Dinsdag 26/10/2021

Identiteit voor het grijpen

Ooit was België een lichtbaken in de wereld van de elektronische identiteitsdocumenten. Vandaag hebben we paspoorten op zak waarvan de inhoud vanop afstand gestolen kan worden. Ook met de elektronische identiteitskaarten zijn er ernstige privacyproblemen.

Door Tom Cochez

Volgens professor Stefan Brands is de Belgische elektronische identiteitskaart zelfs "in tal van opzichten de nachtmerrie van de oorspronkelijke ontwerper van de smartcard die bewaarheid wordt". Brands is docent aan de McGill's School of Computer Science en nauw betrokken bij adapID, een R&D-consortium dat geavanceerde toepassingen van elektronische identiteitskaarten onderzoekt.

Eerder deze week lekte een onderzoek van de UCL uit. Onder leiding van professor Jean-Jacques Quisquater toonden UCL-onderzoekers aan dat de eerste generatie elektronische paspoorten, waarvan er ongeveer 700.000 verdeeld werden in België, zo lek als een zeef is. Met een simpel toestelletje kan van een afstand de persoonlijke informatie 'gestolen' worden zonder dat de eigenaar die het paspoort in zijn zak heeft zitten van iets weet. De onderzoekers pleiten ervoor de paspoorten onmiddellijk uit omloop te halen, omdat de deur openstaat voor crimineel misbruik.

Rijksregister

Ook met de elektronische identiteitskaart zijn er problemen. "Die is relatief goed beschermd tegen 'aanvallen' van buitenaf", schrijft Brands op zijn weblog The Identity Corner. "Maar jammer genoeg is ze niet ontworpen met veel oog voor de privacy. In feite is het ontwerp op het vlak van privacy zowat het ergst denkbare."

Het privacyprobleem schuilt in het doorsturen van het rijksregisternummer bij elke elektronische transactie. "De stelling dat de Belgische elektronische identiteitskaart de nachtmerrie is van de ontwerper van de smartcard is een beetje overtrokken", zegt Danny De Cock, onderzoeker aan de KU Leuven, gespecialiseerd in elektronische identiteitskaarten. "Maar er stelt zich wel degelijk een belangrijk privacyprobleem. Wie met zijn elektronische identiteitskaart inlogt op een website stuurt automatisch een certificaat mee dat zijn identiteit bevestigt aan de webserver."

Dat certificaat bevat het rijksregisternummer. "De webserver ontvangt via het rijksregisternummer de exacte leeftijd en het geslacht van de persoon die inlogt op de website. Dat impliceert vanzelfsprekend een schending van de privacy en het opent de deuren voor direct marketing", zegt De Cock. "De oplossing is vrij simpel in technisch opzicht. We hebben de overheid al in 2003 geadviseerd hoe het probleem opgelost kan worden, maar de administratie maalt traag en er is extra infrastructuur nodig om het probleem op te lossen. Men wil het probleem wel aanpakken, maar het is nog niet gebeurd."

Een extra probleem is dat de foto op de elektronische identiteitskaart met de juiste maar vrij dure apparatuur overschreven kan worden. "Men kan er met een laser perfect een bril, een snor of een baard bij graveren zonder dat direct duidelijk is dat de foto aangepast werd", zegt Danny De Cock. "Gelukkig is er ook een klein fotootje, dat men gemakkelijk kan vergelijken met de grotere foto om te zien of er niet mee geknoeid werd. Echt gemakkelijk om een foto te overschrijven zonder bij een controle door de mand te vallen, is het dus niet."

Problematischer is dat de informatie, als de elektronische identiteitskaart overhandigd wordt, door iedereen gewoon 'uitgelezen' kan worden. "Wanneer je bijvoorbeeld je elektronische identiteitskaart afgeeft in de bank bij het openen van een rekening zodat er een kopie van gemaakt kan worden, dan kan die bank de gegevens uitlezen, om de foto te gebruiken bijvoorbeeld. De bank mag dat volgens de wet op de privacy niet zomaar, maar het is erg simpel om het wel te doen. Dat probleem kan verholpen worden door de bank een kopie te geven in plaats van de elektronische identiteitskaart zelf af te geven."

