2. Le second domaine d’application de la RFID concerne la gestion de certains biens gouvernementaux, telle que la logistique militaire, ainsi que le suivi et l’identification de certaines valeurs (matériel, armes, etc.) ;
   
3. Enfin, le troisième domaine relève de la refonte des pièces d’identité, telle que l’élaboration effectuée par le Department of State d’une nouvelle génération de passeports électroniques, ainsi que de divers projets actuellement à l’étude concernant l’établissement d’une pièce d’identité nationale standardisée (carte d’identité, permis de conduire, etc.).

B. LE CAS D'US-VISIT

Le programme US–VISIT et l’établissement de la nouvelle génération de passeports électroniques – ou « e–passeports – se posent en tant qu’éléments constitutifs et complémentaires de l’infrastructure précitée. Projets découlant tous deux des avancées en matière de technologie biométrique, la RFID est à voir comme partie intégrante de leur architecture. Préalablement initiées par les Etats-Unis, leur actuelle expansion et standardisation à l’échelle planétaire s’inscrit comme un produit de la ligne politique et des efforts entrepris par l’administration Bush en réponse aux attaques terroristes.

1) Définition

Surnommé par les professionnels du secteur le « Saint Graal de l’adoption des mesures de sécurité biométriques » (Biometrics Market Intelligence 2004), US–VISIT se distingue comme l’application à ce jour la plus ambitieuse des technologies biométriques destinée à des fins civiles.

Acronyme de United States Visitor and Immigrant Status Indicator Technology, US-VISIT est un programme actuellement développé par le DHS sur mandat du Congrès, figurant probablement aujourd’hui le joyau de l’éventail de mesures prises par le DHS en réponse aux attentats terroristes du 11 septembre 2001. Ainsi que le mentionne Brianne Vollmer dans un mémoire dévolu à l’usage des nouvelles technologie dans la stratégie sécuritaire du DHS : « due to the ease with which the hijackers traveled, border security has become the cornerstone of national security policy » (Vollmer 2006: 2)

Malgré l’impression aujourd’hui retenue, la volonté de doter le sol des Etats-Unis d’Amérique d’un programme de gestion des entrées et des sorties automatisé ne date guère du climat de « War on Terror » déclenché par les actions de la mouvance jihadiste en terre new–yorkaise. Bien plutôt, le Congrès aura voté dès 1996 5 le développement d’un programme chargé de surveiller les entrées des visiteurs étrangers. Alors confié au U.S. Immigration and Naturalization Service, la mise en œuvre de ce projet s’est vue différée entre 1998 et 2001, le Congrès craignant la résultante d’une augmentation importante des congestions aux frontières (U.S. Department of Homeland Security 2005a).

Les attaques terroristes du 11 septembre vinrent stimuler la réalisation de ce projet jusqu’alors ajourné. Relancé dès juin 2002 sous l’action conjointe du Department of State et de l’Immigration and Naturalization Service (ou INS) 6 sous le nom de National Security Entry-Exit Registration System (NSEERS), ce projet 7 fut renommé US-VISIT au printemps 2003 lorsque fut créé le Department of Homeland Security (DHS) au sein duquel l’INS fut incluse 8.

Devenu la priorité centrale du DHS depuis sa fondation, US-VISIT s’inscrit aujourd’hui dans une stratégie de renforcement de la protection du pays contre de possibles attaques terroristes par le renforcement de la sécurité des frontières américaines. Son principe de base consiste en la mise en place d’un système électronique destiné à vérifier l’identité des visiteurs étrangers afin de s’assurer que ceux-ci ne figurent pas sur les listes d’individus recherchés pas les agences chargées de la sécurité nationale (Rand 2006 : xi). Cette activité, opérant à partir d’une architecture reposant sur la technologie biométrique, s’effectue par le recensement et la vérification systématiques des demandes de visas, des accès et des sorties des visiteurs étrangers.

On rappellera brièvement de la biométrie qu’elle est une technologie basée sur l’identification et l’authentification 9 d’un individu à partir de ses caractéristiques physiques et comportementales. Les systèmes de contrôle biométriques peuvent porter sur  l’analyse morphologique (i.e. les empreintes digitales, les empreintes palmaires, la rétine, l’iris, l’ADN, la forme du visage, ou l’analyse du système veineux), l’analyse comportementale (i.e. la dynamique de la signature, la démarche ou encore la dynamique de la frappe au clavier), ou encore sur l’analyse combinée de la morphologie et du comportement (i.e. l’analyse de la voix). Aussi ancienne qu’Hérode lui–même 10 – les exigences de socialisation et d’évaluation du risque entraînés par toute interaction entre membres de la même espèce se servant allégrement de l’analyse des caractéristiques physiques et comportementales des congénères –, la biométrie se distingue aujourd’hui par sa puissance de traitement informatique et le caractère automatisé de ses procédures.

