Carte d'identité belge
En Belgique, la carte d'identité (en néerlandais : Identiteitskaart ; en allemand : Personalausweis) est une carte à puce de même format qu'une carte de paiement. Elle est disponible en Belgique depuis 2002. En 2006, une carte du même type a été instaurée pour les enfants de moins de 12 ans : la Kids-ID.
Carte d'identité | |
Recto, version germanophone Ă©mise avant 2020. |
Verso, version germanophone Ă©mise avant 2020. |
Nom local | (nl) Identiteitskaart (fr) carte d’identité (de) Personalausweis |
---|---|
Type | Carte d'identité |
Utilité | Identification en Belgique, accès aux services de soin et de santé et déplacements en EEE. |
Délivré par | Belgique |
Dernière version | 2021 |
Biométrique | Oui |
Durée de validité | 10 ans |
Zone de validité | Belgique Union européenne |
Ces cartes sont conformes Ă la norme ISO 7816.
Elle correspond à une carte nationale d'identité au sens du règlement (UE) 2019/1157 (en allemand : nationaler Personalausweis en néerlandais : nationale identiteitskaart).
Contenu imprimé et électronique
Données imprimées sur la carte
- Photo
- Éventuel titre de noblesse
- Nom de famille
- Deux premiers prénoms
- Première lettre du troisième prénom
- Sexe
- Nationalité
- Date de naissance
- Signature
- Période de validité
- Numéro de carte
- Numéro au registre national
- Lieu de création de la carte et signature de celui qui a délivré la carte
Données intégrées à la puce
Un API permet d'accéder à des données brutes et d'effectuer des opérations cryptographiques utilisant les clés privées contenues dans la carte[1].
L'application eid-viewer permet d'afficher et de télécharger les données électroniques publiques de la carte et modifier le code PIN[2]. Les clés privées (et le code PIN) ne sont bien sûr, pas accessibles.
Les données brutes comprennent les certificats contenant les clés publiques signées par l'autorité de certification et des données à usage courant[3]; elles ne font l'objet d'aucun traitement par le logiciel embarqué de la carte. Les données brutes sont présentes sous forme de fichiers en format TLV traduisant une structure décrite en ASN.1.
Données cryptographiques :
- Trois certificats de cryptographie asymétrique[4] :
- Un premier valable légalement en tant que signature électronique.
- Un deuxième qui sert à l'authentification de la carte en tant que telle auprès du gouvernement belge,
- Un troisième, pour les signatures de non-répudiation.
- Le tout est encadré par une infrastructure à clés publiques (Public key infrastructure, PKI) du type X.509. La structure de répertoires de l'application BELPIC répond au standard PKCS#15 v1.1.
Données d'usage courant, des mentions imposées par la Loi :
- les nom et prénoms ;
- le lieu et la date de naissance ;
- le sexe ;
- la nationalité ;
- la résidence principale.
La carte contient également une photographie d'identité sommaire au format JPEG. À partir de 2021, la carte contient également des empreintes digitales (qui ne sont accessibles que par l'Autorité).
Versions
Interface de programmation
L'interface de programmation (API) permet de lire le contenu électronique de la carte et de signer un hachage avec une des deux clés privée du porteur (authentification et non-répudiation) suivant plusieurs algorithmes (MD5, SHA-1, SHA256 (recommandé)). La signature résultante fait 256 octets. On peut vérifier sa validité au moyen des certificats contenant les clés publiques. Cette interface est utilisée par les lecteur de cartes pour les opérations courantes (identification, signatures, changements de PIN) mais aussi pour les modifications d'adresses par l'autorité publique. La signature requiert l'introduction du code PIN, une fois pour toute pour l'identification et à chaque fois juste avant l'opération pour la signature de documents [5].
Fichiers
Fichiers PKCS#15
Ces fichiers décrivent la structure du contenu de la carte.
