La sécurité des données confiée à des étrangers
PASSEPORT BIOMÉTRIQUE ALGÉRIEN
La sécurité des données confiée à des étrangers
Enquête réalisée par Tarek Hafid, Le Soir d’Algérie, 30 mai 2010
Contrairement aux déclarations des plus hauts responsables du ministère de l’Intérieur, la réalisation du passeport biométrique électronique a bien été confiée à des entreprises étrangères. Oberthur, Keynectis et Fasver ont été chargés de réaliser ce projet hautement sensible pour la souveraineté de l’Etat algérien et la sécurité des données de ses citoyens. Le document de voyage, sa sécurité et le cryptage des données des citoyens sont ainsi placés entre les mains d’opérateurs français.
Tarek Hafid – Alger (Le Soir) – Quelle mouche a piqué le directeur général des libertés publiques et des affaires juridiques du ministère de l’Intérieur et des Collectivités locales ? Le 11 mai dernier, en marge d’une rencontre organisée à Ghardaïa, Mohamed Talbi affirmait à la presse qu’aucune entreprise étrangère n’avait remporté le marché du passeport biométrique électronique (PBE). «Certains détracteurs, qui ne veulent pas de la modernisation de l’état civil, ont dit que le ministère de l’Intérieur avait donné le marché du passeport biométrique à une société étrangère. C’est faux». Etrange sortie médiatique de ce proche collaborateur de Noureddine Zerhouni, dit Yazid, désormais ex-ministre de l’Intérieur. De par ses responsabilités, Mohamed Talbi est censé savoir que ce projet de première importance a été confié à des entreprises étrangères. Il est vrai que de l’extérieur, il est difficile de comprendre le processus mis en œuvre pour l’acquisition d’un système qui devait permettre au gouvernement algérien de se conformer aux exigences imposées par l’Organisation de l’aviation civile internationale (OACI) tout en dotant ses citoyens d’un titre de voyage sécurisé. Mais il est important de préciser qu’en plus du ministère de l’Intérieur, d’autres institutions interviennent directement dans ce projet. A commencer par l’Hôtel des monnaies. Cette institution, qui relève de la Banque d’Algérie, est chargée par l’Etat d’imprimer les passeports. Une mission dont elle s’est acquittée sans problème majeur depuis des décennies. Sauf que la méthodologie appliquée pour la réalisation du modèle actuel diffère totalement de celle du biométrique électronique. Finis les titres de voyage remplis au stylo par un agent de daïra, la technologie biométrique impose le concept de personnalisation. Pour mener à bien cette nouvelle activité, l’Hôtel des monnaies acquiert une série d’équipements pour la réalisation des livrets du passeport biométrique. Cette ligne de production se compose de deux imprimantes Bookmaster One (Pays-Bas) et de trois imprimantes Dilleta 600i (Allemagne), de deux Authenticateur 100 (Etats-Unis) pour la vérification de la personnalisation des données du demandeur du titre de voyage ainsi que d’une perforatrice Bookmaster IP/NP (Pays- Bas). Les deux premiers modèles de machines ont été achetés auprès de l’entreprise allemande Atlantic Zeiser, l’entreprise néerlandaise IAI s’étant chargée de fournir les deux premières imprimantes et la perforatrice. L’Hôtel des monnaies étant une institution très «fermée », il nous a été impossible d’avoir des détails sur les modalités de passation de ces marchés. Cependant, des questionnements subsistent à propos de ces acquisitions. La réglementation en vigueur a-t-elle été respectée ?
Oberthur rafle la mise
Mais la situation semble se compliquer lorsque l’Hôtel des monnaies décide d’acquérir le e-cover : la couverture du passeport biométrique dans laquelle est incrustée la puce électronique contenant toutes les données de son détenteur. Ses responsables optent pour Oberthur Technologies, une entreprise française spécialisée dans le fiduciaire, les documents d’identité et les solutions de paiements électroniques. Oberthur figure parmi les leaders mondiaux dans ce domaine. Selon certaines informations, l’entreprise française aurait livré à l’Hôtel des monnaies une grande quantité de e-cover qui répondent aux spécifications techniques suivantes: «couverture intégrant une puce NPX avec antenne cuivre (RFID) adaptée au système d’exploitation ID One e-Pass V2». Là aussi, le flou total entoure le mode de passation de ce marché. Pourquoi et comment Oberthur a-t-elle été choisie ? Pourquoi cette entreprise française s’est-elle empressée de livrer autant de ecover ? Comment expliquer qu’elle ait été retenue en Algérie alors qu’en France, le marché du passeport biométrique lui a été retiré au profit de l’Imprimerie nationale ? A première vue, il semblerait qu’Oberthur soit parvenu à placer ses produits dans l’objectif de décrocher le reste des contrats pour la réalisation du passeport électronique biométrique et, plus tard, la carte nationale d’identité électronique biométrique. Une stratégie qui finira par se confirmer.
