PDF Article
Navigo Parano ? peut-être pas tant que cela...
Le 3 octobre 2008, à 17:49 par Ulhume...

Le navigo, ça va, tous les franciliens connaissent. Il nous est vendu depuis des lustres autant comme l'objet top-hapy-cool qui va bien avec l'iPod, qu'une nécessité imposée par la terrible réalité de l'armée de fraudeurs qui chaque jour que dieu fait dépouille les transporteurs. Pour d'autres, c'est plus le son de "Bienvenue à Gattaca" que leur évoque le son du passage au tourniquet...

Navigo késako ?

Le Navigo est le billet électronique qui sera à terme utilisé par tous les franciliens dans tous les transports en commun. La technologie du Navigo (nom de code Calypso) est une carte à microprocesseur (comme sur votre carte bleue) dotée d'une antenne lui permettant de communiquer sans contact avec le valideur. La mémoire de la puce contient quant à elle un numéro d'identification unique, toutes les informations relatives à l'abonnement, ainsi que celles relatives à l'abonné (nom, adresse, parait-il photo numérisée).

Lorsque le contact avec le valideur est établie, un enregistrement part vers les bases de données du transporteur, puis vers celles du STIF. Le premier jeu de base est sensé servir à détecter les fraudes, le second à établir des statistiques pour "améliorer" les services. Admettons.

Cet enregistrement, qui file je ne sais où, contient les données de passage (localisation, heure, etc) ainsi que le numéro d'identification de la carte. Et déjà à ce stade, deux problèmes se posent...

Conservation des données

Le premier, évident, est celui concernant le rapprochement que l'on peut faire entre ce numéro magique et les coordonnées de l'usager, permettant théoriquement de connaître ses déplacements urbains. A cela le STIF a toujours répondu que, suivant maintenant scrupuleusement les directives de la CNIL, la durée de conservation de ces enregistrements n'est plus que de 48h. L'informaticien que je suis se dit déjà que cela doit être un paramétrage facile à changer "en cas de besoin". Le citoyen lui, est un peu gêné de savoir que, même pour "seulement" 48h, une petite cartographie le concernant est réalisable. Faut pas que l'histoire se répète ou qu'une bombe explose dans Paris sinon ça va être le drame...

Maintenant l'informaticien reprend le dessus et se demande bien ce que veut dire "effacé". Après quelque recherche il semble que l'effacement soit tout relatif mais néanmoins efficace puisqu'il s'agirait de celui du numéro d'identification. Il ne resterait donc plus que les données horaires et géographiques, toujours utiles au STIF pour ses statistiques, un peu moins aux transporteurs, mais admettons...

Good evening, John Anderton

Le second problème, un peu moins évident celui-là, est posé par la carte en elle-même. C'est bien gentil de faire disparaître tout contact, mais qu'est-ce qui m'assure, à moi citoyen, que les données qu'elle contient ne peuvent être lues à mon insu ? Ceux qui rigolent en pensant aux porteurs de navigo qui frottent désespérément leur carte "sans contact" sur la borne se disent qu'il y a peu de risque de ce côté là. Mais en fait ce n'est pas tout à fait exact.

En effet, petit rappel sur le principe même du RFID, ce n'est pas la carte qui fournit l'énergie permettant les échanges, mais la borne. L'émission de radio-fréquence va fournir à la carte le jus nécessaire à l'activation de la puce et l'établissement d'un dialogue. En augmentant l'énergie émise, on augmente la distance possible. Et à ce stade rien n'empêche, théoriquement parlant, d'activer les puces par une borne placée dans la rue par exemple. Comme cela peut être pratique dans certains contextes... genre un passage de manif. Mais cela n'arrive qu'en chine ce genre de choses, admettons...

Mais l'histoire a eu un heureux dénouement, dont CNIL a pu à juste titre s'enorgueillir ,lorsqu'est arrivé le "Navigo Découverte". Ce passe sera par la suite plus connu sous le nom de "Navigo Anonyme" car fonctionnant comme notre bonne vieille carte orange, en deux morceaux et sans vilaines données stockées à l'intérieur. Un anonymat qui n'est pas gratuit celui-là, il vous en coûtera 5€. Admettons...

lapsus linguae

Mais revenons plutôt à l'effacement tout relatif de nos données vieilles de plus de 48h. Récemment Actuchomage.org s'est ému de la "vente forcée" de passes Navigo aux demandeurs d'emploi franciliens et a envoyé, par courrier, une demande d'explication au STIF. Je passe sur la qualité contre-argumentaire irréprochable de la réponse du STIF, avec citations latines et tout. Prêtons plutôt oreille au contrepoint, je veux dire au "punctus contra punctum".

