Le gouvernement se demande si le système au cœur de ses projets d’identification numérique est fiable pour assurer la sécurité des données personnelles des personnes.
L’identification numérique sera mise à la disposition de tous les citoyens britanniques et résidents légaux, mais ne sera obligatoire que pour l’emploi., Sur proposition du gouvernement.
Les détails complets du fonctionnement du système n’ont pas encore été annoncés, mais le Premier ministre Sir Keir Starmer a insisté sur le fait que « la sécurité sera au cœur de son fonctionnement ».
Il sera basé sur deux systèmes développés par le gouvernement : Gov.uk One Login et Gov.uk Wallet.
Une connexion Un compte unique pour accéder aux services publics en ligne, auquel plus de 12 millions de personnes se sont déjà inscrites, selon le gouvernement
D’ici l’année prochaine à la même époque, ce chiffre pourrait atteindre 20 millions, car les personnes enregistrées comme dirigeants d’entreprise devront vérifier leur identité via un identifiant. À partir du 18 novembre.
Portefeuille Gov.UK Pas encore lancé, mais il pourrait à terme permettre aux citoyens de stocker leur identité numérique, comprenant leur nom, leur date de naissance, leur nationalité et leur statut de résidence, ainsi qu’une photo, sur leur smartphone.
Les utilisateurs auront besoin d’une connexion Gov.UK One pour accéder au portefeuille.
Le mois dernier, le gouvernement a lancé une carte d’identité numérique pour les anciens combattants tester des concepts.
Le gouvernement espère éviter les problèmes de sécurité en accédant aux informations personnelles via une seule connexion à chaque département gouvernemental plutôt qu’une base de données unique et centralisée.
Mais le vétéran défenseur des libertés civiles et député conservateur David Davies a fait part de ses inquiétudes quant aux failles potentielles dans la conception et la mise en œuvre de One Login qui, selon lui, pourraient le rendre – ainsi que le nouveau système d’identification numérique – vulnérables aux pirates.
S’exprimant lors d’un débat au Westminster Hall plus tôt ce mois-ci, il a déclaré : « Ce qui se passera lorsque ce système sera en place, c’est que l’ensemble des données de la population sera accessible à des acteurs malveillants – des pays étrangers, des criminels ransomwares, des pirates informatiques malveillants et même leurs propres ennemis personnels ou politiques.
« En conséquence, ce sera pire que le scandale Horizon (La Poste). »
Davis Le National Audit Office a rédigé un organisme de surveillance des dépenses Il a appelé à une enquête « urgente » sur les coûts de One Login, qui, selon lui, dépasseraient les 305 millions de livres sterling déjà prévus.
Dans sa lettre, le député a cité un incident survenu en 2022, qui a montré que des systèmes de connexion unique étaient construits sur des postes de travail non sécurisés par des entrepreneurs sans les autorisations de sécurité nécessaires en Roumanie.
Davis a également noté que OneLogin ne répond pas aux propres exigences du gouvernement pour être classé comme fournisseur d’identité sécurisé et fiable.
Le gouvernement a reproché à un fournisseur de l’avoir autorisé Cadre de confiance en matière d’identité et d’attributs numériques Le certificat expirera au début de cette année et affirme travailler à une reprise, qui se produira « imminemment ».
Par ailleurs, le porte-parole libéral-démocrate en matière de technologie, Lord Clement-Jones, s’est demandé si OneLogin répondait aux normes du National Cyber Security Centre.
Pear a déclaré qu’il s’adressait à un lanceur d’alerte, qui affirmait que le gouvernement avait manqué l’échéance de 2025. Stratégie nationale de cybersécurité Renforcer les systèmes « critiques » contre les cyberattaques.
Les ministres ont nié cela, mais le homologue Lib Dem a déclaré qu’un responsable lui avait dit que One Login ne passerait pas les tests de sécurité nécessaires avant mars 2026.
Le lanceur d’alerte a également souligné un incident survenu en mars de cette année, au cours duquel une soi-disant « équipe rouge » aurait pu obtenir un accès privilégié à un système de connexion chargé de simuler une cyberattaque réelle.
Le ministère de la Science, de l’Innovation et de la Technologie (DSIT) affirme qu’il n’est pas en mesure de détailler les pratiques de l’équipe rouge pour des raisons de sécurité, mais les affirmations selon lesquelles ses systèmes ont été piratés sans détection sont fausses.
Les responsables du DSIT ont également assuré à Lord Clement-Jones que les sous-traitants en Roumanie étaient « une poignée de personnes » dont aucun n’avait accès à la production « et que tout le code était vérifié ».
Le département a déclaré que tous les membres de l’équipe travaillant sur One Login utilisent des appareils « gérés par l’entreprise » qui sont surveillés par une équipe de sécurité pour détecter toute activité malveillante.
Mais Lord Clement-Jones a déclaré à la BBC qu’il n’était pas convaincu par les assurances du ministère.
Il a déclaré que les antécédents des gouvernements successifs qui ont utilisé One Login et d’autres systèmes « ne nous donnent pas à tous l’assurance que les nouvelles identifications numériques obligatoires, qui seront basées sur celles-ci, garantiront que nos données personnelles sont en sécurité et répondent aux normes de cybersécurité les plus élevées ».
La semaine dernière, le Premier ministre a confié le contrôle global du système d’identification numérique au Cabinet Office, dirigé par son ministre le plus fiable et le plus important, Darren Jones, reflétant ainsi son importance pour le gouvernement.
Mais Government Digital Services, qui fait partie de DSIT, sera responsable de la conception du projet.
Un porte-parole du DSIT a déclaré : « Gov.UK One Login continue de servir les citoyens de tout le Royaume-Uni.
« One Login héberge désormais plus de 100 services et est utilisé par plus de 12 millions de personnes, soit environ un sixième de la population britannique.
« One Login suit les normes de sécurité les plus élevées utilisées dans les secteurs public et privé et est entièrement conforme à la législation britannique sur la protection des données et la confidentialité.
« Le système est soumis régulièrement à des examens et des tests de sécurité, notamment par des tiers indépendants, pour garantir que la sécurité reste solide et à jour. »
