Le Navigo, ça va, tous les franciliens connaissent et nous en avions déjà parlé ici. Il nous est vendu depuis des lustres autant comme l'objet top-happy-cool qui va bien avec l'iPod, qu'une nécessité imposée par la terrible réalité de l'armée de fraudeurs qui chaque jour que Dieu fait dépouille les transporteurs. Pour d'autres, c'est plus le son de "Bienvenue à Gattaca" que leur évoque le son du passage au tourniquet...

Good evening, John Anderton

Le Navigo est le billet électronique qui sera à terme utilisé par tous les franciliens dans tous les transports en commun. La technologie du Navigo (nom de code Calypso) consiste en une carte à puce (comme sur votre carte bleue) dotée microprocesseur, d'une mémoire non volatile et d'une antenne minuscule lui permettant de communiquer dans les deux sens, sans contact, avec le tourniquet du métro ou le valideur du bus. Cette technologie est plus connue sous le nom de RFID (Radio Frequency Identification ou identification par ondes radio).

Le premier problème posé ici est que c'est bien gentil de faire disparaître tout contact, mais qu'est-ce qui m'assure, à moi citoyen, que les données qu'elle contient ne peuvent être lues à mon insu ? Ceux qui rigolent en repensant aux porteurs de Navigo qui frottent désespérément leur carte "sans contact" sur la borne se disent qu'il y a peu de risque de ce côté là. Mais en fait ce n'est pas tout à fait exact.

En effet, petit rappel sur le principe même du RFID, ce n'est pas la carte qui fournit l'énergie permettant les échanges, mais la borne. L'émission de radio-fréquence va fournir à la carte le jus nécessaire à l'activation de la puce et l'établissement d'un dialogue. En augmentant l'énergie émise, on augmente la distance possible. Et à ce stade rien n'empêche, théoriquement parlant, d'activer les puces par une borne placée dans la rue par exemple.

Admettons que cela est possible, que vont donc pouvoir lire ces "inconnus" équipés d'un lecteur RFID ?

En fait c'est difficile à dire car peu d'informations filtrent sur ce que contient très exactement la mémoire de la puce. Ce que nous savons pour presque sûr, c'est déjà que les données sont stockées en clair (pas de chiffrement) et qu'elles comprennent au moins un numéro de série unique pour chaque carte, votre nom et prénom, votre date de naissance, ainsi que votre code postal ou votre adresse.

Pour le reste nous pouvons nous appuyer sur les travaux de chercheurs qui ont récemment prouvé que la Mobib, la soeur belge de la Navigo, contient en plus de tout cela, vos trois derniers trajets avec date, heure, ligne, station, etc.

Nom, adresse, trajets, à cet stade difficile de ne pas se dire que cette carte peut devenir très pratique dans certains contextes... genre un passage de manif. Mais cela n'arrive qu'en Chine ce genre de choses, admettons...

Conservation des données

A ces informations personnelles, il faut ajouter celles stockées dans les bases de données du transporteur et du STIF qui reprennent le contenu de votre carte, dont le fameux numéro de série assorti, et c'est écrit noir sur blanc dans le contrat que vous avez signé, de votre photo couleur numérisée... Officiellement pour permettre de recréer facilement une nouvelle carte. Admettons...

Lorsque vous passez au tourniquet, votre carte est donc reconnue et une volée d'informations (numéro de série de la carte, date, heure et lieu du passage) part vers les bases de données du transporteur, puis vers celles du STIF. Le premier jeu est sensé servir à détecter les fraudes, le second à établir des statistiques pour "améliorer" les services. Admettons.

Le premier problème posé pas ces bases de données concerne le rapprochement que l'on peut faire entre ce numéro magique et les coordonnées de l'usager, permettant de connaître nominativement ses déplacements urbains. A cela le STIF a toujours répondu qu'à présent, suivant scrupuleusement les directives de la CNIL, la durée de conservation de ces enregistrements n'est plus que de 48h. L'informaticien que je suis se dit déjà que cela doit être un paramétrage facile à changer "en cas de besoin". Le citoyen lui, est un peu gêné de savoir que, même pour "seulement" 48h, une petite cartographie le concernant est réalisable. Faut pas que l'histoire se répète ou qu'un caténaire soit coupé quelque part sinon ça va être le drame...