En pratique, les entreprises de transport procèdent, le plus rapidement possible après la validation (au maximum quelques heures, les délais dépendant du flux), à un codage réalisé sur le numéro de série. Le procédé de chiffrement rend impossible tout rapprochement avec un numéro de dossier commercial et donc avec l'identité du porteur. Cette anonymisation est irréversible et concerne aussi bien le passe Navigo personnalisé que le passe Navigo Découverte

Pour le coup, c'est l'informaticien qui est intrigué. Déjà il se dit que de nos jours il peut s'en passer des choses en "quelques heures maximum". Mais ce qui a réellement attiré mon attention, c'est que je croyais que le fameux numéro de série était effacé, et voilà maintenant qu'il serait chiffré ? Et qui plus est par un procédé irréversible ? Mon dieu mais je n'imaginais même pas qu'une telle technique existait sur terre. Pour moi chiffrement implique déchiffrement sinon je ne vois pas bien l'intérêt de la manoeuvre. Un cryptage avec un nombre aléatoire comme clef ? faut être un peu tordu tout de même...

Mais dans le cas d'un lapsus plutôt révélateur cela voudrait surtout dire qu'en réalité les données sont belle et bien conservées, et ce "Ad Vitam Eternam"... Elles resteront là, attendant sagement que la nécessité aidant, le fameux identifiant puisse révéler qui se cache derrière le cryptique numéro d'identification. Un jour qui n'arrivera jamais, admettons...

Conclusion

Comme souvent dans les nombreuses histoires de fichiers qui troublent notre citoyenne quiétude, ce n'est pas plus l'information stockée que l'encadrement de son usage qui devrait inquiéter. Quitte à en braquer quelques-un, je me moque royalement de savoir si mes orientations, même sexuelles, puissent être consignées quelque part si je peux 1/ Avoir accès à l'ensemble des informations qui me concernent, 2/ Pouvoir obtenir rectification de mes données, 3/ Avoir le contrôle sur qui a le droit ou pas de les consulter. Ou alors, dans le cadre d'une procédure légale, l'absolue et inaltérable assurance sur qui, et dans quelles circonstances précises, a le pouvoir de les consulter.

Commentaires

ianux , le 3 October, 2008 - 18:56

Mais ce qui a réellement attiré mon attention, c'est que je croyais que le fameux numéro de série était effacé, et voilà maintenant qu'il serait chiffré ? Et qui plus est par un procédé irréversible ? Mon dieu mais je n'imaginais même pas qu'une telle technique existait sur terre. Pour moi chiffrement implique déchiffrement sinon je ne vois pas bien l'intérêt de la manoeuvre. Un cryptage avec un nombre aléatoire comme clef ? faut être un peu tordu tout de même...

Il suffit d'utiliser une fonction de hachage type MD5 ou SHA-1 pour obtenir un chiffrement effectivement irréversible (on ne peut retrouver la partie déchiffrée à partir de la partie chiffrée à moins d'une attaque par force brute, et encore, l'ajout d'un sel rend la chose quasi-impossible). Exemple typique : le fichier /etc/shadow sous linux...

nico_ze_poo , le 3 October, 2008 - 19:16

Oui, mais MD5, SHA1, et consorts sont des hashs cryptographiques, non pas du chiffrement.

Sinon, il serait intéressant que le STIF publie les caractéristiques techniques de la carte, et les informations stockées dedans.

DidRocks , le 3 October, 2008 - 19:16

De plus, cela n'inclue pas les traces laissées par les REDO LOG.

Explication:
la plupart des systèmes de base de données contiennent des fichiers dans lesquels les instructions SQL sont stockées (INSERT, UPDATE, DELETE…). Cela permet de restaurer en cas de panne une ancienne sauvegarde, puis de rejouer les redo log correspondants jusqu'à ce que la base ait lâchée.

Donc, même si on efface les informations associées à un utilisateur, il restera dans ces fichiers de redo, les instructions "insert 'tel numéro'", puis plus loin "delete 'tel numéro'". Donc, pour vraiment supporter le droit de rectification et de suppression de ces données, il faudrait normalement supprimer toutes les données de ces fichiers (qui sont, pour ne rien arranger, groupés par la suite en archive log…), ce qui ne sera jamais le cas car il faut s'imaginer que ces fichiers ne sont pas de simple fichiers textes…

Ulhume, le 3 October, 2008 - 20:07

@ianux effectivement, je vais dans le sens de nico_ze_poo, un hash n'est pas un chiffrage. De plus quel serait l'intérêt de hasher un ID plutôt que de vider le champs ? Et puis comme tu le dis, on utilise cela pour les mots de passe *nix, cela n'empêche pas de faire un matching...

je pense sincèrement que la dame a juste un peu trop parlé. Au fond, cela me paraissait presque étrange que toute cette belle donnée soit ainsi perdu. Maintenant la bonne question si tout ceci est juste, est : qui a la clef privée dans cette histoire...

