Pourquoi la Loi fédérale sur les services d’identification électronique est problématique

L’identité dépend de l’État civil

Le fait qu’une personne particulière soit légalement reconnue comme telle grâce à des éléments d’état civil, le fait de pouvoir décliner son identité et de pouvoir la prouver via un document officiel délivré par l’administration du pays dont la personne est ressortissante, font partie de notre histoire et de notre culture.

La Loi fédérale sur les services d’identification électronique (LSIE), modifie intrinsèquement ce mode opératoire, en autorisant de nouveaux intermédiaires privés et prestataires commerciaux à certifier l’identité électronique des citoyens. Le fait que la Confédération ne veuille pas avoir sa propre eID, n’est ni neutre, ni sans conséquences.

 

Privatisation de l’identification électronique

Les conséquences pour l’État d’une telle décision sont de trois ordres :  d’abord l’abandon de la souveraineté du système d’identification électronique national, ensuite l’inféodation au technopouvoir des acteurs privés, enfin une dépendance à ces derniers. Pour la population, cette intermédiation augmente le risque de la transparence totale des êtres et de leurs activités.

Peut-on raisonnablement bâtir la confiance que les usagers pourront accorder à des fournisseurs d’eID, seulement en fonction du pouvoir d’influence qu’ils possèdent, du marketing qu’ils effectuent et des incitations qu’ils offrent, pour convaincre d’opter pour leurs services ?

 

Des organisations délivrent des eID au nom de l’État

Bien qu’il soit avancé que « L’État définit les dispositions légales, garantit l’exactitude des données et surveille les fournisseurs privés d’eID», il est légitime de se demander si l’État aura les moyens et les compétences nécessaires pour s’assurer du bon fonctionnement des solutions mises en œuvre par le secteur privé pour la réalisation de l’eID. Si oui pourquoi déléguer à d’autres ce qu’il pourrait faire lui-même ? Pourquoi les moyens électroniques d’identification de la population devraient être dans les mains du secteur privé, si ce n’est la volonté de l’État de vouloir privilégier et favoriser une économie privée et un marché très lucratif ? Ne s’agirait-il pas d’une mesure déguisée de soutien à l’économie ?

S’il est dit que l’État exercera ses prérogatives de surveillance, le doute existe non seulement sur les moyens mais aussi sur ses capacités effectives d’agir. Les entreprises ne pourraient-elles pas lui opposer le secret des affaires par exemple ?

Comment l’État peut-il par ailleurs s’assurer et rassurer ses citoyens quant à la protection correcte de leurs données chez les fournisseurs, y compris chez leurs possibles partenaires et sous-traitants, voire chez des GAFAMs présents en Suisse (Google à Zurich, Facebook Libra à Genève pour ne donner que deux exemples). N’avons-nous pas été informé en 2018 que « Les réseaux sociaux d’envergure mondiale devraient disposer d’une représentation en Suisse. Le Conseil fédéral se dit prêt jeudi à légiférer dans cette direction, de manière incitative »[1], ce qui les autoriserait à devenir des fournisseurs de eID suisses.

Est-il possible de garantir que le fournisseur n’externalisera jamais tout ou partie des traitements informatiques et du stockage des données relatives à l’eID sur des infrastructures numériques (cloud) de fournisseurs et d’acteurs étrangers ? Quels sont les garde-fous pour empêcher que des entreprises privées, qui offrent un service public ne tombent par la suite entre les mains d’intérêts étrangers ?

 

Un véritable passeport numérique qui ne porte pas son nom

Bien que l’eID ne soit pas présentée comme étant un passeport numérique[2], dans les faits, elle en est un. Il s’agit d’un laisser passer numérique reconnu et validé par l’État mais pas délivré par lui, pour accéder à des services dématérialisés, y compris ceux qui sont offerts par l’administration. L’eID relève bien d’un service que l’État se doit d’offrir, dès lors pourquoi privatiser une telle tâche régalienne ? Pourquoi déléguer cette mission essentielle qu’est la gestion de l’identité numérique, d’autant plus que l’eID est en passe de devenir incontournable pour les applications de santé connectée et de E-Health ?