S’inscrivant dans le continuum d’une longue série de mesures d’établissement et de vérification de l’identité progressivement élaborées par nos sociétés, les évolutions informatiques de la biométrie jointes au développement des réseaux la voient aujourd’hui appliquée à de nombreux domaines et à des échantillons de plus en plus larges de la population. On retrouve dès lors les principales applications des technologies biométriques dans trois grands domaines : 1. L’identification judiciaire (systèmes informatisés d’empreintes digitales ou génétiques à échelle nationale) ; La gestion des titres délivrés par la puissance publique (gestion de l’identité des citoyens, des prestations sociales, des titres délivrés aux étrangers, ainsi que des procédures électorales) ; 3. La gestion des accès physiques ou logiques (zones hautement sécurisées ; entreprises ; micro-ordinateurs et ressources logiques ; sésames bancaires, hôteliers et sportifs ; contrôle des horaires de travail du personnel ; contrôle des prisons, etc.) (Brömme 2002 ; Assemblée Nationale française 2003).

Spectaculaire application de ses nouvelles capacités de traitement, le projet de plusieurs milliards de dollars que constitue US–VISIT est à saisir comme un continuum de mesures de sécurité commençant à l’extérieur des frontières des Etats-Unis pour se poursuivre lors de l’arrivée du visiteur sur sol américain et se terminer à son départ. À quelques exceptions près 11, il s’applique à tous les visiteurs non américains, indépendamment de leur pays d’origine et de leur mode d’accès aux Etats-Unis : terre, mer, air, avec ou sans visa. Outre la vérification de l’identité de l’individu à partir de certains paramètres biométriques lors de son entrée sur le sol national, le programme autorise également le « stockage » de différentes informations sur les visiteurs étrangers telles que celles contenues dans les documents de voyage ainsi que les paramètres identitaires – biographiques et biométriques – fournis.

L’implantation longue et complexe d’un projet de l’envergure d’US-VISIT fut décidée selon une approche modulaire et graduée, se déclinant en 4 phases principales. Les phases 1 à 3 furent envisagées comme temporaires, solutions intermédiaires destinées à satisfaire dans l’immédiat le mandat de doter les Etats-Unis d’un système de gestion des entrées et sorties automatisé. A partir d’interfaces déployées sur la base de systèmes préexistant, ces trois premières étapes (ou Increments) ont ainsi concentré leurs efforts sur le renforcement et la modification de structures déjà existantes pour l’essentiel. La dernière phase du projet – l’Increment 4 – a été en revanche envisagée comme devant permettre la mise en place d’un système de gestion des frontières entièrement nouveau, et destiné au long terme.

L’interfaçage d’US–VISIT avec la RFID fut envisagé de deux façons : la première répond au développement d’une nouvelle génération de passeports, alors que la seconde s’inscrit dans un projet d’automatisation des passages terrestres basé sur les avantages de l’identification à distance par ondes radio.

2) E-Passeports

La mise en place du projet US–VISIT s’accompagne étroitement de l’établissement d’une nouvelle génération de passeports basée sur le couplage entre biométrie et RFID. Les différentes normes entourant la naissance du e–passeport résultent des travaux engagés par le New Technolgy’s Working Group (NTWG) mis en place par l’International Civil Aviation Organization (ICAO), une agence de l’ONU chargée de l’établissement de standards internationaux relatifs aux transports aéronautiques civils 12. Ce comité s’était donné pour objectif l’horizon d’une nouvelle standardisation des documents de voyage (Machine Readable Travel Documents ou MRDTs) (Vollmer 2006 : 3). Ses efforts aboutirent à l’adoption par l’ICAO le 28 mai 2003 d’un ensemble de normes visant à intégrer les identifiants biométriques des voyageurs au coeur des passeports et autres documents de voyage (visas, formulaire d’immigration, cartes d’identité, etc.) 13 par l’intermédiaire de puces RFID. En premier lieu appliquées aux ressortissants des pays participants du Visa Waiver Program comme conditions sine qua non de leur entrée sur sol américain sans visa 14, ces nouvelles mesures furent ensuite ratifiées par les Etats–Unis eux–mêmes au motif d’un principe de réciprocité les liant aux pays alliés, avant d’être acceptées par l’ensemble des pays membres de l’ICAO comme nouveau standard planétaire. Remplaçant la procédure de vérification traditionnelle sur présentation d’un document photographique, l’adoption de cette norme inaugurait alors la naissance d’une ère nouvelle des mesures de sécurité aéroportuaires et douanières – imprimatur désormais estampillé « ONU ».

