Lilith Wittmann, "influenceuse émeutière" : "Développe des compétences en interne"

Lilith Wittmann se décrit sur Twitter comme une « influenceuse émeutière » et un « bloc noir de la numérisation de l’administration ». Régulièrement, elle s’en prend publiquement aux autorités et aux politiciens. Mais elle ne fait pas que tweeter, elle révèle aussi régulièrement des failles de sécurité : Au printemps, elle a mis en pièces une application de campagne électorale de la CDU, en été le logiciel de vidéoconférence des écoles bavaroises, en automne l’application ID-Wallet du gouvernement fédéral. c’t s’est entretenu avec elle des leçons à tirer de l’affaire du portefeuille d’identité. L’Etat doit enfin développer lui-même un savoir-faire informatique au lieu de confier des projets à des consultants, exige-t-elle. Et au lieu d’utiliser ID Wallet, la politique devrait miser sur le e-permis.

c’t : Madame Wittmann, pourquoi vous intéressez-vous de si près aux projets numériques gouvernementaux ?

Lilith Wittmann : Je m’occupe professionnellement de numérisation depuis de nombreuses années et j’ai construit de nombreux produits passionnants dans le secteur privé. À un moment donné, je me suis demandé pourquoi cela ne fonctionnait pas pour l’État.

c’t : Vous avez démontré, avec un autre chercheur en sécurité, la facilité avec laquelle les pirates pouvaient voler des données de l’application ID Wallet. Comment en est-on arrivé à ce que le gouvernement fédéral publie une application aussi peu sûre ?

Wittmann : ID Wallet est un exemple parlant. Le projet a vu le jour parce qu’Angela Merkel voulait faire de sa dernière année de chancelière l’année de la numérisation. Quand on est Merkel, on se rend alors à son unité numérique à la chancellerie fédérale. Mais il n’y a pas une seule personne issue du monde de l’informatique. On a donc fait venir IBM, plus une petite société de conseil appelée Esatus. Ils ont rapidement construit une application. Mais ni IBM, ni Esatus, ni la chancellerie fédérale n’avaient de compétences dans la manière de sécuriser les données. Peu avant les élections, la décision politique a été prise de publier l’application pour que la CDU soit bien numérique. Et puis il ne nous a pas fallu 48 heures pour la démonter complètement.

c’t : Quelles leçons le nouveau gouvernement fédéral devrait-il tirer de cette affaire ?

Wittmann : Pour moi, le point essentiel est le suivant : l’administration a relativement peu appris de cette débâcle, notamment sur le plan technique. Car le projet était entièrement externalisé. Il n’y avait que deux personnes dans l’administration qui le pilotaient.

Mon principal appel au nouveau gouvernement fédéral est donc le suivant : développez enfin des compétences en interne ! L’externalisation des projets numériques doit cesser. Une carte d’identité numérique n’est pas un projet que l’on confie à une agence et c’est fini. Il s’agit d’une infrastructure de base dont l’État doit s’occuper.

c’t : Un argument typique des politiques en faveur de l’externalisation de projets informatiques à des consultants est que le besoin est temporaire. N’y a-t-il pas là aussi quelque chose de vrai ?

Wittmann : C’est une connerie totale. Les projets numériques sont toujours des produits. On en construit une première version et on continue à travailler dessus de manière itérative. L’infrastructure de base n’est jamais terminée. Les rails de chemin de fer ne sont jamais terminés non plus.

c’t : Malgré tout, il y a parfois des pics de travail, par exemple lorsqu’il faut programmer une seule fois un algorithme pour la retraite de base.

Wittmann : Oui, on a parfois des pics de travail, surtout au début. On peut alors faire venir 100 personnes pour six ou douze mois. Mais il faut aussi qu’il y ait 100 personnes en interne. Si les 100 personnes externes repartent, il ne faut pas que la compétence disparaisse.

c’t : L’application d’alerte Corona a été développée par SAP et Telekom. Le chemin serait encore assez long avant que le ministère fédéral de la Santé ne parvienne à réaliser seul un tel projet, n’est-ce pas ?

