sous différents prétextes, de mettre à jour leurs coordonnées bancaires ou personnelles, en cliquant sur un lien menant vers un faux serveur Internet, copie conforme du site de l'institution ou de l'entreprise, où le pirate récupère ces informations, en vue de les utiliser pour détourner des fonds à son avantage.
Identité régalienne : Capacité à prouver de façon numérique et sécurisée les attributs de son identité civile.
Usurpation d’identité : Délit créé par la loi d'orientation et de programmation pour la performance de la sécurité intérieure (LOPPSI) II du 14 mars 2011, consistant à usurper l'identité d'un tiers ou à faire usage d'une ou plusieurs données de toute nature permettant de l'identifier en vue de troubler sa tranquillité ou celle d'autrui, ou de porter atteinte à son honneur ou à sa considération.
Copyright ANDESE
Le présent document est protégé par les dispositions du code de la propriété intellectuelle. Les droits d'auteur sont la propriété exclusive d'ANDESE (Association Nationale des Docteurs ès Sciences Économiques et en Sciences de Gestion). La copie ou la reproduction (y compris la publication et la diffusion), intégrale ou partielle, par quelque moyen que ce soit (notamment électronique) sans le consentement de l’éditeur constituent un délit de contrefaçon sanctionné par les articles L. 335-2 et suivants du code de la propriété intellectuelle.