De verklaring voor de problemen met de veiligheid en de privacy van de Belgische elektronische paspoorten en identiteitskaarten ligt op zijn minst deels bij de opmerkelijke voorgeschiedenis van het Belgische elektronische ID-project. De Belgische staat richtte halverwege de jaren tachtig de naamloze vennootschap IDOC op, speciaal met het oog op de productie van identiteitsdocumenten. IDOC werkte samen met belangrijke industriële groepen als Agfa-Gevaert en Barco om een innovatief concept uit te werken omtrent elektronische identiteitskaarten dat ons land mee aan de internationale top zou brengen.

Toen zes jaar geleden de openbare aanbesteding werd uitgeschreven voor wie de nieuwe elektronische identiteitskaart zou mogen maken, waren er twee kandidaten: IDOC en Zetes. Aanvankelijk kon het project via een onderhandelingsprocedure toebedeeld worden aan IDOC, maar een Europese richtlijn maakte tegen die tijd een openbare aanbesteding verplicht. Tot verbazing van IDOC koos de overheid in 2002 voor Zetes. IDOC was op dat moment nochtans al twee jaar klaar met een innovatief concept, dat een chip verwerkte in een PVC-PET-kaart, vergelijkbaar met een bankkaart. Zetes greep naar de 'klassieke' polycarbonaatkaart, die afgewerkt wordt als blanco kaart en vervolgens met een lasergravure beschreven wordt. De keuze voor Zetes werd gemotiveerd als een keuze voor een bewezen concept, terwijl het concept van IDOC innovatief was en bijgevolg geen referenties kon voorleggen. Bij de beslissing zou echter ook een liberale agenda gespeeld hebben om overheidsbedrijven, waaronder IDOC, zo snel mogelijk af te stoten.

Het in de schoot van de overheid opgerichte IDOC bleef na de opmerkelijke keuze voor Zetes onverrichterzake achter: de innovatieve technologie werd niet gebruikt voor de nieuwe elektronische identiteitskaart. De industriële partners van IDOC, zoals Agfa-Gevaert, zaten er verweesd bij. Dat België uiteindelijk een 'buitenlandse' technologie verkoos boven de technologie die mee ontwikkeld werd door vlaggenschip Agfa-Gevaert deed het imago van dat bedrijf in het buitenland overigens weinig deugd.

In plaats van innovatie van eigen bodem, met de kans uit te groeien tot een echte wereldspeler, verkoos de overheid Zetes, dat op zijn beurt de kaarten kocht bij het Finse Setec. Daarmee ging de innovatie deels verloren. "We hebben de overheid herhaaldelijk gewaarschuwd voor de problemen die zich vandaag stellen", zegt Walter Van Beeck, gedelegeerd bestuurder bij IDOC. "Niet alleen voor de identiteitskaarten, ook voor de problemen met de paspoorten. Ook voor het maken van paspoorten had IDOC een zeer vernieuwend concept klaar, maar vandaag worden de paspoorten gepersonaliseerd door een Frans bedrijf."

Volgens Van Beeck is het hele ID-concept uitgedraaid op een grote flop, die de Belgische burger uiteindelijk 250 miljoen euro gekost heeft. "Het project zelf kostte 100 miljoen euro. Daarnaast heeft men in gemeentehuizen gedurende vijf jaar duizend extra mensen ingeschakeld. Dat betekent 125 miljoen euro. Daar komen de extra infrastructuurkosten bovenop."

Meer over

Nu belangrijker dan ooit: steun kwaliteitsjournalistiek.

Neem een abonnement op De Morgen


Op alle artikelen, foto's en video's op demorgen.be rust auteursrecht. Deeplinken kan, maar dan zonder dat onze content in een nieuw frame op uw website verschijnt. Graag enkel de titel van onze website en de titel van het artikel vermelden in de link. Indien u teksten, foto's of video's op een andere manier wenst over te nemen, mail dan naar info@demorgen.be.
DPG Media nv – Mediaplein 1, 2018 Antwerpen – RPR Antwerpen nr. 0432.306.234