III. LA RFID FACE AUX LEVÉES DE BOUCLIER DE LA SOCIÉTÉ CIVILE

Rarement clivage entre zélateurs et contempteurs d’une technologie se sera–t–il révélé aussi grand. Quelle que se soit l’issue de la polémique, l’avènement de la RFID à grande échelle n’aura pas été sans controverses. Entre l’enthousiasme des secteurs de l’industrie, du commerce et de certains représentants de l’Etat, et les clameurs outrées des associations de défense des libertés civiles, de certains consultants, ou encore d’une partie du grand public, les termes d’un débat furent rapidement et clairement posés.

Une chose est certaine : les « lendemains chantant » annoncés par les hérauts de la RFID sont en effet loin de déclencher l’unanimité, ainsi qu’en atteste la malheureuse expérience effectuée par le State Department au début 2005. Désireux de sonder l’opinion américaine au sujet des futurs e–passeports, le Département d’Etat ouvrit sur son site Internet un forum destiné à recevoir les commentaires des futurs usagers. Les prolégomènes d’un désastre étaient alors en place. En moins de deux mois – du 18 février 4 avril 2005 –, quelques 2'400 commentaires furent adressés, parmi lesquels 98,5% se révélaient défavorable au projet. Bien que l’on ignore le rôle joué par les associations de défense des libertés civiles dans ce résultat, on sait cependant que les résultats catastrophiques de cette initiative forcèrent les autorités du State Department à battre en retraite par la fermeture du forum…

L’accueil on ne peut plus mitigé réservé à la RFID par la société civile tient en une raison précise : lui concédant un pouvoir d’identification et de traçabilité sans pareil, ses détracteurs perçoivent également tout le potentiel de menace pour les droits et libertés individuelles qu’elle est susceptible de représenter. Réveillant les vieux démons d’un monde orwellien que de précédents projets tels que les programmes The Matrix, ou encore The Total Information Awareness du vice–amiral John Pointdexter avaient su préalablement mettre en condition, la RFID – dont les tags auront parfois été surnommés « spychips » – fut perçue comme pavant la voie d’un « Big Brother » à l’avènement dangereusement proche, déchaînant de fait les passions citoyennes. De simple mesure d’identification au service d’une stricte gestion du risque, sa nature informatique – impliquant toutes les facilités de stockage, d’analyse et de transmission offertes par le traitement numérique de l’information – la transformait en potentiel instrument de contrôle total. Entre le service d’aspirations démocratiques et celles d’une intelligence politique dévoyée, la frontière se faisait mince, exigeant alors l’établissement de garde-fous solides.

On reconnaîtra que le recours à la RFID n’est pas sans poser de graves questions. Vraie dans un cadre d’exercice commercial, la problématique se voit renforcée par une utilisation à un niveau gouvernemental. Ayant jusqu’alors adopté un angle de lecture de stricte description de la RFID et de certains de ses usages dans les projets de l’administration américaine, nous proposons ci–après quelques uns parmi les contre–arguments les plus fréquemment exprimés par les adversaires du déploiement de cette technologie. Le débat soulevé relevant bien plus des principes constitutifs de la RFID que de certaines de ses applications particulières, notre angle d’analyse se fera ici plus général.

Pour la commodité du propos, on considérera les termes du débat engagé à la lumière de la rhétorique mise en avant par l’administration Bush. Celle–ci tend à justifier son recours au couple « biométrie–RFID » selon le triple argument suivant : 1. Ces technologies contribuent à lutter contre la fraude (identitaire) ; 2.  Elles permettent des procédures d’identification plus rapides ; 3. Elles renforcent la sécurité nationale (Vollmer 2006 : 4).

Efficacité dans la prévention contre la fraude

Le Department of Homeland Security, le Department of Defense et le Department of State (responsable de l’émission des passeports) auront beaucoup souligné les vertus de la RFID et de la biométrie dans le cadre de leurs projets respectifs. Abstraction faite du cas de cette dernière technologie, l’usage de la RFID à des fins de lutte contre la fraude et l’usurpation identitaires fut fortement combattu par les associations de défense des droits et libertés individuelles, ainsi que par certains consultants et spécialistes (ACLU 2003 ; EPIC 2007a ; CASPIAN, Garfinkel 2006, Privacy Rights Clearinghouse ; Schneier 2005 ; etc.)