Souveraineté «laminée»
Après avoir effectué un «forcing» sur le e-cover, Oberthur parvient à s’imposer sur le process de lamination. Il faut savoir qu’un passeport biométrique électronique comporte une série d’éléments qui assurent sa sécurité physique. Le laminat, ou inlay, en est l’élément principal. C’est un film protecteur en plastique qui est apposé sur la page contenant la photo et les données personnelles du détenteur du passeport. Le laminat est doté d’hologrammes de sécurité. Il est censé être inviolable. Toute tentative de fraude rendrait le passeport inutilisable. Et là encore, on retrouve l’empreinte d’Oberthur. Le marché a été remporté par Fasver, qui est l’un de ses fournisseurs. La petite PME du sud de la France avait fait une offre pour moins de 600 000 euros. De l’avis de certains spécialistes, la décision de confier la réalisation du laminat à un opérateur étranger est loin d’être judicieuse. La production de ce film de sécurité devrait relever du droit régalien de l’Etat au même titre que le secteur du fiduciaire. L’Hôtel des monnaies aurait pu acquérir des équipements et réaliser, ainsi, son propre laminat.
Keynectis en sous-traitant
Le ministère de l’Intérieur et des Collectivités locales intervient à son tour. Au courant de l’année 2009, ce département lance un avis d’appel d’offres national et international restreint pour l’acquisition «d’une solution complète de délivrance et de gestion de certificats électroniques pour une solution passeport électronique et carte nationale d’identité». L’Infrastructure à clés publiques, ou PKI, est un système très complexe qui assure le cryptage et l’authentification des données électroniques. Tous les Etats membres de l’Organisation de l’aviation civile internationale (OACI) sont tenus d’avoir leur propre PKI. Cette infrastructure garantit la protection des données informatiques des citoyens. Elle fait office de bouclier au système de gestion du passeport et de carte nationale biométriques électroniques. Plusieurs entreprises participent à cet avis d’appel d’offres restreint. Oberthur, qui n’a pas de réelle expérience en matière de PKI, s’engage dans la course. Elle est en concurrence directe avec Keynectis, une entité française spécialisée dans le cryptage de données. Et c’est finalement Oberthur qui remporte ce marché avec une offre financière de 897 990 euros et des délais de réalisation et de mise en œuvre de trois mois. Keynectis, son concurrent, a fait une offre quasiment identique (894 900 euros) et des délais de réalisation de deux mois et demi. Mais cette proposition sera rejetée pour une raison plutôt étrange: l’ouverture des plis de ce marché s’est déroulée le 6 septembre 2009 alors que le dossier de Keynectis portait la date du 9 septembre ! Mais au final, Keynectis n’aura rien perdu. C’est cette entité qui agit en qualité de sous-traitant pour le compte d’Oberthur. La PKI du passeport et de la carte nationale biométriques est donc développée et gérée par Keynectis. Tous ces faits — et il y en a sûrement d’autres — suffisent à démentir les déclarations des officiels du ministère de l’Intérieur. D’ailleurs, il est important de s’interroger sur l’utilité des dernières déclarations du directeur général des libertés publiques et des affaires juridiques au ministère de l’Intérieur et des Collectivités locales. Ce haut responsable sait pertinemment qu’aucune institution algérienne ne dispose d’une maîtrise suffisante de la technologie pour mettre en œuvre un tel projet.
Marginalisation
Pire, les pouvoirs publics n’ont, à aucun moment, soutenu les entreprises algériennes pour leur permettre de développer des solutions. C’est le cas, notamment, d’Algérie Télécom qui, selon des sources sûres, aurait participé à l’avis d’appel d’offres pour le projet de la PKI en partenariat avec un groupe étranger; de Sagem Algérie pour les technologies avancées, entreprise privée de droit et de capitaux algériens qui subit actuellement une véritable cabale après avoir remporté le marché de l’Afis criminel de la DGSN, ou encore de HB Technologie qui aurait pu fournir l’e-cover du passeport biométrique et le support de la carte nationale biométrique. Même constat pour les experts et les chercheurs algériens qui travaillent sur la biométrie. Très peu, pour ne pas dire aucun, ont été consultés pour apporter leur expertise dans ce domaine hautement stratégique. Comble de l’ironie, ce n’est que dimanche dernier que ces spécialistes ont été rassemblés à la faveur d’une école d’été sur la biométrie. Objectif des initiateurs de cet évènement: permettre à l’Algérie de développer ses propres solutions dans les cinq années à venir. Trop tard.
