Quel avenir pour les programmes registered-traveler ?

Aussi regrettable que soit une faillite pour les dirigeants et les employés d’une compagnie, la crise économique aura eu au moins un effet positif en matière de sûreté de l’aviation civile : elle a contraint la société Verified Identity Pass à fermer ses portes cette semaine, emportant dans son sillage le programme CLEAR. Derrière cette dénomination, se trouvait le chef de file des programmes registered traveler, dédiés au passage accéléré au contrôle pré-embarquement. Sur 21 grands aéroports américains qui proposaient de telles facilités, CLEAR trustait 18 sites.

C’est un coup dur pour les différents programmes du genre, lancés  il y a quelques années sous la férule de l’administration américaine, notamment à la Transportation Security Administration (TSA).

Qu’est-ce donc qu’un programme registered traveler ? Imaginons que vous êtes un homme d’affaires et prenez l’avion 50 fois par an. Il peut vous être pénible de devoir attendre dans la file pour passer au portique et au contrôle à rayons X avant d’entrer en zone stérile. La TSA a donc introduit dans de nombreux aéroports américains le judicieux système Black Diamond qui consiste à répartir le flot de passagers selon trois files différentes, selon que vous êtes plus ou moins familiarisé avec les processus de contrôle pré-embarquement.

Mais cela ne suffit encore pas au businessman que vous êtes, vous qui ne pouvez accepter d’attendre dix minutes dans le même espace que la plèbe. Aussi, contre une somme forfaitaire (entre 130 et 200 $ par an), vous souscrivez à un programme registered traveler et acquérez alors le droit de passer au contrôle pré-embarquement en empruntant une ligne particulière dans laquelle vous subirez un contrôle allégé. Vous n’aurez pas à enlever vos chaussures ni à ôter votre veste avant de passer dans le portique de détection métallique.

Alors évidemment, au premier abord, on aperçoit LA faille de sécurité : un terroriste n’aurait qu’à payer 200 $ et passer ainsi plus facilement une arme ou une bombe au contrôle pré-embarquement. Et c’est vrai qu’un tel programme crée une ligne de contrôle de basse sécurité. Mais attention : pour en bénéficier, vous ne devez pas représenter une menace pour la sûreté de l’aviation civile. Vous devez donc préalablement passer au travers de vérifications sur toute une série de listes noires tenues par diverses administrations publiques. Bref, si vous n’êtes répertorié nulle part comme terroriste ou membre du crime organisé, le fournisseur va enregistrer des scans de vos iris et de vos empreintes digitales. Enfin, vous recevrez une carte qui vous permettra de passer illico presto les portiques.

Dans ces conditions, on peut estimer qu’un programme registered-traveler est une bonne idée. À un détail près : c’est une très mauvaise idée.

En effet, de tels programmes reposent sur deux postulats complètement biaisés :

1 – Tous les terroristes du monde sont répertoriés dans les bases de données des services spécialisés de l’État. Or, rien n’est plus faux. En effet, les attentats terroristes sont souvent menés par des individus qui ne se sont pas encore fait remarqués par les agences de renseignement.

2 – Les cartes registered traveler sont très sécurisées, ce qui empêche une personne malintentionnée d’usurper l’identité d’un client. Mais ces cartes ne font qu’une chose : elles assurent les agents de contrôle que le porteur de la carte est bien son titulaire légitime. En aucune manière, elles ne protègent contre des personnes malintentionnées qui obtiennent légitimement une carte registered traveler.

De fait, ces deux postulats peuvent être très aisément pris en défaut, ce qui compromet totalement la sécurité alléguée des programmes registered traveler.

Imaginons ainsi que vous êtes à la tête d’une cellule terroriste qui compte 10 membres. Vous êtes sur le point d’envoyer un commando de 3 personnes détourner un avion de ligne au départ des États-Unis. Afin de minimiser les risques de détection des armes portées par les membres de ce groupe au contrôle pré-embarquement, vous optez pour une voie d’accès de basse sécurité : un programme registered traveler. Chacun des dix membres de votre cellule va donc envoyer une demande de carte à un fournisseur du service. À l’issue du processus de vérification, la moitié de vos hommes est refusée. La question à 10 000 $ est la suivante : dans quelle moitié de votre effectif allez-vous choisir les trois hommes du commando ?

Il ne leur reste plus qu’à cacher des couteaux en céramique dans les semelles de leurs chaussures ou glisser une arme à feu en matériau composite dans la poche intérieure de leur veste. Dans une ligne de contrôle registered traveler, rien de tout cela ne passera aux rayons X ni ne sera repéré le portique de détection métallique.

On peut penser que la disparition de la société Verified Identity Pass et de son programme CLEAR va mettre bon ordre à la situation. C’est oublier un peu vite que d’autres compagnies proposent des programmes registered traveler aux États-Unis. Il existe par ailleurs les similaires initiatives dites Trusted Traveler, sous la férule des Douanes américaines.

Par ailleurs, comme nous l’avons commenté récemment, la Chambre des Représentants a voté une motion qui vise à maintenir le seul portique à détection métallique au contrôle primaire. Cela entérine la faille de sécurité des programmes registered traveler.

Toutefois, on n’est pas à un paradoxe près dans ce dossier. Ainsi, le sous-comité pour la sécurité nationale de cette même chambre basse du Congrès vient de déclarer que les programmes registered traveler n’offrent aucun bénéfice en matière de sécurité.

Doit-on s’attendre pour autant à ce que la TSA décide d’abandonner tous les programmes du genre ? C’est hautement improbable. Il suffit pour s’en convaincre de lire la réponse de Gale Rossides, administratrice de la TSA, aux parlementaires critiques : «Future developments in biometric identification technology could help the situation.» Bref, s’il faut en croire la chef par intérim de la TSA, les 3 membres de votre commando terroriste obtiendront bientôt des cartes de membre encore plus sécurisées… Quelle belle avancée.

Dernier espoir : l’évaluation des programmes registered traveler menée actuellement par les services de Janet Napolitano, la nouvelle Secrétaire à la sécurité nationale. La dame nous a déjà montré qu’elle n’était pas sourde à la voix de la raison. Alors, wait and see.

Cet article a également été publié sur @éroNote.

__________________________________

Complément d’information – 17 février 2010

Un récent article de presse vient enfoncer le clou encore plus profondément, en ce qui concerne les programmes registered traveler au Canada, notamment les initiatives Nexus et FAST. En effet, les agents administratifs des Douanes seraient priés de ne pas tenir compte des renseignements faisant état d’un possible problème de sécurité concernant un postulant.

La raison est simple : la peur d’une condamnation de l’ASFC par une cour. En effet, un postulant auquel on aurait refusé sa carte pourrait attaquer les services frontaliers en justice. L’ASFC serait alors contrainte de se tourner vers le fournisseur de l’information confidentielle en cause, le SCRS. Lequel serait alors traîné en cour pour qu’il y révèle la source de cette information. Or, c’est là un exercice auquel l’agence de renseignement refuse de se prêter.

Rappelons que cette réticence du SCRS à citer ses sources a déjà conduit à l’élimination virtuelle du certificat de sécurité.

À propos de Arnaud Palisson

Arnaud Palisson, Ph.D. fut pendant plus de 10 ans officier de police et analyste du renseignement au Ministère de l'intérieur, à Paris (France). Installé à Montréal (Canada) depuis 2005, il y a travaillé dans le renseignement policier puis en sureté de l'aviation civile. Il se spécialise aujourd'hui dans la sécurité de l'information et la protection des renseignements personnels.