Inquiets des risques pesant sur la vie privée et mettant en doute le bien–fondé du surcroît de sécurité offert par ces nouvelles mesures, les dangers invoqués par ces derniers reposent principalement sur les quatre arguments suivants :

a. Le "skimming"

Le « skimming » consiste en une lecture non–autorisée des informations stockées sur un tag, s’apparentant à une forme d’effraction par ondes radio. Sachant que les puces RFID ne signalent pas les moments où elles sont interrogées et que certaines catégories d’entre elles ne peuvent tout simplement pas être désactivées, les possibilités d’usage abusif sont réelles, impliquant par exemple le vol d’identité ou encore la surveillance des individus à leur insu.

b. L' "eavesdropping"

Le processus d’« eavesdropping » consiste en une interception de la communication électronique au moment où celle–ci s’effectue entre un tag et un lecteur autorisé dans le but de saisir les informations transmises, y compris dans les cas où la communication est cryptée.

c. Le "cloning"

Le « cloning » réfère au processus consistant à dupliquer les informations contenues dans les tags afin d’en effectuer une utilisation frauduleuse, telle que dans le cas de production de fausses cartes d’accès.

Diverses techniques – à l’instar de la cryptographie par exemple – permettent de réduire les risques de « skimming » et de « cloning » ; cependant, le risque zéro en ces matières est impossible, ainsi que l’auront démontré plusieurs spécialistes et consultants (Hlahla 2006).

d. Le "tracking"

Au–delà du fait qu’elle se voit aujourd’hui déployée au nom de raisons aussi judicieuses que difficilement contestables – facilitation de certaines procédures de gestion, prévention de la fraude et/ou renforcement de la sécurité –, la perspective du « tracking » est peut–être parmi les craintes les plus vives des détracteurs de la RFID. Considérant la facilité d’identifier un individu sans son consentement et sans même que celui–ci s’en aperçoive, les adversaires de cette technologie mettent en garde contre les utilisations dévoyées de celle–ci, à l’instar des possibilités de datamining et/ou de surveillance/contrôle gouvernemental de tous ordres.

S’appuyant sur les possibilités d’usurpation ayant été jusqu’alors démontrées par des consultants en sécurité ou des pirates 1, les associations de défense des droits civils telles que l’ACLU ou l’EPIC auront disqualifié ce premier argument en évoquant le fait que les groupes terroristes emprunteront certainement les mêmes failles de sécurité en cas de préparation d’une attaque.

Eventualités de tracking mis à part, les autorités américaines auront répondu aux critiques et avertissements (GAO 2005a : 19) par des mesures de sécurité destinées à minimiser les risques de skimming et de cloning dans leurs applications RFID. Pour le cas du e–passeport par exemple, le DoS aura à cette fin intégré au nouveau modèle des dispositifs tels que le Basic Access Control (BAC) 2, la Public Key Infrastructure (PKI) 3, ainsi que le principe de cage de Faraday précédemment mentionné.

Procédure de vérification identitaire accélérée

La justesse de l’argument voyant dans la RFID une mesure d’accélération des processus  d’identification se révèle dépendante des cas de figure. Pour le cas des deux applications présentées, le recours à la RFID dans le cadre d’un projet tel que celui des formulaires I–94 verra sa confirmation, alors qu’il perdra tout intérêt lorsque lié à une procédure de vérification biométrique telle que celle exigée par le système US–VISIT. Les tests conduits par les autorités dans la mise en place de ce programme auront ainsi fait apparaître un temps d’attente supplémentaire d’une vingtaine de secondes per capita dans les délais de traitement du passage des frontières 4. Les experts gouvernementaux prévoient toutefois que les progrès effectués par cette technologie au cours des 5 ou 10 prochaines années permettront de surmonter les obstacles de temps de traitement aujourd’hui rencontrés en offrant des possibilités d’identification à distance n’offrant pas les inconvénients rencontrés au cours de la phase test des formulaires d’immigration I–94 (GAO 2006b : 49).

