Carte d'identité belge

	Carte d'identité
; Recto, version germanophone émise après 2020.	; Verso, version germanophone émise après 2020.
Nom local	(nl) Identiteitskaart; (fr) carte d’identité; (de) Personalausweis
Type	Carte d'identité
Utilité	Identification en Belgique, accès aux services de soin et de santé et déplacements en EEE.
Délivré par	Belgique
Dernière version	2021
Biométrique	Oui
Durée de validité	10 ans
Zone de validité	Belgique; Union européenne
	modifier

En Belgique, la carte d'identité (en néerlandais : Identiteitskaart ; en allemand : Personalausweis) est une carte à puce de même format qu'une carte de paiement. Elle est disponible en Belgique depuis 2002. En 2006, une carte du même type a été instaurée pour les enfants de moins de 12 ans : la Kids-ID.

Ces cartes sont conformes à la norme ISO 7816.

Elle correspond à une carte nationale d'identité au sens du règlement (UE) 2019/1157 (en allemand : nationaler Personalausweis en néerlandais : nationale identiteitskaart).

Contenu imprimé et électronique[modifier | modifier le code]

Données imprimées sur la carte[modifier | modifier le code]

Photo
Éventuel titre de noblesse
Nom de famille
Deux premiers prénoms
Première lettre du troisième prénom
Sexe
Nationalité
Date de naissance
Signature
Période de validité
Numéro de carte
Numéro au registre national
Lieu de création de la carte et signature de celui qui a délivré la carte

Données intégrées à la puce[modifier | modifier le code]

Un API permet d'accéder à des données brutes et d'effectuer des opérations cryptographiques utilisant les clés privées contenues dans la carte^[1].

L'application eid-viewer permet d'afficher et de télécharger les données électroniques publiques de la carte et modifier le code PIN^[2]. Les clés privées (et le code PIN) ne sont bien sûr, pas accessibles.

Les données brutes comprennent les certificats contenant les clés publiques signées par l'autorité de certification et des données à usage courant^[3]; elles ne font l'objet d'aucun traitement par le logiciel embarqué de la carte. Les données brutes sont présentes sous forme de fichiers en format TLV traduisant une structure décrite en ASN.1.

Données cryptographiques :

Trois certificats de cryptographie asymétrique^[4] :
- un premier valable légalement en tant que signature électronique ;
- un deuxième qui sert à l'authentification de la carte en tant que telle auprès du gouvernement belge ;
- un troisième, pour les signatures de non-répudiation.
Le tout est encadré par une infrastructure à clés publiques (Public key infrastructure, PKI) du type X.509. La structure de répertoires de l'application BELPIC répond au standard PKCS#15 v1.1.

Données d'usage courant, des mentions imposées par la Loi :

les nom et prénoms ;
le lieu et la date de naissance ;
le sexe ;
la nationalité ;
la résidence principale.

La carte contient également une photographie d'identité sommaire au format JPEG. À partir de 2021, la carte contient également des empreintes digitales (qui ne sont accessibles que par l'Autorité).

Versions[modifier | modifier le code]

Belpic v 1.7

Interface de programmation[modifier | modifier le code]

L'interface de programmation (API) permet de lire le contenu électronique de la carte et de signer un hachage avec une des deux clés privée du porteur (authentification et non-répudiation) suivant plusieurs algorithmes (MD5, SHA-1, SHA256 (recommandé)). La signature résultante fait 256 octets. On peut vérifier sa validité au moyen des certificats contenant les clés publiques. Cette interface est utilisée par les lecteurs de cartes pour les opérations courantes (identification, signatures, changements de PIN) mais aussi pour les modifications d'adresses par l'autorité publique. La signature requiert l'introduction du code PIN, une fois pour toute pour l'identification et à chaque fois juste avant l'opération pour la signature de documents ^[5].

Fichiers[modifier | modifier le code]

Fichiers PKCS#15[modifier | modifier le code]

Ces fichiers décrivent la structure du contenu de la carte.

Cette section est vide, insuffisamment détaillée ou incomplète. Votre aide est la bienvenue ! Comment faire ?

ODF (DF00/5031): Object Directory File
TokenInfo (DF00/5032): informations de base sur la carte
AODF (DF00/5034): Authentification Object Directory File
PrKDF (DF00/5035): Private Key Directory File
PuKDF (): Public Key Directory File
CDF (DF00/5037): Certificate Directory File

Fichiers identitaires[modifier | modifier le code]

Les fichiers identitaires se trouvent dans le répertoire DF01 et sont lisibles par tous^[6]. Sauf pour le fichier 'Preference', l'utilisateur ne peut les modifier. L'administration (CA, rôle 7) peut modifier l'adresse et sa signature.