T. H.
IL DEVAIT CONSTITUER LE SOCLE DU SYSTÈME BIOMÉTRIQUE
Où est l’Afis criminel de la DGSN ?
La Direction générale de la Sûreté nationale ne parvient toujours pas à acquérir son système automatique d’identification des empreintes digitales (Afis criminel). Ce système de première importance constitue le socle du programme de biométrie.
La DGSN aura-t-elle un jour son Afis criminel à l’instar des services de la Gendarmerie nationale? Le processus d’acquisition de ce système, qui permet de ficher l’ensemble des criminels, sert également de base de données de référence pour la mise en œuvre du processus de réalisation des documents biométriques électroniques. C’est au courant de l’année 2005 que la DGSN a lancé son premier avis d’appel d’offres pour «la modernisation du système automatique d’identification par empreintes digitales». Ce marché, inscrit sous la référence 58/2005, fut finalement annulé. La Direction générale de la Sûreté nationale avait lancé un second avis d’appel d’offres en 2006, sous la référence 08/2006. Un marché que remportera une entreprise de droit et de capitaux algériens : Sagem Algérie pour les technologies avancées qui entretenait un partenariat avec le groupe français Sagem. Une victoire qui ne sera que «virtuelle » puisque Sagem Algérie a été écartée de la course pour des raisons qui restent encore indéterminées. Il est important de relever que le marché 08/2006 n’a jamais fait l’objet d’une annulation publique comme le stipule la réglementation. Mise au placard par les autorités et lâchée par ses partenaires industriels, Sagem Algérie a fini par plonger dans une grave crise financière. La totalité de son effectif, à 99% algérien, a été mise au chômage forcé. Actuellement, les actionnaires de Sagem Algérie ont entrepris des actions en justice devant des juridictions civile et pénale contre Sagem Sécurité et Sagem Défense et Sécurité pour exiger des réparations financières. Et l’Afis criminel dans tout ça ? La Direction générale de la Sûreté nationale aurait récemment lancé un nouvel avis d’appel d’offres. Selon des sources au fait de ce dossier, Sagem Sécurité serait bien partie pour remporter ce marché. Finalement, Sagem Algérie pour les technologies avancées aurait-elle servi, à son insu, de bélier commercial pour ses ex-partenaires? Wait and see…
T. H.
ELLE A ÉTÉ CRÉÉE PAR LE GOUVERNEMENT FRANÇAIS POUR CONTRECARRER LES AMÉRICAINS
Keynectis, une entité très spéciale
Keynectis est loin d’être une entreprise comme les autres. Cette entité a été créée au début des années 2000 par le gouvernement français, afin de contrecarrer les Etats-Unis dans le domaine, très sensible, des nouvelles technologies et de la protection des données informatiques.
Les tuteurs de Keynectis lui ont donné naissance un 14 juillet. Une date hautement symbolique pour ce qui est considéré, outre Méditerranée, comme «le pôle français de la certification numérique ». En quelques années d’existence, Keynectis est devenue une entité incontournable de la sécurisation et du cryptage des données. Son secret? Il n’est que partiellement dévoilé. Il est nécessaire de remonter le temps pour tenter de comprendre le rôle de cette entité. Vers la fin des années 1980, la France avait connu une avancée notable en matière de technologie informatique grâce, notamment, à Gemplus. Cette entreprise privée était alors considérée comme le leader mondial de la carte à puce. Une réussite qui ne tarde pas à attiser les convoitises. En 1999, Texas Pacific Group (TPG), un fonds d’investissement américain, devient l’actionnaire majoritaire de Gemplus. La nomination d’un nouveau Pdg, un Américain du nom d’Alex Mandl, éveille les soupçons des autorités françaises. Ces dernières découvrent que Mandl est très lié aux services de renseignement de ce pays et qu’il siège au Conseil d’administration d’In-Q-tel, un organisme spécialisé dans le développement des nouvelles technologies qui agit pour le compte exclusif de la CIA. La reprise de Gemplus tourne à l’espionnage industriel et technologique. Les repreneurs américains affichent leur intention de profiter des brevets développés par le département de recherche de l’entreprise. Il faudra attendre l’année 2005 pour voir Gemplus revenir progressivement dans le giron de la France à la faveur d’une fusion avec son concurrent Axalto. Le nouveau groupe prend le nom de Gemalto. Entre-temps, le gouvernement français décide de créer une structure pour assurer la cryptologie et la sécurisation des données informatiques et gagner des parts de marché à l’international. De par sa sensibilité, ce dossier est supervisé par la Délégation générale de l’armement du ministère de la Défense. Son nom de code est Infrasec. Le projet