Le Seco répond aux craintes sécuritaires liées à la SuisseID

La SuisseID, l’identité numérique helvétique, ne remplirait pas les standards de sécurité actuels et pourrait être piratée en cinq minutes, selon un article paru le 12 août dans les colonnes de la Weltwoche. L’usager serait lui-même le point faible du projet: s’il ne protège pas correctement son ordinateur, un pirate est potentiellement capable de voler son pin et son numéro SuisseID à l’aide d’un cheval de Troie, estime le magazine. L’article a semé l’inquiétude parmi les utilisateurs mais aussi au sein du Secrétariat d’Etat à l’économie (Seco), initiateur du projet. Ce dernier a rétorqué que ce scénario était exclu: «Même dans le cas ou un hacker s’introduirait avec un logiciel espion dans l’ordinateur d’un usager pour lui voler ses codes d’accès, cela ne suffirait pas. Pour s’approprier complètement l’identité digitale d’autrui et se loguer ou signer numériquement en son nom, il devrait encore disposer physiquement de sa carte ou de sa clé USB SuisseID.» Christian Weber, responsable du projet et chef de l’e-governement pour les PME au Seco a également expliqué à notre rédaction alémanique l’impossibilité du scénario décrit dans la Weltwoche. «Il n’est pas possible de violer la SuisseID, tous les experts avec qui nous avons testé le produit plusieurs fois l’attesteront». Seule une situation à risque permettrait d’usurper l’identité électronique selon lui: dans le cas où le PC d’un propriétaire est déjà infesté de logiciels malveillants et que sa carte ou sa clé est toujours insérée dans son ordinateur. Une fois ces éléments physiques éloignés de la machine, le danger est écarté. Pour nos lecteurs, ICTjournal abordera le thème de la SuisseID dans son édition de septembre en analysant notamment l’effet de levier nécessaire à son décollage.