- ODF (DF00/5031)
- Object Directory File
- TokenInfo (DF00/5032)
- informations de base sur la carte
- AODF (DF00/5034)
- Authentification Object Directory File
- PrKDF (DF00/5035)
- Private Key Directory File
- PuKDF ()
- Public Key Directory File
- CDF (DF00/5037)
- Certificate Directory File
Fichiers identitaires
Les fichiers identitaires se trouvent dans le répertoire DF01 et sont lisibles par tous[6]. Sauf pour le fichier 'Preference', l'utilisateur ne peut les modifier. L'administration (CA, rôle 7) peut modifier l'adresse et sa signature.
Les fichiers identitaires proprement dits sont au nombre de trois : les données d'identité immuables, l'adresse (mutable), et la photo.
- ID#RN (DF01/4031)
- contient 18 attributs (relativement) immuables comme le numéro national, la date et le lieu de naissance, le nom, le prénom, le sexe,... Ce fichier contient également un hachage du contenu du fichier ID#Photo de manière à ce que sa signature permette de vérifier également l'intégrité de la photo. Ce fichier est au format TLV (tag (étiquette), longueur, valeur (la plupart du temps en ASCII/UTF-8, plus rarement en binaire))
- ID#Address (DF01/4033)
- contient l'adresse. Il est constitué de 4 champs également encodés en TLV : version (binaire), rue et numéro, code postal, commune.
- ID#Photo (DF01/4035)
- un fichier image de 140x200 pixels avec 8 niveaux de gris au format JPEG
Leur intégrité est validée par deux fichiers contenant leur signature par le Registre National (sic). Elles sont du type SHA-1, PKCS#1 v1.5 RSA.
- SGN#ID (DF01/4032)
- la signature du fichier ID#RN (qui valide Ă©galement la photo)
- SNG#Address (DF01/4034)
- la signature du fichier ID#Address
L'autorité ayant effectué la signature est identifiée par un hachage de sa clé publique.
- PuK#7 (DF01/4038)
- un hachage SHA-1 de la clé publique du CA (20 octets).
Un dernier fichier sans attribution précise complète les fichiers identitaires.
- Preference (DF01/4037)
- un fichier inutilisé et en voie d'abandon au format .ini de Windows où l'utilisateur peut mettre ce qu'il veut.
Certificats
Les certificats présents sur la carte d'identité sont au format DER. L'infrastructure à clés publiques (PKI) émane de Certipost SA dont la société mère est bpost [7] '[8].
- Cert#2 (DF00/5038)
- certificat contenant la clé publique d'authentification du porteur signé par 'Citizen CA'.
- Cert#3 (DF00/5039)
- certificat contenant la clé publique de non-répudiation servant à la signature de documents, signé par 'Citizen CA'.
- Cert#4 (DF00/503A)
- certificat contenant la clé publique de 'Citizen CA' signé par 'Belgium Root CA4'.
- Cert#6 (DF00/503B)
- certificat contenant le clé publique de 'Belgium Root CA4' signé par 'Belgium Root CA4' (?).
- Cert#8 (DF00/503C)
- certificat contenant la clé publique du Registre national (RRN), signé par 'Belgium Root CA4'.
Disponibilité
Toutes les cartes distribuées depuis 2004 sont électroniques. Tous les Belges ont depuis fin 2009 une carte d'identité électronique, les anciennes cartes plastifiées étant remplacées par des cartes d'identité électroniques.
À partir de 2020, la carte intègre deux empreintes digitales et est au nouveau format européen, en accord avec le règlement européen[9] - [10]. Elle est produite par la société belge Zetes, spécialiste de l'identification des personnes[11].
Protection de la vie privée : un enjeu citoyen
La mise à disposition des données d'identification personnelles au citoyen via une carte à puce — qui peut être lue directement par un ordinateur — entraîne un nombre de problèmes potentiels liés à la protection de la vie privée. Ces limites diffèrent selon les pays, citons :
- l'accès au contenu de la puce peut ne pas être protégé par un code. Dès qu'une carte est insérée dans un lecteur de carte, le lecteur peut lire le contenu de la carte sans qu'aucune action de l'utilisateur ne soit nécessaire. Les dérives de ce systèmes sont par exemple la possibilité pour un logiciel espion d'intercepter directement les données présentes sur la carte, y compris le nom, l'adresse, la photo, le numéro d'identification, etc.