se heurte à quelques blocages d’ordre réglementaire, notamment sur le plan de la législation européenne qui interdit aux Etats membres de créer des entreprises. Aussi, échaudé par l’affaire Gemplus, le gouvernement français instaure-t-il des barrières de sécurité afin d’éviter la «prédation » des fonds des Américains. Une formule est finalement trouvée: Keynectis sera composée de capitaux privés et l’Etat français en sera en partie actionnaire à travers la toute-puissante Caisse des dépôts et consignations et le Groupe Imprimerie nationale. Ces deux institutions agissent en qualité de garants de la souveraineté française. Dans le rôle des autres actionnaires privés, figurent des acteurs stratégiques de l’industrie française: Sagem Sécurité, Bull, Gemalto, Euro Information, Sofipost et TDH. Ce dernier est, en fait, un fonds d’investissement personnel dans les nouvelles technologies dont le propriétaire est Thierry Dassault. Il est, d’ailleurs, président du conseil d’administration de Keynectis. En 2005, c’est en ces termes qu’il présentait sa stratégie dans les colonnes d’un média électronique: «Il faut que la France soit indépendante dans le domaine de la cryptologie et que nous évitions d’aller en ordre dispersé sur des marchés internationaux. Le but avec Keynectis est de créer une entité française et d’avoir très rapidement des alliances au niveau européen et même mondial. Pourquoi ne pas imaginer que les pays de l’Amérique du Sud, ceux du Moyen-Orient puissent être clients de ce type de cryptologie.» Il est certain que l’Algérie, de par les enjeux politiques et économiques actuels et futurs, est une cible de choix dans le cadre de cette stratégie. Et Keynectis semble avoir bien percé en Algérie. En plus du passeport biométrique électronique, cette entité interviendrait dans le projet de la carte Chifa à travers son actionnaire Gemalto et aurait même participé à l’avis d’appel d’offres lancé en septembre dernier par l’Autorité de régulation de la poste et des télécommunications (ARPT) pour «l’assistance à la mise en œuvre de la certification électronique en Algérie».
T. H.
Black-out
Contactés pour les besoins de cette enquête, la directrice de la communication de Keynectis et le représentant d’Oberthur en Algérie n’ont pas répondu à nos sollicitations. Les informations qu’ils auraient pu nous fournir pouvaient contribuer à éclairer l’opinion publique sur le rôle de ces opérateurs dans la réalisation du passeport et de la carte biométriques électroniques.
DR MOHAMED ABDELWAHEB DERRICHE, EXPERT INTERNATIONAL EN BIOMÉTRIE
«Nous ne devons pas dépendre totalement d’une seule entreprise»
Le docteur Mohamed Abdelwaheb Derriche est une référence mondiale en matière de biométrie. Diplômé de l’Ecole nationale polytechnique d’Alger, de University of Minnesota (Etats-Unis) et de Queensland University of Technology (Australie), il enseigne depuis l’année 2001 en Arabie saoudite à la King Fahd University of Petroleum and Minerals. Rencontré, dimanche dernier, en marge de la première édition de l’école d’été sur la biométrie, le Dr Derriche dresse un constat du processus de réalisation du passeport biométrique algérien. Dans cet entretien, il relève l’absence de vision stratégique des responsables de ce projet et la marginalisation des experts algériens.
Le Soir d’Algérie : Professeur Mohamed Abdelwaheb Derriche, pensez-vous que pour des raisons de souveraineté, l’Etat algérien aurait dû développer sa Public key infrastructre (PKI), le système qui assure le cryptage des données du passeport biométrique.
Dr Derriche : Avant tout, il est nécessaire de comprendre que nous n’avons pas l’expertise nécessaire pour développer des solutions nationales à 100%. Les Etats doivent donc acheter des systèmes auprès d’entreprises qui sont expertes dans ce domaine. Mais il faut que le système soit ouvert pour que l’on puisse y apporter des modifications, le développer, être capable de le décortiquer et savoir comment l’utiliser. Mais il me semble que le problème actuel est que les responsables ont juste pensé à acheter et à utiliser le système mais ils n’ont pas songé à former des spécialistes. Autre chose, pourquoi confier tout le projet à une seule entreprise ? Pourquoi ne pas profiter de l’expérience de plusieurs opérateurs ? Il y a plusieurs compagnies qui peuvent nous fournir des systèmes ouverts et des spécialistes qui auraient pu présenter leur expertise et former nos spécialistes. Pour donner une image simple, nous sommes en train de mettre tous nos œufs dans un même panier. Nous ne devons pas dépendre totalement d’une seule entreprise, d’une seule partie et d’une seule région, pour acheter une boîte fermée que nous pouvons tout juste utiliser.