Wittmann : Si l’on avait dit au début de la pandémie : nous cherchons 200 développeurs permanents, nous payons ce que le marché demande et vous pouvez aider à sauver l’Allemagne de Corona, les gens auraient pris la porte du ministère. Mais j’avoue que cela aurait probablement pris trois mois de plus, à cause de la formation initiale.

c’t : Dans quelle mesure est-il réaliste que l’État verse aux développeurs un salaire conforme au marché ?

Wittmann : En fait, de nombreuses administrations ne classent leurs développeurs qu’au niveau moyen ou supérieur. C’est trop éloigné du niveau du marché. Mais on peut aussi classer les développeurs dans la catégorie supérieure. Le barème prévoit alors environ 75 000 euros par an. Ce n’est pas le top, mais c’est bien. Certaines administrations font déjà comme ça. Et à titre de comparaison, un développeur de logiciels externe coûte entre 15.000 et 25.000 euros par mois.

c’t : Sur Twitter, vous formulez souvent vos critiques de manière assez virulente. Vous avez par exemple reproché à la nouvelle ministre de l’Intérieur Nancy Faeser de s’être présentée à un congrès « sur les genoux » de certaines sociétés de conseil. Que vouliez-vous dire par là ?

Wittmann : Exactement comme je l’ai dit. Il faut voir qui a organisé la conférence : une grande société de conseil. Il y avait plus de consultants que de personnes de l’administration fédérale, sur les scènes, dans le public.

c’t : Mais il y a aussi le reproche que le copinage règne et que des missions sont attribuées.

Wittmann : Je ne veux pas dire qu’il y a de l’argent qui circule. Mais il y a des relations très étroites entre les sociétés de conseil et l’administration fédérale. Si je connais très bien quelqu’un d’IBM, je demanderai aussi à IBM pour le prochain projet. Bien sûr, il y a un appel d’offres. Mais celui-ci est souvent aussi rédigé par une entreprise de conseil. Pas par la société qui gagne, mais par l’une des autres.

c’t : Vous vous qualifiez d' »influenceuse de l’émeute. Pensez-vous que vous obtiendrez davantage de résultats en utilisant des formules tranchantes ?

Wittmann : Je pense que cela peut être très sain. La numérisation de l’administration est une bulle de gens qui s’affirment toute la journée. Il faut parfois dire, hé les gars, ce n’est pas possible, tout ça c’est de la merde. Chez moi, c’est rarement infondé, et je peux l’expliquer. Je suis avant tout une activiste, c’est pourquoi je trouve légitime de formuler des choses tranchantes.

c’t : Après la débâcle de l’ID Wallet, la question se pose également de savoir sur quelle technique d’identité numérique le gouvernement fédéral devrait miser. Sur l’approche de la Self-Sovereign Identity (SSI), qui a échoué dès le premier essai avec ID Wallet ? Ou sur le e-pero, que presque personne n’utilise depuis dix ans ?

Wittmann : Toute cette histoire de SSI est une bêtise fondamentale. Je ne peux pas posséder une identité étatique. Par définition, l’État a besoin d’un certain contrôle sur celle-ci. De plus, la SSI implique l’idée que les citoyens partagent leur identité complète à volonté. Si je m’identifie par exemple auprès d’une boutique en ligne, celle-ci reçoit la carte d’identité signée numériquement et peut la stocker. S’il y a ensuite une fuite de données, il est garanti que des données authentiques, vérifiées par l’État, s’écoulent. Nous aurons alors un jour un livre ouvert qui montrera qui vit en Allemagne, avec toutes les données. Je trouve cela dangereux.

c’t : Et le e-pero ?