 

Un manque de garanties

À ce jour, il est impossible de connaître en détail les informations qui seront vérifiées par l’État et qui seront transmises (puis stockées et gérées) par les fournisseurs d’eID. La LSIE ouvre la porte à la possibilité d’enregistrer toutes sortes de données (biométriques, comportementales, etc.) et à la capacité pour un prestataire de service de les traiter.

Dans la mesure où il est impossible d’oublier que dans le monde numérique, la profitabilité des entreprises privées repose sur l’exploitation des données, comment garantir que les informations relatives à l’eID et à ses usages, ne puissent (y compris sous couvert d’anonymisation toute relative), être couplées à d’autres données et usages numériques, à des traitements d’analyse de données massives (big data) et être associées à des dispositifs d’intelligence artificielle, durant leur durée de rétention de 6 mois chez les fournisseurs ?

L’eID est un identifiant unique utilisable pour réaliser des transactions commerciales, accéder au dossier électronique des patients, à des services administratifs ou encore pour acquérir des services offerts par les CFF, la Poste, ou par Swisscom par exemples. Cela autorise donc le fournisseur de eID d’être en mesure de tout savoir sur les utilisations de cette eID.

Une fois transformées, les données qui découlent de l’eID seront impossibles à identifier et leurs utilisations détournées incontrôlables. Rien n’est dit non plus sur les métadonnées générées par l’eID et leurs utilisations. Seront-elles aussi encadrées et contrôlées ?

Concrètement, quels types de mesures permettent de garantir que les données initialement fournies ne seront pas utilisées à d’autres fins ?

 

La charge de la preuve est pour la victime ou l’art de rendre l’utilisateur responsable

Si la contribution de l’État dans la délivrance par un fournisseur d’eID permet d’éviter qu’une personne puisse obtenir une eID sous une fausse identité, cela n’empêche pas l’usage d’une eID valide, par une tierce personne à l’insu de son propriétaire légitime (notion d’usurpation d’identité). Il est spécifié dans la LSIE (Art.12) que c’est au titulaire de l’eID de prendre les mesures nécessaires pour empêcher toute utilisation abusive de son eID. Tel que présenté, la conception et le mode de fonctionnement du dispositif, ne permettent pas à l’usager de disposer des mesures nécessaires.

Faire porter la responsabilité, la nuisance et le coût de l’usurpation d’identité sur le consommateur, n’est pas à son avantage. S’il est rappelé que l’eID permet de « profiter simplement et en toute sécurité des avantages du monde numérique », elle permet aussi de profiter « en toute simplicité » de ses inconvénients, notamment de la cybercriminalité et des usages abusifs et détournés facilités par le numérique.

Comment l’utilisateur est-il protégé sachant que l’usurpation d’identité n’est pas réprimée comme telle dans le droit pénal suisse? Quels sont les moyens mis en œuvre par le fournisseur pour protéger le citoyen de l’usurpation d’identité ? En cas d’usurpation, pourra-t-il changer d’eID, en obtenir une autre, à quel prix ? Qu’adviendra-t-il des personnes dont l’eID est bloquée pour raisons techniques, d’usurpation ou de piratage ? La Loi ne répond à aucune de ces questions.

Les responsabilités et les pénalités en cas de problèmes du fait des prestataires ne sont pas définies. Quelles seraient les conséquences pour un fournisseur en cas de manquement ou de piratage de ses systèmes informatiques ? Si cette responsabilité est limitée à celle prévue dans le cadre de la Loi fédérale sur la protection des données (LPD), c’est bien peu au regard des risques qu’une défaillance pourrait faire subir aux résidents du pays.

 

Coût et illusion de concurrence

À partir du moment où une eID existe, beaucoup de services vont l’exiger, à commencer par ceux offerts par les entreprises participant déjà à des structures délivrant un ID commun, alors qu’elle ne devrait être nécessaire que dans un nombre limité de cas (ceux qui exigent véritablement la présentation d’une pièce d’identité).