Les fichiers identitaires proprement dits sont au nombre de trois : les données d'identité immuables, l'adresse (mutable), et la photo.

ID#RN (DF01/4031): contient 18 attributs (relativement) immuables comme le numéro national, la date et le lieu de naissance, le nom, le prénom, le sexe,... Ce fichier contient également un hachage du contenu du fichier ID#Photo de manière que sa signature permette de vérifier également l'intégrité de la photo. Ce fichier est au format TLV (tag (étiquette), longueur, valeur (la plupart du temps en ASCII/UTF-8, plus rarement en binaire))
ID#Address (DF01/4033): contient l'adresse. Il est constitué de 4 champs également encodés en TLV : version (binaire), rue et numéro, code postal, commune.
ID#Photo (DF01/4035): un fichier image de 140x200 pixels avec 8 niveaux de gris au format JPEG

Leur intégrité est validée par deux fichiers contenant leur signature par le Registre National (sic). Elles sont du type SHA-1, PKCS#1 v1.5 RSA.

SGN#ID (DF01/4032): la signature du fichier ID#RN (qui valide également la photo)
SNG#Address (DF01/4034): la signature du fichier ID#Address

L'autorité ayant effectué la signature est identifiée par un hachage de sa clé publique.

PuK#7 (DF01/4038): un hachage SHA-1 de la clé publique du CA (20 octets).

Un dernier fichier sans attribution précise complète les fichiers identitaires.

Preference (DF01/4037): un fichier inutilisé et en voie d'abandon au format .ini de Windows où l'utilisateur peut mettre ce qu'il veut.

Certificats[modifier | modifier le code]

Les certificats présents sur la carte d'identité sont au format DER. L'infrastructure à clés publiques (PKI) émane de Certipost SA dont la société mère est bpost ^[7] '^[8].

Cert#2 (DF00/5038): certificat contenant la clé publique d'authentification du porteur signé par 'Citizen CA'.
Cert#3 (DF00/5039): certificat contenant la clé publique de non-répudiation servant à la signature de documents, signé par 'Citizen CA'.
Cert#4 (DF00/503A): certificat contenant la clé publique de 'Citizen CA' signé par 'Belgium Root CA4'.
Cert#6 (DF00/503B): certificat contenant le clé publique de 'Belgium Root CA4' signé par 'Belgium Root CA4' (?).
Cert#8 (DF00/503C): certificat contenant la clé publique du Registre national (RRN), signé par 'Belgium Root CA4'.

Belpic v 1.8 (à faire)

Cette section est vide, insuffisamment détaillée ou incomplète. Votre aide est la bienvenue ! Comment faire ?

Disponibilité[modifier | modifier le code]

À partir de 2020, les nouvelles cartes sont au format européen, avec la puce électronique au verso.

Toutes les cartes distribuées depuis 2004 sont électroniques. Tous les Belges ont depuis fin 2009 une carte d'identité électronique, les anciennes cartes plastifiées étant remplacées par des cartes d'identité électroniques.

À partir de 2020, la carte intègre deux empreintes digitales et est au nouveau format européen, en accord avec le règlement européen^[9]^,^[10]. Elle est produite par la société belge Zetes, spécialiste de l'identification des personnes^[11].

Protection de la vie privée : un enjeu citoyen[modifier | modifier le code]

La mise à disposition des données d'identification personnelles au citoyen via une carte à puce — qui peut être lue directement par un ordinateur — entraîne un nombre de problèmes potentiels liés à la protection de la vie privée. Ces limites diffèrent selon les pays, citons :

