Didier Samfat, sur le réenregistrement des cartes SIM : «Pas eu l’assurance que les données sont sécurisées»

Didier Samfat, Director Cybersecurity & Risks de Baker Tilly, n’a pas encore réenregistré sa carte SIM. Cet expert en cybersécurité n’est pas rassuré par les méthodes de stockage des données personnelles rassemblées lors de cet exercice.

Avez-vous réenregistré votre carte SIM ? 
Non, pas encore.

Pourquoi ?
Je suis dans la cybercriminalité, ce qui relève justement de données personnelles et sensibles. À ce jour, je n’ai pas eu l’assurance que ces données sont traitées avec toutes les précautions requises. Les opérateurs stockent les données sensibles de leurs clients. Nous n’avons pas l’assurance que ces données sont sécurisées selon les normes internationales. La meilleure façon d’être réconforté est qu’un auditeur indépendant et certifié audite le processus établi ainsi que la technologie utilisée pour sécuriser ces données. 

Dans le fond, cet exercice est-il une bonne chose selon vous ? Faut-il vraiment réenregistrer les cartes SIM ? 
Je pense que oui. Mais la manière de le faire aurait dû être différente. Les opérateurs ont voulu utiliser une méthode pas chère, c’est-à-dire de tout automatiser avec des outils informatiques. C’est un peu dangereux. Ils demandent aux utilisateurs de se réidentifier et ils vérifient ainsi que c’est bien l’abonné légitime qui utilise sa carte SIM. Une manière de le faire aurait été que les abonnés se présentent eux-mêmes dans les succursales des opérateurs pour procéder à une vérification physique à travers une pièce d’identité, comme cela se fait chez un notaire par exemple. Or, là, c’est un procédé biométrique. Ce choix technique augmente la surface d’attaque des hackers. Il faut absolument protéger ces données. Les opérateurs se veulent rassurants et disent que ces données sont protégées. Mais il faut qu’un auditeur indépendant et respecté vérifie si c’est le cas. 

Parmi les données biométriques que vous mentionnez, celle qui fait le plus parler d’elle est le selfie. Que pensez-vous de l’obligation de fournir un selfie pour réenregistrer sa carte SIM ?
Devoir fournir un selfie est assez embêtant, car on force l’utilisateur à donner une photo de lui-même à un opérateur. Ce qui n’a pas été demandé lors de la souscription à un abonnement. On demandait les informations classiques, à savoir une pièce d’identité et une preuve d’adresse. Demander une donnée biométrique est assez sensible. Aujourd’hui, il y a des outils pour créer des deepfakes (NDLR : fausses vidéos avec le visage d’une personne). Je comprends le débat et l’appréhension d’une partie du public. C’est pourquoi les autorités doivent mettre en place un mécanisme pour rassurer. 

Vous évoquez le deepfake. Est-ce que techniquement ce selfie peut être utilisé à mauvais escient ?
Il faut se demander ce que les opérateurs vont en faire. Sont-ils en conformité avec la loi sur la protection des données ? Ont-ils les autorisations pour stocker des selfies ? Nous entrons dans l’aspect légal qui n’est pas du tout mon cheval de bataille. Mais dès qu’il s’agit de traiter des données personnelles et sensibles, il y a un cadre à suivre au niveau du processus et de la technique. À ce jour, je ne sais pas si ces procédures sont suivies.

Mais techniquement, que peut faire un hacker avec un selfie ? 
Il n’y a pas que le selfie. Si un hacker parvient à pénétrer le système d’un opérateur, il va récupérer beaucoup de données comme des noms, des adresses, des numéros de téléphone, des factures, des numéros de compte bancaire et des photos personnelles. Toutes ces données peuvent être utilisées à mauvais escient. Elles peuvent aussi se vendre sur le dark web ou être utilisées pour attaquer les individus. C’est assez dangereux. Il faut que ces informations soient protégées.