Dans une enquête sur les usages de la RFID au sein des programmes élaborés par le DHS, l’Emerging Applications and Technology Subcommittee 5 aura mis en doute la valeur ajoutée de la RFID par comparaison à d’autres technologies existantes. Dans un rapport de quelques 15 pages adressé au Privacy Office of the U.S. Department of Homeland Security en mai 2005, ce comité indiquait : «In terms of speed, the use of RFID probably represents only a marginal improvement in speed over alternatives such as contact chips, 2-D bar codes and optical character recognition. In some cases, RFID has offered no speed benefit at all ». Et concernant les e–passeports : « The e-passport must be swiped through an optical character reader in order to gain access to the chip. This welcome personal security measure adds back the delay and inefficiency that RFID technology was designed to overcome, obviating the utility of RFID for this application.» (DHS 2006d: 6).

Alors que le temps de traitement aux frontières se voit aujourd’hui accru, on reconnaîtra cependant aux capacités de codage et de transmission numériques de l’information offertes par la RFID de contribuer à une optimisation de la gestion des données. À une heure de collaboration accrue entre les différents organes chargés de la sécurité de l’Etat, convenons que les vérifications basées sur le couple « biométrie-RFID » favorisent des capacités de traitement de l’information renforcées, permettant au contrôle étatique des bénéfices que l’on ne saurait mésestimer (Vollmer 2006 : 8). Le  rapport adressé au Privacy Office du DHS ne s’y trompait pas, pour qui : « In a radio ID-check environment […] a person’s entry into a particular area can easily be recorded and the information permanently stored and repeatedly shared.  RFID may convert identification based security into an effective surveillance program of all people passing certain locations. (DHS 2006d: 7).

Renforcement de la sécurité nationale

Sibyllin par nature, le principe d’un « renforcement de la sécurité nationale » est susceptible de servir un éventail de causes diverses et variées, du mobile le plus pertinent à celui le plus dévoyé. À l’aune du caractère nébuleux de cet argument, on jugera toute possibilité d’analyse sérieuse comme tributaire des éléments afférents suivants : 1. Dans quel contexte et pour quel usage la RFID sera–t–elle appliquée  afin de servir la cause d’un « renforcement de la sécurité nationale ? ; 2. Quelle définition donne–t–on à la marge de manoeuvre autorisée au nom de cette « sécurité nationale » ?

On comprendra qu’au-delà–delà de cet argument se pose, en dernière instance, toute la question du prix à payer pour ladite sécurité nationale, soit celle d’une juste proportion entre protection étatique et respect des libertés civiques. C’est précisément à cette équation que faisait référence le rapport de la cellule du DHS chargée des questions relatives aux droits et libertés individuels lorsqu’il soulignait :

« […] for other applications related to human beings, RFID appears to offer little benefit when compared to the consequences it brings for privacy and data integrity. Instead, it increases risks to personal privacy and security, with no commensurate benefit for performance or national security. » (DHS 2006d : 2).

Reconnaissant les éventuels bénéfices de cette technologie, il les contrebalançait en revanche par la mention de ses possibles effets pervers en précisant :

«RFID technology may have a small benefit in terms of speeding identification processes, but it is no more resistant to forgery or tampering than any other digital technology. The use of RFID would predispose identification systems to surveillance uses. Use of RFID in identification would tend to deprive individuals of the ability to control when they are identified and what information identification processes transfer. Finally, RFID exposes identification processes to security weaknesses that non-radio-frequency-based processes do not share.» (DHS 2006d : 14) 6.

Voudrait–on justifier le combat engagé par les défenseurs des libertés civiles que l’on trouverait difficilement mieux…

Réagissant à un déploiement massif de la RFID au nom du principe de la « sécurité nationale », des associations de protection de ces libertés civiles telles que l’ACLU en appellent de façon plus générale à des mesures de « regulation, codes of best practice, and technological fixes that give them back [the consumer] a measure of control over RFIDs. » (Perrin 2006 ; Vollmer 2006 : 62 ; ACLU 2003).