L'accès au contenu de la puce peut ne pas être protégé par un code. Dès qu'une carte est insérée dans un lecteur de carte, le lecteur peut lire le contenu de la carte sans qu'aucune action de l'utilisateur ne soit nécessaire. Les dérives de ce systèmes sont par exemple la possibilité pour un logiciel espion d'intercepter directement les données présentes sur la carte, y compris le nom, l'adresse, la photo, le numéro d'identification, etc.
Si un programme tiers requiert la carte d'identité (un programme de messagerie instantanée par exemple qui veut vérifier l'âge de l'utilisateur), il n'existe aucune protection ou sécurité qui assure que l'âge est la seule donnée récoltée par le logiciel.
Pour l'exécution de certaines opérations (celles qui requièrent l'usage des certificats RSA, comme la signature électronique d’un document), il est nécessaire d’insérer un code (appelé code PIN, initialement composé de quatre chiffres). Si le lecteur de carte ne dispose pas de clavier numérique dédié alors on utilise le clavier de l'ordinateur. Par ce fait, on ouvre la possibilité qu'un logiciel espion intercepte le code d'authentification du citoyen.
Il existe une possibilité d'utiliser les certificats d'authentification pour envoyer des courriels avec un logiciel de courrier électronique. Les courriels sont alors enrichis d'un certificat d'authentification qui sont transmis de la carte vers le logiciel de courrier (preuve qu'il est bel et bien envoyé par quelqu'un d'authentifié). Toutefois, la partie lisible du certificat peut contenir des informations sensibles que l'on ne souhaiterait pas diffuser.
En Belgique, la Ligue des droits de l'homme a réagi avec un rapport détaillé. Ce rapport d'une vingtaine de pages souligne : l'exigence du principe de précaution, le flou de son utilisation, les risques de dérives (risques d'exclusion, confusion des rôles publics et privés, banalisation de la carte d'identité, augmentation de la docilité citoyenne, parallèle avec les risques du vote électronique…), privatisation d'un service public, manque de transparence indispensable à une démocratie, cloisonnement des données non maîtrisée, positionnement de l'État en tant que demandeur par rapport au secteur privé, système piratable^[12], absence d'évaluation sérieuse^[13].

Notes et références[modifier | modifier le code]

↑ Ces clés privées ne sont pas accessibles à l'extérieur de la carte; elles ne peuvent servir qu'à des calculs à l'intérieur de la carte après vérification du code PIN.
↑ « eID Viewer - eID software »
↑ [PDF] « Belgian Electronic Identity Card content (v5.4) », sur github.com/Fedict
↑ La version Belpic-V1.7 (2014-2021) utilise le chiffrement RSA (2048/1024); la version Belpic-V1.8 (2021--...) utilise de la cryptographie sur les courbes elliptiques
Voir « eid-mw/doc/sdk/documentation/Readme.md », sur github.com/Fedict
↑ Ce qui n'a pas vraiment de sens quand on effectue ces opérations sur un ordinateur individuel qui a tout le loisir de mémoriser le code et de signer une masse de documents à l'insu du porteur.
↑ Quand la carte d'identité sert comme carte de fidélité, titre de transport ou pour l'inscription d'une garantie, le commerçant ou l'opérateur peut enregistrer votre photo, votre adresse, votre date de naissance, etc...
↑ « Certipost - Certificats digitaux »
↑ « Certipost, a bpost company »
↑ (en) « New Belgian eID 'first in the world' with extra protection against forgery », sur The Brussels Times (en), 15 janvier 2020 (consulté le 11 mars 2020).
↑ Règlement (UE) 2019/1157 du Parlement européen et du Conseil du 20 juin 2019 relatif au renforcement de la sécurité des cartes d'identité des citoyens de l'Union et des documents de séjour délivrés aux citoyens de l'Union et aux membres de leur famille exerçant leur droit à la libre circulation (Texte présentant de l'intérêt pour l'EEE.), 12 juillet 2019 (lire en ligne).
↑ Sibylle Dechamps, « Zetes a démarré la production de la nouvelle carte d’identité électronique belge », sur Agoria, 28 janvier 2020 (consulté le 2 mars 2022)
↑ « Breaking News, World News & Multimedia », sur nytimes.com (consulté le 24 août 2020).
↑ « Carte d'identité électronique : penser le progrès au lieu de le subir… », sur Bienvenue sur le site de la Ligue des droits humains, 6 janvier 2008 (consulté le 17 janvier 2022).

Liens externes[modifier | modifier le code]

(en) [PDF] Danny De Cock, « Belgian eID cards presentation - Crypto Technicalities », sur kuleuven.ac.be

[1] Ces clés privées ne sont pas accessibles à l'extérieur de la carte; elles ne peuvent servir qu'à des calculs à l'intérieur de la carte après vérification du code PIN.

[2] « eID Viewer - eID software »

[3] [PDF] « Belgian Electronic Identity Card content (v5.4) », sur github.com/Fedict

[4] La version Belpic-V1.7 (2014-2021) utilise le chiffrement RSA (2048/1024); la version Belpic-V1.8 (2021--...) utilise de la cryptographie sur les courbes elliptiques
Voir « eid-mw/doc/sdk/documentation/Readme.md », sur github.com/Fedict

[5] Ce qui n'a pas vraiment de sens quand on effectue ces opérations sur un ordinateur individuel qui a tout le loisir de mémoriser le code et de signer une masse de documents à l'insu du porteur.