Les cadres originellement définis par l’ICAO avaient établi que tout passeport issu après le 26 octobre 2005 devait être de type biométrique, date qui fut par la suite repoussée au 26 octobre 2006 au vu du retard accusé par les calendriers d’implantation respectifs des différents Etats membres 15. La reconnaissance faciale fut établie comme l’identifiant biométrique standard des documents de voyage, l’usage d’autres identifiants étant laissée à l’appréciation de chaque Etat ; une proposition de l’ICAO suggéra néanmoins l’emploi des identifications par l’iris et par empreintes digitales au titre de procédures annexes mais non obligatoires.

Les standards développés par l’ICAO en matière de MRDTs ont été formalisés par la publication du rapport ICAO Document 9303 16 et ont été approuvés par l’International Standards Organization sous le titre de normes ISO/IEC 7501-1:1997, ISO/IEC 7501-2:1997, et ISO/IEC 7501-03:1997.

Si l’édiction de ces nouvelles normes résulte des travaux et efforts concertés d’un panel de travail international, on soulignera cependant la prépondérance du rôle joué par les Etats-Unis dans l’adoption de cette série de mesures de l’ICAO déterminant l’usage de la biométrie et de la RFID pour tout MRDTs (Homeland Security 2004).

Les tag passifs intégrés aux passeports contiennent, conformément aux régulations édictés par l’ICAO, les informations personnelles figurant habituellement dans les passeports, ainsi qu’une photographie numérique faciale de leur porteur. La fréquence RFID déterminée pour les passeports biométriques est de 13.56 MHz, permettant ainsi une lecture censée être efficace à une distance d’une dizaine de centimètres, et impossible à plus de quelques mètres. La prévention de la fraude par tout lecteur non–autorisé fut établie par la présence sur le passeport d’une fine bande métallique censée rendre la lecture des informations plus difficile une fois fermé – celle-ci agissant au titre de cage de Faraday  (DoS 2007 ; DHS 2006c : 9).

Les procédures établies par US–VISIT en lien à ce nouveau passeport consistent en une triple vérification conduite sur tout visiteur étranger par les agents du U.S. Customs and Border Protection Office :

1. Comparaison des identifiants biométriques saisis sur place – une photographie numérique faciale et les empreintes digitales des deux index – avec ceux situés sur la puce RFID du passeport ;
   
2. Vérification du facteur d’indésirabilité du visiteur par le rapprochement des informations acquises sur son identité avec celles disponibles dans les bases de données gouvernementales (présence éventuelle du voyageur dans les diverses « watch lists », usurpation d’identité, fraude aux documents de voyage, etc.), légitimant dès lors un possible refus d’accès au pays, voire une arrestation.
   
3. Confirmation biométrique du départ des ressortissants étrangers. (GAO 2007b).
   

Pour les visiteurs dont l’accès aux Etats-Unis nécessite l’obtention préalable d’un visa, le Department of State obtient les éléments biométriques et biographiques désirés au travers du programme BioVisa avantde se prononcer sur la délivrance ou non du visa souhaité. Lors de son arrivée aux Etats-Unis, la vérification biométrique effectuée permet de vérifier si la personne entrant sur territoire américain est bien la même que celle ayant préalablement demandé son visa au Département d’Etat.

Se préparant à la date butoir d’entrée en vigueur des passeports biométriques le 26 octobre 2006, le DHS a conduit au printemps de cette même année une série de tests préliminaires sur les capacités de lecture des tags RFID contenues dans les passeports. Réalisé au San Francisco International Airport, le test fut déclaré réussi par le directeur du programme US–VISIT Robert Mocny (O’Connor 2006b).