La question du coût du service n’est pas réglée par la Loi. Il semble que la gratuité ne soit pas à l’ordre du jour et que divers frais et émoluments soient envisagés, sans être précisément définis ou encadrés par le texte. Toutefois, il apparait dans l’enquête effectuée par les journalistes d’investigation du média Republik.ch intitulée « Die Lobby, die bei der E-ID die Fäden zieht »[3] que les coûts non négligeables, sont portés par les acteurs qui intègrent cette solution dans leur offre de service. Au final, se sont les consommateurs et les citoyens qui en assumeront les coûts.

Il est plus que probable que le service procurera une solide rente de situation aux quelques acteurs privés qui opèreront ces futurs services.

Par ailleurs, une fois en place, ce type de solution sera très difficile à remettre en question, ce qui permettra aux acteurs concernés de dicter leurs règles et leurs prix, pour s’assurer des marges confortables et garantir la préservation de leur position. Il faut ajouter que l’effet de réseau sera très puissant par rapport aux services d’eID et limitera très rapidement le nombre d’acteurs sur le marché.

L’illusion d’une réelle concurrence entre différents fournisseurs se transformera en situation d’oligopole ou de monopole, ce qui accroitra encore la dépendance de la Confédération aux quelques acteurs ou à un seul acteur[4].

Le monopole d’État d’identification électronique est ainsi remplacé par un monopole privé. Alors que dans le secteur public, le personnel qui gère des données d’état civil et qui accède à ces données y compris dans les instances de justice et police, est un personnel assermenté, cela n’est pas le cas dans le secteur privé.

 

Numérisation totale et risques

Plus globalement, un tel service d’eID s’inscrit dans la poursuite d’une numérisation que beaucoup espèrent totale des services publics et privés. Elle est de fait, accompagnée de son lot de vulnérabilités, de problèmes et d’erreurs de conception, de gestion, et d’utilisation. Non seulement, elle continue d’accroitre notre dépendance à des infrastructures techniques, notamment à celles des réseaux informatiques et électriques, mais elle favorise l’explosion du nombre de cyberattaques. Les défis que posent les questions de cybersécurité illustrent les dangers qui peuvent être associés à cette dépendance.

La concentration des données d’identification augmente leur risque de piratage. Pour ne donner qu’un exemple, rappelons le piratage de la base de données d’identification biométrique de la population indienne « Aadhaar » concernant 1,2 milliard d’Indiens, révélé en 2018[5]. Les données d’identification possèdent une valeur non négligeable pour les acteurs criminels et leur usage détourné et illicite facilite et augmente la profitabilité de la cybercriminalité.

Les risques de sécurité liés à des mégabases de données d’identité ne sont pas négligeables. En cas de piratage, c’est l’ensemble de la population résidente qui serait impactée.

 

Trop d’incertitudes, sans les ordonnances, la LSIE est une véritable boite noire

À ce jour, les informations nécessaires pour voter en toute connaissance de cause et donner un consentement éclairé, manquent.

Les explications proposées pour justifier l’adoption de la LSIE sont inadaptées, incomplètes et simplistes.

Comme le rappelle Hubert Guillaud « Ce qui n’est pas explicable ne peut pas entrer en discussion avec la société »[6].

Plus un dispositif a le pouvoir de modifier la vie des citoyens, plus il doit être contraint à la transparence et au contrôle. Les entreprises privées qui fourniront l’eID seront-elles réellement transparentes et contrôlables ? L’État sera-t-il pleinement en mesure de les contrôler ?

In fine, le seul pouvoir dont dispose le citoyen est celui de pouvoir contribuer à contrôler l’État et ses services par le biais du vote. La votation du 7 mars 2021 est une occasion pour l’exprimer et une opportunité pour réaliser un devoir démocratique, ce qui est de plus en plus difficile à réaliser du fait la complexité des sujets soumis à votation et du manque d’information claire.

