Identification

Aux Etats-Unis, le numéro de sécurité sociale est dans l’œil du cyclone

Des millions d’Américains se sont déjà fait voler leur identité, le plus souvent grâce à leur numéro de sécurité sociale. Nombre d’experts en cybersécurité appellent à remplacer un système d’identification jugé dépassé

Ce sont neuf chiffres sur un petit papier à fond bleu clair. Neuf chiffres qui accompagnent les Américains de la naissance à la mort. Dans un pays sans carte d’identité nationale, le numéro de sécurité sociale, le SSN, sert de référence alors qu’il est devenu la cible des hackers. Une série de piratages de grande ampleur, dont celui d’Equifax révélé en septembre (145 millions de personnes concernées), amène aujourd’hui à remettre en cause un système mis en place par Franklin Roosevelt.

Les tribunes se multiplient depuis l’affaire Equifax, martelant qu’«il est temps d’en finir avec les numéros de sécurité sociale». Chaque Américain peut citer l’exemple d’un ami, d’un collègue, d’un membre de sa famille confronté à un vol d’identité et aux incontournables mois de calvaire administratif nécessaires pour rétablir la vérité. La commission fédérale du commerce a recensé 399 225 plaintes rien qu’en 2016.

L’information est remontée jusqu’à la Maison-Blanche. Rob Joyce, son coordinateur pour la cybersécurité, confiait récemment au Washington Post que sa propre identité avait été compromise quatre fois dans sa vie. «Je pense sincèrement que le numéro de sécurité sociale a fait son temps. Chaque fois que nous l’utilisons, nous le mettons en danger. C’est intenable.»

A la fois identifiant et mot de passe

«Le SSN a été utilisé bien au-delà des raisons pour lesquelles il a été créé», confirme au Temps Jeremy Grant, spécialiste de la technologie au cabinet Venable et conseiller à la FIDO Alliance. «Il n’est plus secret, alors arrêtons de faire semblant», estime-t-il. En 1936, le numéro devait simplement permettre aux Américains d’avoir accès à leurs droits sociaux, leur retraite en particulier. Moyen commode d’identifier un individu, il est réclamé 80 ans plus tard au moment d’acheter une voiture, de demander une carte de crédit ou d’ouvrir une ligne téléphonique. Autant de possibilités de le voir piraté par la suite.

Selon Javelin Research, en 2014, 80% des 25 plus grosses banques et 96% des établissements proposant des cartes de crédit autorisaient l’utilisation du SSN pour s’identifier. Le problème est connu de tous les experts. «Le SSN opère à la fois comme un identifiant national et un mot de passe. Ce n’est pas un bon système», explique au Temps Marc Rotenberg, à la tête du Electronic Information Privacy Center. Une fois la main sur cette clé, sans deuxième niveau de sécurité, toutes les portes s’ouvrent. «L’usage du SSN comme identifiant doit être limité et il ne devrait pas du tout servir de mot de passe», milite Marc Rotenberg.

La commission nationale sur l’amélioration de la cybersécurité a appelé à «lancer une initiative publique-privée pour atteindre des améliorations majeures de la sécurité en augmentant le recours à de meilleures méthodes d’authentification». Les Etats-Unis se tournent vers le Brésil, où l’identité numérique est à renouveler tous les trois ans, ou vers l’Inde, qui s’appuie sur une base de données d’empreintes digitales et de scans de l’iris.

Pas de révolution à attendre dans l’immédiat

«L’accent devrait être mis sur la création de solutions d’authentification indépendantes du SSN», propose Jeremy Grant. «Le défi, c’est de s’identifier de manière sécurisée en ligne. Les consommateurs ne veulent pas ouvrir un nouveau compte en personne», précise-t-il.

Eduard Goodman, spécialiste de la protection des données chez Cyberscout, en plaisante. «Les Américains sont paresseux et n’aiment pas changer! Nous n’avons même pas voulu passer au système métrique», sourit-il. Les progrès technologiques font de la biométrie une option séduisante à ses yeux, même si elle a ses limites (coût, adaptation des entreprises et du grand public).

En revanche, il ne compte pas trop sur Washington pour agir rapidement. «Dans le climat politique actuel, je ne crois pas que c’est un sujet sur lequel cette administration va passer beaucoup de temps», prévoit-il. «Très franchement, cela m’embête de le dire, mais le changement arrivera quand les consommateurs en auront assez et que le coût de la fraude deviendra supérieur à la commodité offerte par le SSN à ceux qui l’utilisent.»

Publicité