[6] Quand la carte d'identité sert comme carte de fidélité, titre de transport ou pour l'inscription d'une garantie, le commerçant ou l'opérateur peut enregistrer votre photo, votre adresse, votre date de naissance, etc...

[7] « Certipost - Certificats digitaux »

[8] « Certipost, a bpost company »

[9] (en) « New Belgian eID 'first in the world' with extra protection against forgery », sur The Brussels Times (en), 15 janvier 2020 (consulté le 11 mars 2020).

[10] Règlement (UE) 2019/1157 du Parlement européen et du Conseil du 20 juin 2019 relatif au renforcement de la sécurité des cartes d'identité des citoyens de l'Union et des documents de séjour délivrés aux citoyens de l'Union et aux membres de leur famille exerçant leur droit à la libre circulation (Texte présentant de l'intérêt pour l'EEE.), 12 juillet 2019 (lire en ligne).

[11] Sibylle Dechamps, « Zetes a démarré la production de la nouvelle carte d’identité électronique belge », sur Agoria, 28 janvier 2020 (consulté le 2 mars 2022)

[12] « Breaking News, World News & Multimedia », sur nytimes.com (consulté le 24 août 2020).

[13] « Carte d'identité électronique : penser le progrès au lieu de le subir… », sur Bienvenue sur le site de la Ligue des droits humains, 6 janvier 2008 (consulté le 17 janvier 2022).

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

v · m Cartes d'identité
Afrique	Afrique du Sud Algérie Angola Bénin Botswana Burkina Faso Burundi Cameroun Cap-Vert Centrafrique Comores République du Congo République démocratique du Congo Côte d'Ivoire Djibouti Égypte Érythrée Eswatini Éthiopie Gabon Gambie Ghana Guinée Guinée-Bissau Guinée équatoriale Kenya Lesotho Liberia Libye Madagascar Malawi Mali Mauritanie Maurice Maroc Mozambique Namibie Niger Nigeria Ouganda Rwanda Sao Tomé-et-Principe Sénégal Seychelles Sierra Leone Somalie Soudan Soudan du Sud Tanzanie Tchad Togo Tunisie Zambie Zimbabwe
Amérique	Antigua-et-Barbuda Argentine Bahamas Barbade Belize Bolivie Brésil Canada Chili Colombie Costa Rica Cuba République dominicaine Dominique Équateur États-Unis Grenade Guatemala Guyana Haïti Honduras Jamaïque Mexique Nicaragua Panama Paraguay Pérou Saint-Christophe-et-Niévès Saint-Vincent-et-les-Grenadines Sainte-Lucie Salvador Suriname Trinité-et-Tobago Uruguay Venezuela
Asie	Afghanistan Arabie saoudite Arménie Azerbaïdjan Bahreïn Bangladesh Bhoutan Birmanie Brunei Cambodge Chine Chypre Corée du Nord Corée du Sud Émirats arabes unis Géorgie Inde Indonésie Irak Iran Israël Japon Jordanie Kazakhstan Kirghizistan Koweït Laos Liban Malaisie Maldives Mongolie Népal Oman Ouzbékistan Pakistan Philippines Qatar Russie Singapour Sri Lanka Syrie Tadjikistan Thaïlande Timor oriental Turkménistan Turquie Viêt Nam Yémen
Europe	Albanie Allemagne Andorre Arménie Autriche Azerbaïdjan Belgique Biélorussie Bosnie-Herzégovine Bulgarie Chypre Croatie Danemark Espagne Estonie Finlande France Géorgie Grèce Hongrie Irlande Islande Italie Kazakhstan Lettonie Liechtenstein Lituanie Luxembourg Macédoine du Nord Malte Moldavie Monaco Monténégro Norvège Pays-Bas Pologne Portugal Roumanie Royaume-Uni Russie Saint-Marin Serbie Slovaquie Slovénie Suède Suisse République tchèque Turquie Ukraine Vatican
Océanie	Australie Fidji Salomon Kiribati Îles Marshall Indonésie Micronésie Nauru Nouvelle-Zélande Palaos Papouasie-Nouvelle-Guinée Samoa Timor oriental Tonga Tuvalu Vanuatu
États non reconnus internationalement	Abkhazie Chypre du Nord Haut-Karabagh Kosovo Ossétie du Sud République arabe sahraouie démocratique Somaliland Taïwan Transnistrie