Notes

[1] https://www.rts.ch/info/suisse/9594516-le-conseil-federal-souhaite-un-siege-des-grands-reseaux-sociaux-en-suisse.html

[2] https://www.bj.admin.ch/bj/fr/home/staat/gesetzgebung/e-id/faq.html

[3] « Die Lobby, die bei der E-ID die Fäden zieht » (Le lobby qui tire les ficelles de l’e-ID. Pourquoi le gouvernement fédéral s’est retiré très tôt du jeu en tant que fournisseur d’identité électronique – et comment le secteur privé a influencé le processus législatif : une reconstruction.)

https://www.republik.ch/2021/02/17/die-lobby-die-bei-der-e-id-die-faeden-zieht

[4] Ainsi par exemple, il existe le SwissSign Consortium qui est « composé de sociétés proches de l’Etat, d’établissements financiers, de compagnies d’assurances et de caisses-maladie (CFF, Poste Suisse, Swisscom, Banque Cantonale de Genève, Credit Suisse, Entris Banking, Luzerner Kantonalbank, Raiffeisen, Six Group, UBS, Zürcher Kantonalbank, Axa, Baloise, CSS, Helvetia, Mobilière, SWICA, Swiss Life, Vaudoise et Zurich) ». https://www.swisssign-group.com/fr/

[5] https://www.numerama.com/politique/318663-aadhaar-un-acces-pirate-a-lidentite-biometrique-dun-milliard-dindiens-coute-7-euros.html

[6] https://www.internetactu.net/2019/11/14/de-lexplicabilite-des-systemes-les-enjeux-de-lexplication-des-decisions-automatisees/

Solange Ghernaouti

Docteur en informatique, la professeure Solange Ghernaouti dirige le Swiss Cybersecurity Advisory & Research Group (UNIL) est pionnière de l’interdisciplinarité de la sécurité numérique, experte internationale en cybersécurité et cyberdéfense. Auteure de nombreux livres et publications, elle est membre de l’Académie suisse des sciences techniques, de la Commission suisse de l’Unesco, Chevalier de la Légion d'honneur. Médaille d'or du Progrès

22 réponses à “Pourquoi la Loi fédérale sur les services d’identification électronique est problématique

  1. Merci Madame pour vos explications qui mettent en évidence les multiples contradictions soulevées par cet objet.
    On a en Suisse de très bonnes universités avec des chercheurs très compétents, donnons-leur la tâche de définir un cahier des charges sérieux avant de se prononcer sur un modèle. Swiss-Id n’a pas fonctionné peut-être justement parce que l’on y a pas suffisamment réfléchi.
    Donc: votons NON pour que l’on commence à étudier le problème.
    PS: En boutade, je préférerai de beaucoup un multi-Id à un unique-Id !

  2. Merci Madame pour ces éclaircissements limpides.
    Au vu des risques encourus, des innombrables flous juridiques et coûts du service, la seule réponse possible est un NON à cette votation.

  3. Cent-mille fois merci. Pas d’émotions ni de dogmes mais des faits ! Bravo !

    Etant informaticien depuis 30 ans et spécialisé depuis 10 ans dans la sécurité informatique, j’ai manqué de m’étouffer en lisant le texte de loi annexé au matériel de vote. Aucune société privée ne prendrait un risque pareil avec sa sécurité (contrôle d’accès) sur des bases contractuelles telle qu’elles sont énoncées dans la loi. Au contraire, elles prévoient des clauses d’indemnisation de dommages parfois illimitées en cas de faute du fournisseur.

    C’est de la folie pure ! Autant signer un chèque en blanc au fournisseur d’eID.

    Je ne sais pas comment je voterais si ma profession était différente et que je n’aie aucune experience dans ce domaine car la campagne permet difficilement de se faire une opinion éclairée. C’est un vrai problème sur un sujet aussi important. Il ne s’agit pas d’être de gauche ou de droite (je suis libéral), ni d’avoir tort ou raison, ni d’essayer de convaincre en rassurant ou au contraire de dissuader en faisant peur mais de rester intègre dans l’énoncé des choix possibles et des risques/conséquences qui y sont associées.

    Au contraire, aussi bien les déclarations publiques du gouvernement sur le sujet ainsi que le matériel de vote contiennent un nombre de mensonges assez impressionnants (que vous développez dans votre blog: sécurité pas assurée, obligation de prendre un eID pour se faire soigner par exemple, coût, etc).

