Plus petite que la Carte nationale d’identité, la version électronique a le format d’une carte bancaire. Principale différence : elle intègre une puce qui stocke différentes informations, dont deux empreintes digitales. Elle sera progressivement distribuée dans toute la France.
Dans 10 ans, vous ne pourrez plus utiliser votre carte d’identité classique pour voyager en Europe. Place aux Sésames électroniques. Contraints par un règlement européen de moderniser leur papier d’identité, les pays européens sont tous en train de passer la vitesse supérieure pour distribuer leur Carte Nationale d’Identité Electronique (CNIE).
La France n’est pas vraiment en avance… La CNIE est progressivement distribuée partout sur le territoire depuis un peu plus d’un mois. De nombreux pays européens proposent déjà une solution numérique associant l’identité régalienne et des identités commerciales sécurisées.
Également connues sous l’appellation de « cartes e-ID » (pour « electronic Identity »), elles permettront de s’identifier plus facilement et de façon sécurisée à des sites de e-commerce par exemple. La double authentification qui tend à se généraliser ne passerait donc plus par des clés ou applications ad hoc (ou le fameux code reçu par SMS).
Prouver son identité sur Internet
La sécurité de l’authentification de l’eID repose sur l’inviolabilité des puces. Or, si un attaquant parvenait un jour à extraire la clé d’authentification de la puce d’une carte d’identité, il serait en mesure de falsifier des identités arbitraires.
Les serveurs d’identification électronique n’auraient aucun moyen de reconnaître les cartes falsifiées. La révocation de la clé d’authentification de la puce compromise résoudrait le problème de sécurité, mais rendrait toutes les cartes affectées inutilisables pour l’identification électronique, ce qui nécessiterait leur remplacement.
Ce problème n’est pas propre à ce type de carte. Début 2021, une vulnérabilité (CVE-2021-3011) avait affecté les puces utilisées dans les clés d’authentification de Google (baptisées « Titan »), mais aussi celles du Suédois Yubico (clés YubiKey). Cette faille permettrait aux acteurs malveillants de cloner les Titan, YubiKey et autres clés pour contourner les procédures d’authentification multifacteurs.
Même si elle est très difficile à mettre en place et onéreuse (12000 euros de matériel ont été utilisés par les experts français à l’origine de cette découverte), cette annonce a entrainé le remplacement de nombreuses clés.
Cependant, l’eID devient une alternative viable dans différents cas.
Premièrement, l’eID permet une authentification formelle lorsque la loi l’exige, et peut être le seul mécanisme à le faire.
Deuxièmement, la carte d’identité permet l’authentification sans établissement préalable d’une relation. Si un fournisseur de services est autorisé, les personnes peuvent utiliser leur carte immédiatement, sans avoir à passer par un processus d’enregistrement. Cela rend les cartes d’identité électroniques attrayantes pour les applications qui sont utilisées peu fréquemment, mais qui nécessitent une authentification forte.
