16 septembre 2024 ⋅ Retour à l'accueil du blog
Une discussion récente sur le réseau social du techbro fêlé misogyne le plus riche de la planète (lisible ici sans compte) m'a rappelé que je voulais m'intéresser au service gouvernemental France Identité, qui est relativement nouveau, et qui permet de s'authentifier de manière sécurisée pour réaliser des démarches administratives sensibles (comme une procuration de vote). J'aimerais comprendre comment ce service fonctionne : que stocke exactement l'application mobile France Identité ? Comment est-ce chiffré, avec quelles clés ? Quelles sont les données détenues par les serveurs de l'État ? Mais aussi : pourquoi l'application ne peut-elle pas être utilisée sur un téléphone rooté ? Est-ce fondamentalement nécessaire à son modèle de sécurité, ou bien est-ce un niveau de sécurité supplémentaire accessoire et critiquable ?
Quelle ne fut pas ma surprise en découvrant que le code source de France Identité est fermé !
Je suis scandalisé qu'un service qui est censé apporter le plus haut niveau de sécurité possible repose sur la sécurité par l'obscurité. Qu'un service dont dépend l'intégrité des élections tourne avec du code impossible à auditer de manière indépendante.
Alors j'ai pris ma plus belle plume, et j'ai envoyé ce mail :
À :
contact@france-identite.gouv.fr
,dpiin-rssi@interieur.gouv.fr
Objet : Accès ouvert au code source de France Identité
Madame, Monsieur,
En tant que citoyen, je souhaite comprendre le fonctionnement technique de France Identité afin d'évaluer si son architecture de sécurité répond aux exigences d'un service aussi sensible, et si les restrictions matérielles et logicielles d'installation de l'application (comme l'interdiction de l'utiliser sur un téléphone « rooté » prévue au paragraphe 4.2 des conditions d'utilisation) sont justifiées.
Je suis surpris de constater que le code source de France Identité — applications mobiles Android et iOS comme service back-end — ne semble pas accessible publiquement.
Je note qu'un programme de bug bounty a été lancé en 2022 et étendu en février 2024. Dans la première page citée, vous affirmez : « Ce dispositif perdure tout au long de la vie de l’application et permettra un audit permanent du code par la communauté. À travers cet engagement, l’objectif de France Identité est d’améliorer durablement la sécurité et de contribuer à la confiance envers ses infrastructures. » Je m'interroge donc sur la contradiction entre l'objectif affiché de permettre un audit du code par la communauté informatique et la non-disponibilité de ce même code, qui manifestement restreint le bug bounty à une exploration du système en surface par ses points d'accès publics. Au même endroit, vous écrivez également : « Dans le prolongement de ce Bug Bounty, France Identité publiera progressivement le code source de ses différents dispositifs. » À ce jour, le code source n'a pas été publié, alors même que France Identité est désormais en production et a été utilisé pour réaliser des procurations de vote lors des élections européennes et législatives des juin et juillet derniers.
Vous n'ignorez probablement pas que le principe de Kerckhoffs, qui veut que la sécurité d'un système repose uniquement sur le secret des clés et non sur le fonctionnement du système, et qui s'oppose à la sécurité par l'obscurité, est largement reconnu par la communauté de recherche en cryptographie et cybersécurité comme une condition nécessaire d'un système véritablement sécurisé. S'agissant d'un service hautement sensible comme France Identité, dont une faille pourrait permettre des usurpations d'identité, et sur le fonctionnement duquel repose partiellement la sécurité des élections entre autres, vous conviendrez qu'il est d'intérêt public manifeste et démocratiquement légitime que le code source puisse être librement audité de manière indépendante.
En outre, je note que la nécessité d'un accès ouvert au service d'identité numérique régalienne est identifiée dans le rapport de la mission Bothorel « Pour une politique publique de la donnée » qui mentionne explicitement AliceM, le précurseur de France Identité (page 26) :
De la même façon, le code source de l’identité numérique régalienne (AliceM notamment), s’il est ouvert, pourra renforcer la confiance dans le dispositif. En lien avec la mise en œuvre du règlement (UE) n° 2019/1157 du Parlement et du Conseil du 20 juin 2019, relatif au renforcement de la sécurité des cartes d'identité des citoyens de l'Union et des documents de séjour délivrés aux citoyens de l'Union et aux membres de leur famille exerçant leur droit à la libre circulation, il vise à harmoniser et à renforcer la sécurité de la carte nationale d'identité. Dans ce cadre, il est essentiel qu’au moins certaines briques du code source soient ouvertes, afin d’appuyer la confiance des citoyens en explicitant la manière dont sont utilisées les données.
Un autre particulier, Charles Brisset, vous a adressé le 29 avril dernier une demande d'accès au code source restée sans réponse, suivie d'une saisie de la Commission d'Accès aux Documents Administratif (CADA). Avant d'engager moi-même une nouvelle demande formelle d'accès aux documents administratifs (voire une saisie de la CADA, ou même un contentieux, si cette demande n'aboutissait pas), j'ai souhaité vous contacter amiablement afin de comprendre le contexte de cet engagement non tenu.
Aussi je vous invite à publier en libre accès le code source de France Identité, ou à défaut, à bien vouloir détailler les raisons de votre refus.
Veuillez agréer, Madame, Monsieur, l'expression de mes sentiments distingués.
Jean Abou Samra
Affaire à suivre.