- Si un programme tiers requiert la carte d'identité (un programme de messagerie instantanée par exemple qui veut vérifier l'âge de l'utilisateur), il n'existe aucune protection ou sécurité qui assure que l'âge est la seule donnée récoltée par le logiciel.
- Pour l'exécution de certaines opérations (celles qui requièrent l'usage des certificats RSA, comme la signature électronique d’un document), il est nécessaire d’insérer un code (appelé code PIN, initialement composé de quatre chiffres). Si le lecteur de carte ne dispose pas de clavier numérique dédié alors on utilise le clavier de l'ordinateur. Par ce fait, on ouvre la possibilité qu'un logiciel espion intercepte le code d'authentification du citoyen.
- Il existe une possibilité d'utiliser les certificats d'authentification pour envoyer des courriels avec un logiciel de courrier électronique. Les courriels sont alors enrichis d'un certificat d'authentification qui sont transmis de la carte vers le logiciel de courrier (preuve qu'il est bel et bien envoyé par quelqu'un d'authentifié). Toutefois, la partie lisible du certificat peut contenir des informations sensibles que l'on ne souhaiterait pas diffuser.
- En Belgique, la Ligue des droits de l'homme a réagi avec un rapport détaillé. Ce rapport d'une vingtaine de pages souligne : l'exigence du principe de précaution, le flou de son utilisation, les risques de dérives (risques d'exclusion, confusion des rôles publics et privés, banalisation de la carte d'identité, augmentation de la docilité citoyenne, parallèle avec les risques du vote électronique…), privatisation d'un service public, manque de transparence indispensable à une démocratie, cloisonnement des données non maîtrisée, positionnement de l'État en tant que demandeur par rapport au secteur privé, système piratable[12], absence d'évaluation sérieuse[13].
Notes et références
- Ces clés privées ne sont pas accessibles à l'extérieur de la carte; elles ne peuvent servir qu'à des calculs à l'intérieur de la carte après vérification du code PIN.
- « eID Viewer - eID software »
- [PDF] « Belgian Electronic Identity Card content (v5.4) », sur github.com/Fedict
- La version Belpic-V1.7 (2014-2021) utilise le chiffrement RSA (2048/1024); la version Belpic-V1.8 (2021--...) utilise de la cryptographie sur les courbes elliptiques
Voir « eid-mw/doc/sdk/documentation/Readme.md », sur github.com/Fedict - Ce qui n'a pas vraiment de sens quand on effectue ces opérations sur un ordinateur individuel qui a tout le loisir de mémoriser le code et de signer une masse de documents à l'insu du porteur.
- Quand la carte d'identité sert comme carte de fidélité, titre de transport ou pour l'inscription d'une garantie, le commerçant ou l'opérateur peut enregistrer votre photo, votre adresse, votre date de naissance, etc...
- « Certipost - Certificats digitaux »
- « Certipost, a bpost company »
- (en) « New Belgian eID 'first in the world' with extra protection against forgery », sur The Brussels Times (en), (consulté le ).
- Règlement (UE) 2019/1157 du Parlement européen et du Conseil du relatif au renforcement de la sécurité des cartes d'identité des citoyens de l'Union et des documents de séjour délivrés aux citoyens de l'Union et aux membres de leur famille exerçant leur droit à la libre circulation (Texte présentant de l'intérêt pour l'EEE.), (lire en ligne).
- Sibylle Dechamps, « Zetes a démarré la production de la nouvelle carte d’identité électronique belge », sur Agoria, (consulté le )
- « Breaking News, World News & Multimedia », sur nytimes.com (consulté le ).
- « Carte d'identité électronique : penser le progrès au lieu de le subir… », sur Bienvenue sur le site de la Ligue des droits humains, (consulté le ).
Liens externes
- (en) [PDF] Danny De Cock, « Belgian eID cards presentation - Crypto Technicalities », sur kuleuven.ac.be