Le système de cryptage des données pour le passeport et la carte nationale biométriques relève- t-il de la souveraineté de l’Etat ?
Le danger serait de le confier totalement à l’entreprise qui nous a vendu le système. Et c’est ce qu’on fait actuellement. Ceux qui ont développé ce cryptage ont accès à ce système mieux que nous. Et c’est là où réside le problème. Je cite un simple exemple : si on utilise un système acheté auprès d’une compagnie X et que le passeport est présenté dans un pays tiers, ce dernier peut obtenir tous les détails s’il entretient de bons rapports avec notre fournisseur. L’accès aux données est illimité et ils peuvent même obtenir des détails que nous n’avons pas! Mais pourquoi en arriver là ? D’où l’importance de développer une expertise nationale, d’acquérir des systèmes ouverts et de mettre au point des solutions de cryptage développées ici même en Algérie. Nous pouvons le faire avec l’aide de certaines entreprises. Nous en avons les compétences.
Donc vous estimez que les spécialistes en biométrie qui sont ici même en Algérie et ceux, qui comme vous, sont installés à l’étranger auraient pu aider à développer des solutions pour l’Etat algérien…
Je suis persuadé qu’il existe de nombreux spécialistes algériens qui seraient heureux de participer à ce projet en proposant leurs expériences et leurs travaux. Ils auraient souhaité faire partie d’un projet comme celui-ci en Algérie. C’est très important pour eux.
A-t-on fait appel à eux ?
Je ne crois pas que l’on ait fait appel à eux. On aurait dû, mais je crois que cela n’a pas été fait.
Pouvez-vous nous présenter l’expérience de l’Arabie saoudite, pays où vous enseignez actuellement, en matière de protection des données et de biométrie. Ce pays a-t-il développé ses propres solutions ?
En fait, leur démarche a été la suivante: la King Abdelaziz City for Science and Technology (KACST) a attribué des projets de recherche. Cette première phase a débuté il y a 5 ou 6 ans. De son côté, le Centre national de l’information (institution relevant du ministère de l’Intérieur, ndlr) a rassemblé des experts saoudiens, tant ceux installés dans ce pays que ceux vivant à l’étranger, afin de développer des techniques. Donc une fois arrivée l’étape d’acquisition du système, ils avaient l’avantage d’avoir une excellente expertise en la matière. Ils connaissaient à la perfection ce dont ils avaient besoin et où ils pouvaient l’acquérir selon leurs critères. Les Emirats arabes unis ont eu une démarche identique.
Donc ces pays se sont d’abord préparés avant d’acheter des solutions…
Exact.
La décision de l’OACI d’imposer aux Etats membres un modèle de passeport biométrique a généré un gigantesque business. Pensez-vous qu’un pays comme l’Algérie a, ou avait, la possibilité d’échapper à la mainmise des grands groupes internationaux qui contrôlent ce marché ?
Il existe de grandes compagnies qui proposent des systèmes ouverts très sophistiqués. C’est le cas, notamment, de certains groupes allemands. A mon avis, l’erreur est de confier tout le système à une seule et unique compagnie. On ne devrait pas faire du business avec une seule compagnie. On achète ces systèmes en faisant en sorte d’imposer ses conditions. La biométrie est un marché qui est très important. On ne peut pas y échapper, comme nul autre Etat d’ailleurs. Mais cela doit être fait en adéquation avec nos conditions. Mais je crois que cela n’a pas été fait comme il fallait.
L’Algérie est un pays qui fait face à plusieurs menaces. C’est le cas du terrorisme, de l’émigration clandestine, en plus des menaces auxquelles sont confrontés tous les Etats. Selon vous, quel serait le système de biométrie le mieux adapté pour elle ?
Le standard actuellement est la combinaison empreintes digitales/visage. Plusieurs pays ont adopté cette combinaison. Cette solution est généralement bien acceptée par les personnes. Il y a une dizaine d’années, la prise d’empreintes digitales était liée à la criminologie, cette perception est aujourd’hui dépassée.
Propos recueillis par T. H.