    Je pense que peu de citoyens réalisent qu’une implantation ratée d’un concept d’identité numérique peut mener à la mort sociale des individus qui en seront victimes. Ce n’est pas un simple gadget technique: cela peut mener à la faillite, aux poursuites ou à l’expulsion de son logement.

    Or de nombreuses personnes voient cela comme une votation purement technique avec, au pire, en cas d’acceptation une transmission de leur données personnelles aux géants technologiques.

    C’est effrayant !

  4. Les futurs fournisseurs de eID (banques, assurances, CFF, sociétés de recouvrement, etc) ne sont pas des sociétés informatiques. Leur principal intérêt, ce sont les données des futurs utilisateurs et le contrôle de leur activité sur internet (vision transversale, profilage, etc).

    Elle vont donc sous-traiter la partie “technique” à une Société Informatique comme elle l’on déjà fait pour leur informatique interne.

    Les sous-traitants informatiques ne prendront pas le risque d’une solution “custom” (trop chère, compliquée, difficile à maintenir), elles vont donc se positionner comme intégrateur de solutions et de plateformes standards (avec leur backdoors réglementaires intégrées) avec de vagues adaptations pour répondre à la loi.

    …. et on nous demande de croire que l’Etat sera capable d’assurer la sécurité de cet attelage instable pout garantir l’identification de ses citoyens lors de démarches critiques en ligne (compte en banque, prêt, fiscalité, santé, etc) ainsi que la confidentialité des données ?

    Alors que la loi ne prévoit aucune autre sanction sérieuse contre le fournisseur ni de dédommagement aux victimes éventuelles en cas d’abus !

    Il ne s’agit ni plus ni moins que d’envoyer les citoyens au casse-pipe. C’est scandaleux !

  5. Un truc me laisse un peu perplexe: mettons que ma banque et mon assurance maladie font partie du consortium eID. Suite à la perte de mon emploi, je tombe gravement malade. Même si cela est interdit en principe (car il n’y pas de pénalité), techniquement l’UBS est alors informée lorsque je m’inscris sur le site du chômage ainsi que lorsque je prends divers rendez-vous avec un médecin sur OneDoc.

    N’y a t’il pas un problème de conflit d’intérêt quelque part ? (La banque pourrait, par exemple, résilier mon prêt hypothécaire en actionnant les clauses contractuelles prévues).

    On peut imaginer un nombre à peu près infinies de cas de figure (perte du permis de conduire, poursuite, vaccination Covid, divorce, grossesse, carte de crédit annulée, etc).

    Je dois probablement voir le mal partout mais en ces temps difficiles, certains pouraient être tentés d’en tirer profit, non ?

  6. Merci pour cet éclairage! On perdra notre liberté et on nous ment tellement effrontément que ça en devient pathétique pour les institutions qui défendent cette loi scélérate!
    25 ans dans le domaine de la sécurité informatique je n’ai jamais vu une telle aberration avec cette loi qui va faire en sorte que le citoyen Suisse sera fiché officiellement par des privés qui vont se donner à cœur joie pour revendre ces données! Si elles ne seront pas piratées par des groupes de hacheras friands de ces grosses bases de données!
    On est inconscient du risque et de notre perte de liberté!
    En plus c’est notre conseil fédéral qui ose nous enfiler cette loi?!?!? Décidément……

  7. On pensait à tort que les lobbyistes dominent le parlement seulement mais avec un tel scandale l’Administration fédérale ne semble pas à l’abri des influences commerciales. Excellent article, dommage que je ne puisse pas le diffuser sur LinkedIn !

  8. Merci pour votre blog. Donc, si j’ai bien compris, c’est le simple citoyen qui paiera (principalement) les pots cassés en cas de défaillance du système (piratage, usurpation d’identité, vol de données, etc).

    Alors qu’on sera obligé tôt ou tard de prendre un eID, ne serait-ce que pour acheter un abonnement demi-tarif (presque toute la population).

    C’est comme si on me forçait à signer un contrat dangereux dont je n’accepte pas les termes. Ou est la liberté individuelle là dedans ?

    Il faut vraiment voter NON.

  9. Il est probable que les fournisseurs migrent à terme leurs systèmes d’identification (3D secure, etc) à eID. Donc, contrairement à ce qui a été dit pour influencer le vote en rassurant la population, impossible de de faire un achat sur internet sans eID.

