Québec entend blinder ses registres d'identité numérique

Le ministre délégué à la Transformation numérique gouvernementale, Éric Caire
Photo: Jacques Boissinot La Presse canadienne Le ministre délégué à la Transformation numérique gouvernementale, Éric Caire

La protection des données biométriques des Québécois passerait par la technologie derrière les cryptomonnaies. C’est ce qu’envisage sérieusement le ministre délégué à la Transformation numérique gouvernementale, Éric Caire, pour la création d’une identité numérique qui remplacerait le permis de conduire et la carte d’assurance maladie.

Il s’agit « d’une technologie récente, mais extrêmement prometteuse » réputée pour sa « confidentialité » et son « inviolabilité », a expliqué le ministre en entrevue au Devoir.

Vingt-six sociétés ont récemment répondu à l’appel d’intérêt lancé par le ministre, qui s’est donné pour objectif d’offrir cette identité numérique, qui remplacerait le portail clicSÉQUR, au début de l’année 2021.

« Ces marqueurs biométriques sont des façons sûres d’identifier et d’authentifier quelqu’un, a-t-il expliqué en prenant pour exemple les empreintes digitales, déjà utilisées pour déverrouiller certains téléphones intelligents. Par contre, s’ils sont volés, c’est sûr qu’on ne peut pas les remplacer. La personne est faite ! »

On se rend compte que c’est probablement la technologie qui a le plus grand potentiel de sécuriser la donnée. Cette technologie-là n’a jamais été piratée depuis 2008.

D’où l’idée de se servir de registres distribués (blockchains) pour éviter une fuite massive de données. Cette technologie consiste essentiellement à décentraliser les bases de données. « Il faut que tu voies ça comme une base de données distribuée, dont les informations sont stockées à plusieurs endroits en même temps, a détaillé M. Caire. Ce sont des niveaux de cryptage hallucinant. C’est ce qui rend cette technologie-là si énergivore, parce que ce sont des machines de guerre pour être capable de créer le cryptage et le code de cryptage. »

« T’es obligé de pirater toutes les composantes de la chaîne, ça devient comme impossible », a souligné le président-directeur général de l’Institut de la gouvernance numérique, Jean-François Gauthier, qui pressait le gouvernement du Québec d’adopter cette technologie dans un livre blanc dévoilé en novembre.

« On se rend compte que c’est probablement la technologie qui a le plus grand potentiel de sécuriser la donnée, a-t-il ajouté. Cette technologie-là n’a jamais été piratée depuis 2008. »

Or, cette technologie est peut-être infaillible pour les pirates informatiques qui tenteraient d’y accéder de l’extérieur, mais elle a ses limites si un employé malveillant voulait procéder à un vol de données, comme c’est arrivé chez Desjardins.

« Si moi, via les registres distribués, je transmets de l’information, ta capacité à intercepter ma communication et à me voler mes informations est à peu près nulle parce que c’est un moyen de stocker de l’information et de la communiquer qui est pratiquement inviolable, a soutenu le ministre Caire. Mais si, par contre, l’employé à l’autre bout qui reçoit l’information parce qu’il a les autorisations pour le faire décide de façon malveillante de voler l’information et de la vendre à un tiers, bien oui, c’est sûr que ton identité numérique ne peut rien changer à ça. »

Le ministre délégué à la Transformation numérique gouvernementale se dit également « bien conscient qu’il y a beaucoup de réticences dans la population à aller dans cette voie-là », d’où son hésitation à aller de l’avant.

Ottawa aux abonnés absents

Et à quoi servirait une identité numérique pour transiger avec le gouvernement du Québec si le gouvernement fédéral utilise toujours le bon vieux numéro d’assurance sociale (NAS) ? Éric Caire compte aborder la question avec son homologue fédérale, Joyce Murray, mais le premier ministre François Legault n’exclut pas d’intervenir.

« Si c’est nécessaire de demander des interventions à M. Trudeau, on va le faire », a-t-il dit en entrevue au Devoir.

À Ottawa, le Conseil du Trésor planche sur un projet-pilote d’identité numérique qui n’inclut pas le NAS. « Nous sommes toujours à la recherche d’améliorer et moderniser nos services ainsi qu’améliorer l’intégrité de nos systèmes », s’est contenté de répondre le ministère de l’Emploi et du Développement social.


Avec Marco Bélair-Cirino​

Toujours confiance en Desjardins ?

Le premier ministre François Legault et son ministre des Finances, Éric Girard, ont eu des réponses très différentes à la question mercredi. « Moi, ma confiance est dans Desjardins, dans l’institution — 300 milliards d’actifs, 47 000 employés —, une institution extrêmement bien capitalisée », a affirmé M. Girard en mêlée de presse, en précisant qu’elle devait évoluer. En entrevue au Devoir, le premier ministre était toutefois moins enclin à réitérer sa confiance envers la coopérative. « Il y a une enquête de la Sûreté du Québec, donc on va attendre le résultat de l’enquête avant de dire qu’est-ce qu’ils ont fait et qu’est-ce qu’ils n’ont pas fait de correct, a-t-il dit sans répondre directement à la question. Donc, je veux tout avoir le dossier avant d’être capable de juger. »

Qu’est-ce que l’identité numérique ?

« Le coeur de la notion, c’est de laisser de côté les identifiants statiques qu’on ne change jamais et qu’on peut se faire voler [comme le numéro d’assurance sociale] pour aller vers des processus dynamiques d’authentification d’une personne », dit Claude Vigeant, spécialiste de la cybersécurité et président de la firme Okiok. Cela peut prendre différentes formes. L’Estonie a par exemple depuis longtemps un système qui permet aux citoyens de s’identifier avec une carte à puce protégée par un numéro d’identification personnelle. Mais cela pourrait aussi être une application dans un téléphone intelligent, ou une plateforme en ligne.

En quoi cela est-il plus sécuritaire ?

On parle de « cryptographie asymétrique » pour définir le système à deux volets qui encadre l’identité numérique, et qui fait sa force. En gros, chaque citoyen se ferait attribuer deux « clés » — une privée (protégée par différents paramètres, qui peuvent être un NIP ou des données biométriques) et l’autre publique. Ces deux « clés » ont une relation mathématique entre elles : l’une chiffre, l’autre déchiffre. « C’est ça qui amène la sécurité de l’identité numérique, dit M. Vigeant. Si vous devez vous identifier, un calcul vérifie si les clés correspondent — et donc, si c’est bien vous » qui tentez d’obtenir tel ou tel service. Ce type de cryptographie existe depuis près de 40 ans.

Mais qu’arrive-t-il si l’on se fait voler sa carte d’identité à puce, ou son téléphone ?

« Plusieurs mécanismes de protection existent, dit Claude Vigeant. Même si vous possédez cette carte — qui est la clé privée —, vous devez démontrer que vous la contrôlez. Pour déverrouiller et activer la puce, vous devez pouvoir signer un message qui prouve votre identité. C’est là que des mécanismes biométriques, comme une empreinte digitale ou la reconnaissance faciale, entrent en jeu. » Il note aussi que dans l’hypothèse où quelqu’un arriverait à déverrouiller votre « clé », on peut « révoquer votre identifiant numérique rapidement » et d’une manière où tous les services gouvernementaux, les institutions bancaires, etc. sont mis au courant en même temps.

Guillaume Bourgault-Côté