Maintenant l'informaticien reprend le dessus et se demande bien ce que veut dire "effacé". Après quelques recherches, il semble que l'effacement soit tout relatif mais néanmoins efficace puisqu'il s'agirait de celui du numéro d'identification. Il ne resterait donc plus que les données horaires et géographiques, toujours utiles au STIF pour ses statistiques, un peu moins aux transporteurs, mais admettons...

lapsus linguae

Récemment Actuchomage.org s'est ému de la "vente forcée" de passes Navigo aux demandeurs d'emploi franciliens et a envoyé, par courrier, une demande d'explication au STIF. Je passe sur la qualité contre-argumentaire irréprochable de la réponse du STIF, avec citations latines et tout. Prêtons plutôt oreille au contrepoint, je veux dire au "punctus contra punctum". En pratique, les entreprises de transport procèdent, le plus rapidement possible après la validation (au maximum quelques heures, les délais dépendant du flux), à un codage réalisé sur le numéro de série. Le procédé de chiffrement rend impossible tout rapprochement avec un numéro de dossier commercial et donc avec l'identité du porteur. Cette anonymisation est irréversible et concerne aussi bien le passe Navigo personnalisé que le passe Navigo Découverte

Pour le coup, c'est l'informaticien qui est intrigué. Il se dit déjà que de nos jours il peut s'en passer des choses en "quelques heures maximum". Mais ce qui a réellement attiré mon attention, c'est que je croyais que le fameux numéro de série était effacé, et voilà maintenant qu'il serait chiffré ? Et qui plus est par un procédé irréversible ? Mon dieu mais je n'imaginais même pas qu'une telle technique existait sur terre. Pour moi chiffrement implique déchiffrement sinon je ne vois pas bien l'intérêt de la manoeuvre. Un cryptage avec un nombre aléatoire comme clef ? Faut être un peu tordu tout de même...

L'autre possibilité est que la dame ait confondu "chiffrement" et "hachache" qui est effectivement un chiffrement irréversible. L'idée de base est que deux "hachés" de deux chiffres différents sont toujours différents et que deux "hachés" d'un même chiffre sont forcement identiques. Mais dans tous les cas, il est impossible de recréer le chiffre d'origine à partir de sa version "hachée".

Si c'était bien ce qu'elle avait en tête, c'est l'informaticien qui pour le coup crie au foutage de gueule. En effet, la seule chose à faire dans ce cas est de simplement "hacher" le numéro de série de la carte associée à une personne (que le STIF a dans sa base de données), pour le comparer aux "hachis" des données conservées, et ainsi associer nom et trajets. Station Parmentier, tout le monde descend...

Tout semble donc indiquer qu'en réalité les données sont bel et bien conservées, "Ad Vitam Eternam", sagement rangées jusqu'à ce que - la nécessité aidant - le fameux identifiant, même "haché", puisse révéler qui se cache derrière le cryptique numéro d'identification. Un jour qui n'arrivera jamais, admettons...

Navigo Découverte

Alors pas d'issue possible pour ne pas être tracé à son insu ? Pas forcément grâce à la CNIL qui a permis l'arrivée du "Navigo Découverte". Un passe qui commence à être plus connu sous le nom de "Navigo Anonyme" car fonctionnant exactement comme notre bonne vieille carte orange, en deux morceaux et sans vilaines données stockées à l'intérieur ni possibilité de traçage. Un légitime anonymat qui vous coûtera tout de même 5€...

Malheureusement cet eldorado de liberté n'est pas encore gagné, gagné... Déjà la RATP semble tout simplement avoir du mal à jouer le jeu... Mais plus troublant, les chômeurs mais aussi les étudiants (pas de passes "Imagin'R découverte"...) n'y ont pas droit. Intéressant l'idée de pouvoir tracer les chômeurs et les étudiants, non ?

Conclusion

Comme souvent dans les nombreuses histoires de fichiers qui troublent notre citoyenne quiétude, ce n'est pas plus l'information stockée que l'encadrement de son usage qui devrait inquiéter. Quitte à en braquer quelques-un, je me moque royalement de savoir si mes orientations, même sexuelles, puissent être consignées quelque part si je peux 1/ Avoir accès à l'ensemble des informations qui me concernent, 2/ Pouvoir obtenir rectification de mes données, 3/ Avoir le contrôle sur qui a le droit ou pas de les consulter. Ou alors, dans le cadre d'une procédure légale, l'absolue et inaltérable assurance sur qui, et dans quelles circonstances précises, a le pouvoir de les consulter.