  10. Cette loi donne l’impression d’une confluence entre un dogmatisme libéral et illibéralisme numérique du parlement.

    Au final, lorsque (et pas quand) il y aura un problème, ça sera à Mr tout le monde de régler le problème car la “responsabilité individuelle” sera invoquée pronto avec l’article 12.1 pour s’en laver les mains.

    Ce qui est incroyable est que la loi ne parle nul part de la gestion et des limites d’utilisation des métadonnées. Ni de pénalités encourues par le fournisseur en cas de faute grave. Proprement hallucinant.

  11. Cette loi est totalement liberticide pour le citoyen !
    Comment ferons nos ainés pour s’y conformer ? ils seront pénalisé!
    Un exemple: En Valais on a forcé les agriculteurs (même petit) à s’enregistrer et passer toutes leurs formalités à travers un outil informatique qui arrange le fonctionnaire paresseux.
    RESULTAT : Plus de 80 % des petits paysans n’ont plus le courage de s’y conformer et abandonnent leur exploitation!
    C’est impossible de recevoir une aide aux paysan sans cet outil informatique !!!!
    Et le fonctionnaire répond: “Vous n’avez qu’à prendre un conseiller informaticien pour vous remplir le formulaire sur internet !!!! (à 140.- de l’heure)
    J’en ai fait l’expérience avec l’exploitation de mes parents !
    Voila à quoi on va arriver avec ce E-ID !!!!
    C’est honteux de proposer de tels lois aux citoyens.

  12. Cette eId privée est d’autant plus inquiétante qu’elle coïncide avec l’arrivée en Suisse de Palantir Technologies qui est le leader mondial du traçage.

  13. Ce projet démontre le niveau d’illettrisme du monde politique face au numérique x et, en particulier, à la cybersécurité. On fait face à une campagne politique traditionnelle droite-gauche au lieu d’une analyse de risque basée sur des faits (la faiblesse du texte de loi proposé montre que cela n’a pas été fait).

    Quand on parle sécurité, nos politiciens pensent encore armée, avions de combat, agression, vol avec effraction, terrorisme. Le moyen le moins risqué de s’enrichir (ou de nuire) aujourd’hui pour un malfrat, ce n’est plus d’enchaîner les hold-up, mais de multiplier les cyber-attaques grâce à des “kits technologiques” qui mettent le cybercrime à portée d’un utilisateur moyen.

    C’est dans ce contexte que le seul projet d’innovation numérique soumis au peuple consiste à nous demander de tout rassembler sur une clé unique et à la placer sous le paillasson…

    Il est temps d’éduquer nos autorités avec un NON massif pour provoquer une prise de conscience.

  14. Bravo, merci pour votre courage intellectuel face à tous les béats du soit-disant progrès inéluctable. Il existe des progrès, mais il existe aussi des dérives et des régressions très dangereuses.
    Il existe aussi des technologies qui nous rendent esclaves. Il existe des drogues. Il existes des systèmes mafieux. S’en rendre compte et le dire, c’est justement un bon progrès.

  15. Pour info: Le CLOUD Act a été adopté en mars 2018, cette loi extraterritoriale américaine permet aux administrations des États-Unis, d’accéder aux données hébergées dans les serveurs informatiques situés dans d’autres pays, au nom de la protection de la sécurité publique aux États-Unis et à l’intelligence économique aux bénéfice d’entreprises Américaines proche du gouvernement qui revendent les datas aux autres.

  16. Bonjour,
    En sus, même si il est interdit au consortium e-id de vendre ses données, il ne me semble pas qu’il lui soit interdit d’en acheter à d’autres, ce qui ouvre la porte à un consortium e-id qui compilerait les données qu’il avec toutes celles qui sont contenues dans les bases transactionnelles de ses membre, ce qui donnerait une très bonne image : par exemple Migros + COOP + poste + CFF + banques + assurances = une vue complète de ce qu’un citoyen fait ou achète…
    Donc il est important de ne pas donner cette possibilité au secteur privé dans le contexte actuel

  17. Mme Ghernaouti exprime avec talent les points que j’avais trouvés .
    On est donc sur la même longueur d’onde !
    J’ajoute que si on suivait la logique de KKS, l’armée devrait être confiée aux fournisseurs d’armes plutôt qu’à une institution fédérale ! le service des impôts à Microsoft , …, le contrôle de la vitesse des véhicules aux fournisseurs de radars , …
    Je ne sais où elle a appris la logique , mais sans doute pas dans une université qui se respecte !
    Sans doute trop influencée par les milieux d’affaires … louches … comme Maudet !?