Wittmann : Je trouve le modèle du E-Perso à peu près correct. Il a été conservé pendant dix ans et aucune donnée d’identification signée numériquement n’est transmise à des tiers. Si des données s’échappent, c’est aussi grave. Mais il est impossible de prouver qu’elles sont authentiques. De plus, le e-pero a l’avantage d’avoir sa propre puce. Je suis un grand fan de la mise en œuvre de la cryptographie dans le matériel. En général, c’est hors ligne, personne ne peut y accéder. Quand je dois m’identifier, je sors le truc de ma poche, je le mets brièvement sur mon téléphone portable et c’est tout.

c’t : Le gouvernement fédéral veut intégrer le e-pero dans les smartphones. Les données de la carte d’identité doivent être enregistrées dans une puce de sécurité spéciale. Qu’en pensez-vous ?

Wittmann : Je ne trouve pas cela faux en soi, on peut le faire. Mais je pense que peu de fabricants de téléphones portables le soutiendront. Si l’on considère ce que ce projet a coûté jusqu’à présent, il serait nettement plus judicieux que le gouvernement fédéral rende gratuit pour les entreprises l’intégration de l’e-permis dans leurs services en ligne. Le e-permis aurait alors un avantage sur le marché : davantage d’entreprises l’implémenteraient et davantage de citoyens l’utiliseraient. Nous devrions miser sur cet effet de plateforme au lieu de réinventer constamment les identités numériques.

c’t : Nous devrons alors continuer à lire la carte d’identité de manière compliquée avec le téléphone portable. Pensez-vous vraiment que le e-permis va percer de cette manière ?

Wittmann : L’effort est à peu près justifiable, pour ce que l’on est en train de faire. Il faut toujours faire prendre conscience aux gens : Hé, tu es en train de montrer ta carte d’identité. Je ne veux pas rendre les choses aussi simples que possible. Nous ne devrions pas nous retrouver dans un monde où l’on montre sa carte d’identité à chaque fois que l’on se connecte à Internet. Car il y aura toujours des fuites de données.

c’t : Certains pays utilisent une solution de carte d’identité centralisée. Les données d’identification ne sont pas dans les mains de l’utilisateur comme c’est le cas avec le e-perso, mais sur un serveur. Comment voyez-vous de tels systèmes ?

Wittmann : Il y a maintenant un cas en Ukraine. Elle a un tel système central. C’est vraiment convivial, bien conçu et bien fait. Mais maintenant, il y a aussi 20 millions de données d’identité sur Internet. Ils ont en effet subi une fuite de données. C’est ma réponse à cette question.

Dans la vidéo, vous pouvez voir l’interview dans son intégralité.

Il y a des zones WLAN mortes dans votre ménage ? Alors vous devriez consulter le dernier c’t. Vous y trouverez une foule de conseils sur le réseau sans fil. En outre, nous avons examiné ce que valent les smartphones d’occasion. Nous nous penchons sur les tendances de l’année, vous montrons comment créer des feuilles de calcul en un tour de main et révélons un scandale de données. Tout cela et bien plus encore dans c’t 4/22.

c’t révèle la situation : Fuite de données de la ville de Lübeck
Le haut débit dans toute la maison
Smartphones d’occasion du revendeur
Tendances 2022 : sortir de la crise grâce à l’informatique ?
Créer et partager des fiches de travail
TikTok : Algorithmes modèle d’entreprise
Linux sur le PC optimal 2022
c’t 4/2022 à télécharger

Lilith Wittmann, « influenceuse émeutière » : « Développe des compétences en interne »

Plus d'articles

L’intelligence artificielle fait des banques les moteurs du changement

Les jumeaux numériques en tant que catalyseur de transformation des modèles d’affaires

Que signifie ChatGPT pour l’interface client des banques de demain?

Intelligence Artificielle dans le Financement de la Construction

Comment la recherche de fonds peut relier les banques et les petites et moyennes entreprises.

Comment les écosystèmes numériques révolutionnent la banque d’affaires

Les plus lues

Encodage des petits-escroqueries : les criminels essaient maintenant aussi via WhatsApp

iOS: 12 applications gratuites ou réduites pour iPhone et iPad

WhatsApp : arnaque actuelle par le message de code

Sujet du moment