Question écrite n° 4-5937

de Paul Wille (Open Vld) du 7 décembre 2009

à la ministre de l'Intérieur

Passeports - Radio frequency identification-chip - Possibilité de copier illégalement les données - Mesures

passeport
données personnelles
protection des données
piratage informatique
États-Unis

Chronologie

Réintroduction de : question écrite 4-2984

Question n° 4-5937 du 7 décembre 2009 : (Question posée en néerlandais)

Aux États-Unis comme, notamment en Belgique, les passeports modernes sont pourvus d'une puce contenant les données personnelles du propriétaire. Cela doit permettre de dépister les falsifications. Il ressort des critiques que la technologie utilisée est toutefois peu sûre : les informations présentes sur la Radio frequency identification-chip (RFID) peuvent être lues à distance.

Selon The Register, le pirate Chris Paget circulait avec un lecteur de carte à puce de fabrication artisanale dans le centre-ville de San Francisco et réussissait, en vingt minutes, à copier le code unique de deux passeports à puce de passants sans que ceux-ci ne remarquent quoi que ce soit. Paget voulait ainsi démontrer aux partisans des passeports à puce qu'ils avaient tort. Ceux-ci prétendent souvent que l'utilisation de la puce ne présenterait aucun danger réel parce qu'il ne serait possible de copier que dans des circonstances bien contrôlées.

Étant donné ce qui précède, je voudrais obtenir une réponse aux questions suivantes :

1. Comment le ministre réagit-il au fait que les puces des documents d'identité soient clonées aux États-Unis sans que le propriétaire ne remarque quoi que ce soit?

2. Peut-il indiquer les inconvénients et les risques qu'entraîne le clonage?

3. Exclut-il que la puce présente dans les documents de voyage belges peut également être clonée de cette manière, donc sans que le propriétaire ne le remarque? Dans l'affirmative, peut-il l'expliquer? Dans la négative, pourquoi pas?

4. Quelles mesures peuvent-elles être prises pour combattre ce type de clonage?

5. Partage-t-il le point de vue selon lequel l'application de cette technologie ne sera finalement qu'une course entre les pirates et les pouvoirs publics? Dans l'affirmative, estime-t-il indiqué d'intégrer des informations biométriques dans cette puce? Dans la négative, pourquoi pas? 

Réponse reçue le 2 février 2010 :

L’honorable membre trouvera ci-après la réponse à sa question :

1. Dans la tradition anglo-saxonne, le citoyen ne dispose pas d’un document d’identité. Il est identifié au moyen de documents non sécurisés comme par exemple, un permis de conduire ou tout simplement, par rapport à un numéro (social). Cette situation le rend très vulnérable à la fraude d’identité. Il suffit en effet de cloner des données d’identité pour pouvoir les utiliser de manière frauduleuse. En ce qui concerne le passeport, la technologie Radio frequency identification (RFID) qui est actuellement utilisée dans certains pays, permet en effet dans de nombreux cas de cloner des données sans que le citoyen ne s’en rende compte. Une telle situation n’est pas envisageable en Belgique, puisque l’eID contient une puce de contact qui ne peut pas être clonée.

2. Dans les pays anglo-saxons le clonage de données d’identité peut faciliter la fraude d’identité du fait de l’absence d’un document d’identité. Il suffit de disposer du nom, du prénom ou du numéro social d’un citoyen pour faire ouvrir, par exemple, un compte en banque à son nom. En Belgique, la banque a la possibilité de recourir à un document d’identité très sécurisé, à savoir, l’eID.

3. Pour la réponse à cette question, je renvoie l’honorable membre vers mon collègue, le ministre des Affaires étrangères qui est compétent pour la délivrance de titres de voyage belges (passeports).

4. Comme énoncé plus haut, l’usage d’une technologie adéquate, permet d’éviter le clonage de documents d’identité pourvus d’une puce. Il existe par ailleurs des sanctions pénales à l’encontre de telles pratiques abusives en Belgique. Le clonage d'un passeport ou d’une eID y est interdit. L’article 6, § 3 de l'arrêté royal du 25 mars 2003 relatif aux cartes d'identité stipule notamment qu’« une personne ne peut être titulaire ou porteur de plus d'une carte ou attestation ». Quiconque clone une carte d'identité est susceptible d’être puni sur la base de l'article 7 de la loi du 19 juillet 1991 relative aux registres de la population, aux cartes d'identité, aux cartes d'étranger et aux documents de séjour et modifiant la loi du 8 août 1983 organisant un Registre national des personnes physiques. Cet article prévoit que « les infractions aux articles précédents, à leurs arrêtés d'exécution et aux règlements communaux visés à l'article 5, sont punies d'une amende de vingt-six à cinq cents francs ». Les dispositions du livre premier du Code pénal, sans exception du chapitre VII et de l'article 85, sont applicables à ces infractions.

5. Vu que la technologie RFID n’est pas utilisée en Belgique, cette question ne sa pose pas pour l’eID. La technologie en matière de sécurisation est par ailleurs toujours une course entre les hackers et les autorités. La sécurité de l’eID est sans cesse améliorée. L’insertion d’éléments biométriques sur la puce, actuellement, au niveau des passeports et des cartes de séjour pour étrangers, est une décision qui a été prise au niveau européen en concertation avec les États membres.