3) Le projet d’automatisation des passages terrestres

Alors que l’ensemble des processus de développement et d’implantation propres aux différents aspects du programme US–VISIT se seront déroulés de façon globalement satisfaisante, la gestion des sorties par voie terrestre se posa très vite au DHS comme un problème épineux. L’importance des flux de voyageurs aux frontières supposait un temps de traitement per capita combinant en un même temps rapidité et conditions de sécurité élevées, tout en respectant les cadres budgétaires alloués; la taille des équipes affectées à l’immigration, la réalité des infrastructures préexistantes, les possibilités et limites des technologies disponibles sur le marché furent également autant de facteurs dont l’élaboration d’un cadre opérationnel valide nécessitèrent la combinaison. Au terme de l’analyse entreprise, deux solutions furent envisagées : la première consistait en une opération de vérification biométrique semblable à celle effectuée lors de l’entrée des visiteurs dans le pays. Elle fut rejetée dans un rapport de janvier 2005 17 pour deux raisons principales : 1. La seule architecture technologique possible exigeait des infrastructures supplémentaires ainsi qu’un accroissement du personnel existant, dérogeant de ce fait aux critères budgétaires ; 2. Elle entraînait des temps d’attente importants, entraînant des conséquences négatives pour le commerce et les échanges. Une seconde option fut alors envisagée sous la forme d’une solution non–biométrique tirant pleinement partie des possibilités offertes par la RFID (GAO 2007b : 2).

Ce second interfaçage entre la RFID et le projet US–VISIT fut développé par le DHS comme susceptible de constituer une solution de choix pour la gestion des routes terrestres, la RFID étant ici projetée comme une solution permettant d’effectuer les vérifications de sortie des voyageurs de façon automatisée. Avec l’enregistrement automatique et réalisée à distance des sorties par la détection d’un numéro d’identification situé sur les documents de voyage individuels, la technologie RFID permettait aux services du DHS de satisfaire aux critères requis – évitement des risques de congestion aux frontières, amélioration du  service des agents, modifications mineures de l’ensemble architectonique préalablement mis en place, etc. – tout en ayant pour avantage d’identifier son porteur par un numéro de série unique, et non par des données confidentielles.

Cette évolution souhaitée du système US–VISIT prit la forme d’un projet pilote mis en place à partir du 4 août 2005 à 5 des 170 ports d’entrée terrestres bordant le Canada et le Mexique 18. Testé sur un échantillon spécifique, le DHS déclarait : « The purpose of US-VISIT’s RFID testing is to evaluate the capability to record automatically, passively, and remotely the entry and exit of selected travelers with RFID tags that are embedded in the Form I-94s. » (DHS 2006a : 4).

Le formulaire I-94 Record of Entry Document relève de la législation de l’Immigration and Nationality Act (INA) régissant notamment les admissions et les allées et venues des visiteurs aux Etats–Unis (INA § 214) . Il est attribué à tout ressortissant étranger – ne requérant pas de visa – destiné à entrer et sortir du territoire états-unien sur une base régulière, exception faite des citoyens canadiens et de certains citoyens mexicains qui s’en voient dispensés. Il est habituellement inséré dans le passeport et dispose d’une durée de validité de six mois au maximum (GAO 2006b : 51). Rendu aux agents des douanes lors de son expiration ou lors d’un départ définitif des Etats–Unis, il atteste que le visiteur est entré légalement et n’a pas outrepassé le temps alloué à son autorisation de séjour (CBP 2004). Au 31 décembre 2005, US–VISIT avait émis quelques 149’414 formulaires I-94 (DHS 2006a : 4).

Selon le calendrier prévu pour l’implantation d’US–VISIT, cette étude de faisabilité représentait l’une des étapes de la seconde phase du processus de développement du programme – dite « Increment 2C » (entrées et sorties terrestres). Ayant l’extension d’US-VISIT aux postes frontières terrestres pour objectif, elle devait être suivie d’ici au 31 décembre 2007 par un déploiement de l’utilisation de la RFID sur les formulaires I–94 des 50 postes douaniers terrestres les plus importants (DHS ibid.).

L’évaluation mise en place supposa l’ajout de tags passifs aux formulaires concernés. Disposant d’un numéro d’identification référant aux informations détenues sur le voyageur au sein des bases de données du système US–VISIT, elles permettaient une vérification de l’identité et un enregistrement des entrées et sorties des voyageurs déjà détenteurs du formulaire concerné, processus parfaitement automatisé effectué par scanner, ne nécessitant pas l’arrêt au poste douanier. Selon le chef de projet Jim Williams, le projet pilote instauré répondait prioritairement au double objectif suivant: 1. L’évaluation des vitesses et des taux de lecture des scanners utilisés; 2. L’observation des possibilités de conflits éventuels avec les autres systèmes RFID déjà utilisés aux frontières 19 (Dizard 2005; DHS 2005b).