L’auteur et chercheur Simson L. Garkfinkel (Garfinkel 2006) proposait quant à lui la protection des droits de l’individu par l’édiction d’une « RFID Bill of Rights », consistant en 5 principes : 1. Tenir le grand public au courant des cas où il est fait recours à l’usage de la RFID ; 2. Offrir à chacun l’opportunité de détruire ou de désactiver les tags possédées ; 3. Le droit à disposer d’alternatives ; 4. La nécessité d’informer les utilisateurs de puces RFID des informations stockées sur celles–ci et la possibilité de les corriger en cas d’erreur ; 5. Informer le porteur de tags RFID de l’identité de ceux qui accèdent à l’information stockée, pour quelles raisons, de même que la nécessité d’informer celui–ci des cas de figure où la sécurité de cette information serait compromise (Vollmer 2006 : 63). Ces principes sont partiellement repris dans les conclusions du rapport du DHS Emerging Applications and Technology Subcommittee (DHS 2006d : 13–14).

De son côté, Jonathan Weinberg – professeur de droit à la Wayne State University – mettait en garde contre l’adoption trop rapide par le gouvernement de technologies encore immatures. Cette analyse sera partagée par le célèbre journaliste et critique Bruce Schneier qui considérait quant à lui l’adoption de la RFID pour les e–passeports sans effort d’analyse comparative sérieuse avec d’autres technologies comme une erreur du State Department (Schneier 2005).

Alors qu’une liste exhaustive des doléances adressées par les critiques d’un recours à la RFID dans les projets gouvernementaux se révélerait vite atteindre des proportions gigantesques, nous achèverons notre énumération avec la conclusion du rapport du DHS Emerging Applications and Technology Subcommittee. Reconnaissant les gains offerts par la RFID en matière d’accélération des procédures d’identification tout en rappelant les risques de skimming, de contrefaçon et d’accès non–autorisé, ce groupe de travail achevait son rapport au Secrétaire Michaël Chertoff en soulignant les dangers impliqués par l’utilisation de cette technologie à des fins de surveillance. A l’appui des critiques de la société civile, sa conclusion énonçait sans ambages : « The Department of Homeland Security should consider carefully whether to use RFID to identify and track individuals, given the variety of technologies that may serve the same goals with less risk to privacy and related interests. » ; et enfin : « […] we recommend that RFID be disfavored for identifying and tracking human beings. » (DHS 2006d : 14) 7.

Si ce rapport ne dispose d’aucune autorité mandataire ou statutaire et semble plus relever aux yeux de certains observateurs d’une opération de relations publiques que d’une préoccupation véritable de la part du DHS 8, peut–être conviendra–t–on avec James Harper – membre du groupe de travail précité – que sa publication aura au moins eu pour vertu d’amorcer un dialogue entre les différentes parties concernées – industrie, communauté de défense des libertés civiles et gouvernement (O’Connor 2006b).

Enfin, on a fréquemment souligné le recours parfois un peu irrationnel effectué depuis 9/11 à un facteur technologique parfois investi du pouvoir de répondre de façon volontiers magique aux maux du temps. Rappelons que même l’instance du GAO ne s’en sera pas caché, qui alertait contre le piège d’un rapport sacralisé à la technologie 9. Nous référant au projet aussi précipité que malheureux des I–94 Forms, peut-être pourra–t-on envisager la RFID comme un exemple de ces technologies volontiers surinvesties dans un climat de forte charge émotionnelle. A l’instar du recours massif qui fut fait des techniques biométriques, on rappellera le facteur de « puissance symbolique » – ou la « fonction symbolique » 10 – dont la RFID est porteuse, phénomène susceptible de parfois partiellement éclairer les raisons qui sous-tendent l’investissement massif et si rapide qui fut consacré à ces technologies au lendemain des attentats du 11 septembre par un pouvoir inquiet, sommé de justifier aux yeux de l’opinion publique son mandat par des mesures rapides.

Quoiqu’il en soit et au-delà–delà de toute divergences d’opinion, il est à tout le moins une conclusion sur laquelle les différents observateurs du phénomène s’accorderont volontiers, c’est la nécessité de disposer de cadres législatifs clairement définis à partir du moment où la RFID est sollicitée à des fins d’identification humaine.