La faille d’identité au Népal, un avertissement pour tout déploiement de DPI
Cette version est une traduction assistée par IA. Lire l'original en anglais
Le Népal nous rappelle qu’ouvrir un système d’identité ne revient pas à le sécuriser. Selon Biometric Update, le pays a retiré un service de téléchargement de carte d’identité nationale moins de 24 heures après sa mise en ligne, à la suite d’une enquête qui aurait révélé que le service exposait des documents sensibles. La faille signalée était simple et grave: toute personne connaissant le nom complet, la date de naissance et la date de délivrance de la citoyenneté d’un individu pouvait récupérer et télécharger sa carte d’identité nationale, sans aucune couche de vérification supplémentaire.
Le rapport replace cet épisode dans un contexte plus large. Le Népal a récemment annulé l’appel d’offres international pour l’exploitation et la maintenance de son système d’identité nationale, choisissant d’internaliser sa gestion au nom de la souveraineté des données, alors que la capacité d’impression des cartes s’est effondrée et qu’un important retard d’enrôlement s’est accumulé. Le service de téléchargement devait être une avancée, permettant aux citoyens d’obtenir leur carte sur un smartphone plutôt que de faire la queue dans un bureau. Il est devenu le point faible.
Un schéma récurrent, pas un problème népalais
Nous observons des variantes de ce scénario dans de nombreux programmes. Le passage de registres en silos à une infrastructure publique numérique, avec des services interopérables par-dessus, crée une vraie valeur publique: prestation de services plus rapide, réutilisation entre secteurs, moins de duplication. Cela élargit aussi la surface d’attaque. Chaque service en ligne ouvert est une nouvelle porte, et un point d’accès qui échange des attributs faiblement secrets (un nom, une date de naissance, une date de délivrance) contre un document d’identité complet est une porte laissée ouverte.
La leçon est ancienne et sans cesse réapprise. La sécurité ne peut pas être ajoutée après le lancement. Une conception de sécurité complète, un modèle de menaces et une implémentation durcie doivent accompagner le service ouvert dès le départ, et non arriver dans un sprint ultérieur une fois la fuite dans la presse.
L’identité décentralisée comme atténuation structurelle
Il existe un choix de conception qui modifie le profil de risque, et pas seulement les contrôles. L’identité décentralisée, fondée sur les Verifiable Credentials et les portefeuilles numériques, n’exige pas d’exposer les données des citoyens via une consultation en ligne ouverte. Plutôt que d’interroger un référentiel central chaque fois qu’un document est nécessaire, le système délivre au citoyen une attestation numérique, après une authentification forte, sur un appareil de confiance. Dès lors, le citoyen présente une preuve cryptographique. Le vérificateur contrôle la preuve, il n’interroge pas une base de données de tous.
Cela ne supprime pas le besoin d’une sécurité saine du registre, d’une gouvernance et d’une gestion des clés. Cela supprime en revanche toute une catégorie de risque d’exposition de masse, car il n’existe pas de point d’accès ouvert renvoyant l’identité d’autrui sur la foi de trois informations devinables. À mesure que de plus en plus de gouvernements ouvrent des services au-dessus de leur identité fondationnelle, cette distinction mérite d’être pensée dès le premier jour.
Chez ID30, nous accompagnons les gouvernements sur exactement cette question, en toute neutralité vis-à-vis des fournisseurs, de l’architecture et des standards jusqu’à la supervision. Si vous ouvrez des services au-dessus de vos systèmes d’identité ou d’état civil et souhaitez une sécurité conçue dès le départ, parlons-en.
Vous voulez commenter, poser une question ou rejoindre la discussion ? Continuer la conversation sur LinkedIn.