@nico_ze_poo Calypso a été développée dans le cade d'un projet européen et le brevet technique est détenu par la RATP, la SNCF et Innovatron. Je doute donc que les spécifications soient ouvertes, malheureusement.

@DidRocks oui mais les logs ne sont pas conservés par le SGBD ad vitam eternam. A un moment ou à un autre ils sont soit écrasé, soit supprimés ce qui à terme revient au même. En tout cas c'est ce qu'il me semble, je ne suis non plus un grand spécialiste.

DidRocks , le 3 October, 2008 - 20:11

@Ulhume: je peux te confirmer que ces redos log, comme je le disais, ils sont ensuite groupés et stockés dans des archives logs qui ne prennent vraiment pas de place. On peut juste espérer qu'ils soient de temps à autres sauvergardés et stockés sur bandes (et vu la fiabilité du backup sur bande…) Smiling

tof , le 3 October, 2008 - 20:31

Je pense qu'il est fort probable que pour que les données puissent être utilisées à des fins de statistiques et d'analyse pour l'optimisation de flux de passagers, il faut que l'ID chiffré soit toujours le même pour une personne donnée.

Dans ce cas même si on ne peut retrouver les ID commerciaux à partir des ID chiffrés, il y aura toujours moyen à partir de l'ID commercial de le chiffrer pour savoir à quel ID il correspond dans les données dites anonymisées. Puis de retracer les déplacements de cette personnes dans le passé.

A voir si ce genre de pratique est possible, techniquement (je pense que oui), officieusement (c'est là le problème) et officiellement (qui peut autoriser ce croisement des données).

Ulhume, le 3 October, 2008 - 21:04

@tof on est d'accord, et de toute façon il en va de même que ce soit un hash ou un chiffrage, dans les deux cas pour deux mêmes ID, cela fournira le même résultat, et il suffit après d'appliquer le même algo (hash ou chiffrage) sur l'id de la base commerciale pour obtenir une correspondance (select * from b_commerciale b, b_deplacements d where md5(b.id)=d.id). Donc techniquement c'est possible. Après pour ce qui est du croisement, il est autorisé dans le cadre des 48h, après donc c'est là que le technique rentre en conflit avec officieusement. Si la requête est authorisé dans ce cadre, les deux bases sont suffisamment "proches" l'une de l'autre pour permettre d'aller plus loin.

Ulhume, le 3 October, 2008 - 21:04

@DidRock merci pour l'info, je ne savais pas ça.

Misc , le 4 October, 2008 - 09:58

Et sinon, si vous êtes vraiment soucieux de votre vie privé, vous avez des passes ou il faut pas donner son nom, soit parce qu'on veut pas, soit parce qu'on a pas de justificatif de domicile ( ce qui est mon cas ).

Alors oui, c'est plus cher ( genre 5 euros à l'achat et 5 euros tout les mois ), mais bon, il faut savoir ou on mets ses priorités, et je rigole doucement quand je voit des gens brailler à tout bout de champs sur le respect de la vie privé mais qui refuse de lâcher 5 euros pour ça.

Ulhume, le 4 October, 2008 - 10:26

@Misc Ben disons que "brailler" n'est pas exactement le terme que j'emploierais et je peux comprendre plus ou moins ceux disent que 5€/mois représente de l'argent pour une partie de la population, et qu'à partir de là on établi une vie privée "à deux vitesse". Maintenant pour les autres qui ont les moyens et parlent pour eux, je ne suis pas loin d'être d'accord avec toi Wink

Me concernant, et je pense être assez clair là dessus dans le billet, l'arrivée de Navigo Découverte à arrêté de me faire... brailler Smiling Après c'est plus l'étrange incohérence sur cette histoire d'effacement qui m'intrigue et me fait réfléchir. D'un point de vue pratique, comme pour toi le problème est réglé... concernant navigo. Pour le reste de le ficho-folie ambiante, je ne vais pas refaire ma conclusion et cela continue effectivement à m'inquiéter.

freeflyer, le 5 October, 2008 - 13:30

Concernant ce "cryptage" dont parle la réponse de la RATP, mon esprit paranoïaque a tendance à penser qu'il s'agit d'une astuce légale pour que les demandes des usagers faites au travers de la CNIL concernant la fourniture de leurs données personnelles ne puissent pas aboutir sur l'intégralité des données, mais simplement sur la partie qui n'a pas encore été "cryptée"..

