Mobile ID : entre risques et avantages selon un expert

L’un des nombreux éléments du discours-programme du gouvernement, l’introduction d’un Mobile ID pour des transactions virtuelles avec le gouvernement, est décortiqué ici par Nicolas Frichot, spécialiste en cybersécurité. Et cela après qu’en début de semaine, le ministre des TIC Avinash Ramtohul, lors d’une séance de formation dans le cadre du Data Privacy Day organisé au MGI, s’est voulu rassurant : il n’y aura pas de middleware – intermédiaire entre le gouvernement et l’opérateur –, ni de demande de selfies.

Tout d’abord, expliquez-nous le concept d’un Mobile ID ?

Comme annoncé dans le discours-programme, c’est une identité numérique pour chaque citoyen, comme déjà adoptée dans plusieurs pays. Si cette annonce pour Maurice est plus que louable, nous sommes grandement en retard en matière de transformation digitale. Le ministre de la Technologie dit que le Mobile ID doit être, je cite : «Un pont entre le monde physique et le monde virtuel.» Le concept «de pont» en lui-même est inutile, même si les intentions sont bonnes. Le Mobile ID doit être «la clé» totale du monde réel et virtuel. Par exemple, s’il remplace la carte d’identité physique lors de vos démarches administratives, je dis oui. Mais s’il se restreint uniquement au «virtuel», c’est un gaspillage de fonds publics.

Est-il pertinent d’avoir un Mobile ID dans la société mauricienne ?

Il est même primordial d’avoir un Mobile ID dans la société mauricienne. Cependant, ce projet devrait intégrer d’autres fonctionnalités telles que le permis de conduire ou l’extrait d'acte de naissance. J’irais même plus loin, en parlant de e-Passport comme aux États-Unis. Cherchons-nous à moderniser et à faciliter l’accès aux services administratifs ou voulons-nous juste avoir un moyen d’authentification ? Si l’objectif est uniquement l’authentification, il existe déjà des moyens efficaces, gratuits et largement accessibles pour accomplir cette tâche.

Votre réaction par rapport aux propos du ministre ?

Le ministre a dit que les données confidentielles seront stockées dans un Central Population Database, sous le contrôle exclusif du gouvernement. Déjà, les mots «contrôle exclusif» n’augurent rien de bon dans une démocratie. Il faut des vérifications externes, ce qu’on appelle des audits de conformité à la protection des données (Data Privacy Compliance Audit), pour s’assurer de la bonne gestion de ces données. Si le gouvernement assume à la fois le rôle de juge et d’arbitre, ce sera problématique. Pour la sécurité des données, les professionnels vous conseilleront d’anticiper les scénarios les plus graves pour des mesures de protection rigoureuses pour la protection des informations sensibles : cryptage, authentification multifactorielle et surveillance constante des systèmes, avec un protocole strict selon les normes internationales. La position ici n’est pas d’être rassurant, mais plutôt de reconnaître qu’aucun système informatique n’est infaillible et qu’il faudrait alors minimiser les risques. Ceci dit, je loue les efforts du gouvernement pour une transformation numérique.

Les avantages du Mobile ID ?

Sous sa forme actuelle, le seul avantage à première vue est la «nationalisation» de l’authentification des utilisateurs. Si c’est un bon moyen pour sécuriser l’identification d’un utilisateur sur un système administratif local, il doit offrir une solution durable. Car la technologie doit faciliter le quotidien de l’utilisateur et non le compliquer davantage. Si l’utilisateur doit toujours avoir besoin d’une montagne de documents physiques, ou encore passer des heures à attendre pour faire son extrait de naissance, sa carte d’identité, une copie de son permis de conduire, le Mobile ID ne sera que l’ombre de lui-même.

Et des inconvénients ?

Les personnes âgées seront désavantagées avec ce système. De plus, ceux n’ayant pas un smartphone ou une connexion internet se verront exclus. Il faut aussi démocratiser l’accès à l’internet. En ce sens, la mesure électorale d’internet gratuit pour chaque famille aurait dû venir en premier.