  18. Le B.A. BA de la sécurité (physique, IT), c’est d’adapter les mesures aux risques (donc de procéder à une analyse de risque).

    Les assurances le savent bien puisqu’elles vous demandent d’adapter votre protection (type de coffre fort, etc) en fonction de la valeur du bien assuré pour accepter de vous couvrir.

    Dans le cadre du eID, le fait qu’un identifiant unique soit utilisé sur de nombreux sites WEB augmente les risques. La sécurité du eID devrait alors être adaptée en conséquence (x2 ?, x10 ?, x100 ?).

    Or, rien de tel, un utilisateur du eID ne bénéficiera pas d’une meilleure protection (tout au plus un niveau équivalent pour un eID de niveau fort – le plus cher – ce qui est insuffisant).

    Si ce projet était sérieux, on ne parlerait même pas d’un eID de niveau faible (comme c’est prévu dans la loi) car le simple fait qu’il permette de s’identifier auprès d’une multitude de services, le risque cumulé devient élevé (ingénierie sociale pour une usurpation d’identité. C’est par là que je commencerais si j’étais pirate: casser l’accés d’un eID facile à compromettre qui ouvre ensuite beaucoup de portes pour gagner un peu – puis monter en gamme en se passer pour l’autre en utilisant d’autres moyens – hot line, etc).

    De plus, la protection légale est encore plus minimaliste. Aujourd’hui, en cas de piratage de votre compte en banque, les conditions générales sont applicables. Elles ne vous sont pas favorables mais vous n’êtes pas obligé de les accepter. De plus, la banque reste votre interlocuteur juridique en cas de conflit.

    Avec le eID, cette protection minimaliste (insuffisante) est inscrite dans la loi. En cas de piratage, la banque se déchargera de sa responsabilité sur le prestataire eID qui n’aura qu’à démontrer qu’il a respecté la loi (pas trop difficile). Vos chances de récupérer votre argent seront alors très minces.

    Je suis d’ailleurs étonné de la position des partis de droite car les personnes aisées ont beaucoup à craindre du eID. La classe moyenne et moyenne-supérieure serait la plus touchée en cas de piratage massif. La classe pauvre dans une certaine mesure.

    Certes, les très riches n’utiliseront pas le eID mais des services VIP globaux de niche inaccesibles à tous.

    Etonnant cette votation, il n’y pas que sur le plan sanitaire que la Suisse doit apprendre…

  19. Bonjour,

    merci pour votre article. En fait j’ai déjà envoyé mon vote négatif la semaine passée. A mon avis si les fonctionnaires veulent déléguer ce travail à des privés c’est parce qu’ils ne sont pas à niveau dans l’utilisation des nouvelles technologies.
    En refusant cette loi cela obligera (peut-être) l’administration fédérale à se mettre à la page. En tout cas ce sera mieux sans e-ID qu’avec celui qu’on nous propose.

    1. Il semble en effet que nos fonctionnaires, avec tout le respect qu’on leur doit, ne sont pas moins aussi à jour en matière d’identification électronique que d’enregistrement et de transfert de donnés médicales par fax. C’est à se demander si certains ne souhaiteraient pas rétablir la communication par pigeons voyageurs… Idée pas si absurde, d’ailleurs, puisqu’elle est pratiquée par tous les états-majors en temps de guerre, quand tous les autres moyens de communication ont été neutralisés.

      1. Fonctionnaires ? C’est surtout nos politiques qui ne semblent pas à jour en gobant toutes les promesses des futurs fournisseurs tout en ne prennant aucun risque car cette loi les protège…

Les commentaires sont clos.