Le test s’est clos au printemps 2006, une évaluation formelle du projet ayant été effectuée le 16 juin de cette même année 20. Les conclusions de cette évaluations furent reprises et discutées dans le cadre d’une enquête du Government Accounting Office de janvier 2007 destinée au Congrès (GAO 2007a). Alors que les perspectives offertes par la RFID dans le cadre de ce projet semblaient prometteuses, les conclusions de l’étude pilote auront fait apparaître trois facteurs problématiques – deux de nature technique et un troisième plus structurel :

1. Les lecteurs RFID ont en premier lieu montré l’incapacité de détecter la majorité des voyageurs. Les tests par exemple conduits sur le site de Pacific Highway – entre décembre 2005 et janvier 2006 – auront montré pendant l’espace d’une semaine un taux de lecture positive de quelques 14% des tags sortant, alors que l’objectif initialement prévu était de 70% (GAO 2007a: 18 ; GAO 2006b : 48). ;
   
   
2. En second lieu, les différents dispositifs RFID de lecture mis en place furent à l’origine de nombreuses interférences (« cross–reads ») occasionnant un certain nombre d’erreurs de lecture, empêchant par là un contrôle précis des entrées et des sorties ;
   
   
3. Enfin, un rapport produit par le DHS Emerging Applications and Technology Subcommittee (DHS 2006c) à l’attention du Full Data Privacy and Integrity Advisory Committee – comité du DHS chargé des questions relatives aux droits et libertés de l’individu – aura souligné qu’un usage de la RFID conçu de façon indépendante des procédures de vérification biométrique ne peut être envisagé car équivalant à une impossibilité de répondre aux critères d’identification précise des voyageurs exigés par le mandat du programme US–VISIT (DHS 2006c : 6 ; GAO 2006b : 52–53). Les puces RFID contenues dans les documents de voyage n’étant en effet pas directement liées à leur porteur, il devient dès lors impossible de garantir que l’individu quittant le pays soit bien celui qui y est entré, le document signalant le passage aux bornes RFID pouvant parfaitement être porté par n’importe qui.

Suite aux résultats négatifs de cette phase test et au terme de longues tergiversations, le Secrétaire du DHS Michaël Chertoff mettra un terme aux espoirs placés par le DHS dans ce projet, en annonçant en effet dans un communiqué adressé courant février 2007 au House Homeland Security Committee que son département renonçait finalement à l’usage de la RFID pour la gestion des passages douaniers terrestres (Lipowicz 2007).

La recherche d’une solution viable pour les postes terrestres d’US–VISIT est à ce jour encore à l’étude [22 mars 2007], ainsi qu’en atteste le dernier rapport du Government Accounting Office du 16 février dernier : « However, after almost 4 years and more than $1 billion, DHS has implemented entry capabilities at most POEs [Ports of Entry] but has not implemented exit capabilities. » (GAO 2007b : 9) 21. Le calendrier voté par le Congrès prévoyait que le DHS lui présente la stratégie arrêtée pour le système d’entrées et de sorties en juin 2005. Incapable d’articuler convenablement les processus d’entrée et de sortie d’US–VISIT, le DHS aura jusqu’alors reporté l’émission dudit rapport. Aux dires des responsables du département concerné –  mentionnés dans le dernier rapport du GAO – ce texte a été soumis à l’Office of Management and Budget (OMB) pour approbation au cours de février 2007 (GAO 2007b : 16). Après plus d’un an et demi, le Congrès est toujours dans l’attente du rapport supposé lui être remis (GAO 2007a : 19 ; 25).

Enfin, relevons que bien que les ressortissants des pays signataires de l’ALENA ne soient pour l’heure astreints à aucune des deux solutions précédemment décrites – e–passeports ou formulaires I–94 –, les modalités de l’Intelligence Reform and Terrorism Prevention Act de 2004 exigent du DHS et du Department of State la mise en place d’un système d’identification satisfaisant pour les citoyens du Canada, des Bermudes et du Mexique lors de leur entrée sur sol états–unien. Ce plan, connu sous le nom de Western Hemisphere Travel Initiative (WHTI) – présenté au Congrès en 2005 – a défini la date de juin 2009 comme limite impérative de mise en place de ses modalités (GAO 2007a : 21).