Comme disait je sais plus qui : "La question n'est pas de savoir si tu es paranoïaque, mais plutôt de savoir si tu l'es assez"

Ulhume, le 5 October, 2008 - 15:56

@freeflyer elle dit bien que c'est le numéro de série qui est crypté, pas le reste. Qui plus est légalement, le fait qu'une base de donnée soit crypté ne dispense (normalement) de répondre à une demande via la CNIL. Sinon ce serait un peu trop simple Wink

freeflyer, le 6 October, 2008 - 07:49

Humm.. oui, mais..
Le fait qu'ils répondent a la demande avec les données dont le n° de série est crypté impliquerait que le cryptage ne soit pas si irréversible que ca Smiling
A l'inverse si le "cryptage" est irréversible (ou censé l'être), il ne peuvent pas répondre avec les données dont le numéro de série est crypté..

Au fait sur Navigo Découverte, est-ce que le numéro de série (pardon le numéro de CB) qui a servi a payer est inscrit dans le fichier ? Smiling

malic , le 6 October, 2008 - 08:17

Bonjour, 1er paragraphe en double.

Je vais lire le reste Smiling

Ulhume, le 6 October, 2008 - 09:14

Merci malic Smiling

Ulhume, le 6 October, 2008 - 09:20

@Freeflyer Je suis pas sur qu'ils osent dirent à la CNIL qu'ils utilisent un cryptage irréversible en fait Wink

malic , le 6 October, 2008 - 09:41

Si je comprends bien, les Navigo Decouverte n'ont pas de dossier commercial, par contre, ils passent dans la même machine statistique. Le profil de déplacement du Navigo n°XXXXXXXXX est toujours possible, même s'il n'est pas simple à coup de requête dans la base de faire le rapprochement, il y a suffisamment de caméras dans les transports pour coller rapido un visage sur le numéro en cas de besoin d'identifier le porteur du navigo découverte n°XXXXXXXXX. Après, retrouver le nom, ça va aller très vite.

Le truc est de ne pas penser ce qu'on peut faire avec les infos de navigo mais ce qu'on peut faire avec tous les "collecteurs d'informations".

Ulhume, le 6 October, 2008 - 10:02

@malic pour avoir travailler dans la télésurveillance, désolé, mais si, c'est aussi facile que faire une requête SQL. Les systèmes actuels permettent, à distance, de récupérer sur un pool de VCR des images en donnant les coordonnées GPS "au plus proche" et l'heure voulue. Pour le transporteur cela ne pose donc aucun problème vu qu'il a la main sur les deux systèmes. Maintenant sur ce point il y a longtemps que c'est le cas avec les vieilles cartes oranges.

Comme tu le fais remarquer, le danger de tout ces systèmes se voit surtout lorsqu'ils sont appréhendés de manière globale.

Anonymous , le 21 October, 2008 - 15:21

Bon pour avoir une navigo neutre voici la procedure :

1/ reperer dans une zone industrielle, un immeuble a moitie vide, une boite aux lettres vide
2/ apprendre a "hacker" la serrure de la dite boite voire changer le canon de la serrure
3/ Choisir un nom dans l'annuaire dans la region ou vous vous trouvez (et ou se trouve votre nouvelle boite aux lettres)
4/ Dans un cybercafe creer un compte gratuit chez un provider (Orange, la Poste, Free on s'en fout) en donnant l'adresse de la boite aux lettres et le nom de l'annuaire
5/ Recuperer les papiers au bout de quelques jours - ca y est vous etes Mr ou MMe Duchmol ZI du bois joli a Petaochnok !
6/ Faire son inscription en ligne sur le site de la RATP pour avoir une navigo (avec une photo de vous bien entendu)
7/ Recevoir sa navigo dans sa boite aux lettres - demonter la boite ou enlever le nom (vous ne vous en servirais plus)
8/ Payer toujours en liquide (jamais par carte)
9/ En cas de controle ne pas donner sa "vraie" carte d'identite - (garder les papiers internet) ou tout autre doc legal expedie la bas
10/ Fuck big brother

Poster un nouveau commentaire

Le contenu de ce champ est gardé secret et ne sera pas montré publiquement.
  • Allowed HTML tags: <a> <em> <strong> <cite> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • To highlight piece of code, just surround them with <code type="language"> Your code &tl;/code>>. Language can be java,c++,bash,etc... Everything Geshi support.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Textual smileys will be replaced with graphical ones.
  • Les adresses de pages web et de messagerie électronique sont transformées en liens automatiquement.

Plus d'informations sur les options de formatage

Rechercher
Connexion utilisateur
Du même tonneau...
Abonnements
Les derniers bavardages...
  • rom1dep: Personnellement, je n'ai pas constaté de bai ...
  • Ulhume: @Baz Rassures toi, je vois pas de bêtes velu ...
  • Baz: Bonjour Ulhume et merci pour cet article, qu ...
  • Ulhume: @buldorack Faut que je songe à engager Advay ...
  • bulldorack: @rom1dep Ton expérience NC10 + Mandriva 2 ...
Autres Lieux