“Je hele online identiteit in één app. Wat zou er kunnen mislopen?”

De lancering van Itsme past in de trend van een steeds verdere centralisatie van onze gegevens. Volgens Matthias Dobbelaere-Welvaert is dat niet zonder gevaar. Hij klaagt het gebrek aan transparantie over de technische werking ervan aan. “Als de overheid zich schaart achter een privaat initiatief, dan moet ze ons niet enkel een good news show brengen, maar ook de risico’s bij het gebruik van die app.”

Zes Belgische banken en drie hoofdoperatoren lanceren vandaag een applicatie voor de smartphone, waarmee je jezelf online kan identificeren en op die manier betalingen uitvoeren, contracten officieel ondertekenen, communiceren met de overheid en online bestellingen kan uitvoeren. Het opzet is duidelijk: de wildgroei aan authenticatie aanpakken en alles bundelen in één applicatie.What can go wrong?

Het bedrijf achter de applicatie, hetwelk itsme werd gedoopt, is ‘Belgian Mobile ID’. Dat bedrijf heeft zeven aandeelhouders: Belfius, BNP Paribas Fortis, ING, KBC, Orange, Proximus en Telenet. Het zou moeten optreden als ‘trust service provider‘. Het bedrijf stelt bij monde van haar CEO dat de applicatie werd ontworpen met ‘security als hoofdzaak’, al kan honderd procent veiligheid niet gegarandeerd worden’. Men geeft ook mee dat er amper persoonsgegevens verwerkt zouden worden. Enigszins contradictorisch hiermee is dat itsme vooral een Belgisch antwoord wil bieden op Facebook en Google (hun inlogmodules worden vandaag veelvuldig door externe websites gebruikt). Itsme bevat – voorlopig tenminste – nog geen betalingsfunctionaliteit.

Wanneer ik de app zelf installeerde, gaf het splash screen mij de mogelijkheid de privacy policy na te lezen. Deze policy vond ik niet terug via de website zelf (daar staat een policy rond het gebruik van de site zelf) noch op de landingspagina van de App Store (ook door verwijst men naar de foutieve privacy policy van de website). De Privacy policy van de app zelf is nochtans erg interessant. Vreemd is wel dat dit als afbeelding en niet als platte tekst wordt aangeboden. Het doet vragen rijzen waarom deze policy zo verborgen is en waarom deze niet gewoon in platte tekst wordt aangeboden eerder dan als voor de meeste zoekmachines onleesbare JPEG’s. Waar de CEO hierboven stelt dat er amper persoonsgegevens verwerkt worden (‘enkel het adres bij een online bestelling‘), geeft de policy toch een ander beeld. Hier lezen we dat er vier types van persoonsgegevens worden verwerkt:

1/ Identificatiegegevens: kern identiteitsgegevens, bestaande uit uw volledige naam, geslacht, wettelijk adres, nationaliteit, datum en plaats van geboorte, ID-nummer en e-ID foto (zoals opgeslagen op uw e-ID kaart), contactinformatie (e-mail en GSM nummer), leveringsadres en eventueel de hoedanigheid van de gebruiker (werknemer van een bepaald bedrijf),

2/ Veiligheidsgegevens: details over uw toestel (merk, versie, rooted), het OS, de status van uw inschrijving bij de mobiele operator (niet beperkt tot het IMEI nummer, de SIM kaart (IMSI of ICCID), het land waarin de gebruiker zich bevindt. (!) Bij installatie van de applicatie geeft de gebruiker de toestemming aan de SIM Controller om deze veiligheidsgegevens door te geven aan Belgian Mobile ID.

3/ Transactiegegevens: overzicht van specifieke acties die uitgevoerd worden via de app.

4/ Inschrijvingsgegevens.

Waarvoor de persoonsgegevens gebruikt zullen worden, staat duidelijk aangegeven – al is de omschrijving vaak wat ruim en dus voor juridische interpretatie vatbaar. Men geeft in artikel 3 wel uitdrukkelijk aan de persoonsgegevens niet te gaan verkopen aan derde partijen. De gegevens gaan wel gedeeld worden met de ‘Leden’ van Belgian Mobile ID met inbegrip van de Dienstverleners. Ik hoef u wellicht niet uit te leggen dat dit nogal een rekbaar begrip is. Deze policy kan tenslotte te allen tijde gewijzigd worden middels een ‘opvallende kennisgeving op onze website en/of via de itsme app’.

De Privacy Policy is dus alleszins een stuk voorzichtiger dan het persbericht laat uitschijnen, wat betreft de verwerking van persoonsgegevens. De toekomst zal uitwijzen hoeveel persoonsgegevens (dit is elk gegeven dat kan terugleiden naar een persoon) itsme precies zal verwerken.

Veiligheid

Gevraagd naar een technische informatiefiche op Twitter, bleef het oorverdovend stil. Als de overheid zich schaart achter een privaat initiatief, dan dient er niet enkel een good news show gegeven worden, maar evengoed de technische risico’s bij het gebruik van een applicatie. Het zou dixit Alexander De Croo immers de bedoeling zijn dat dit een oplossing is waar alle Belgen gebruik van kunnen maken. Een technische informatiefiche of een verklaring van de Privacycommissie – die ongetwijfeld onderzoek heeft gevoerd naar dit initiatief – zou helpen om het wankelend vertrouwen van de online burger enigszins te herstellen.

De website van itsme bevat uiteraard informatie over de veiligheid van de applicatie. Het stelt dat de applicatie conform de eIDAS en de nieuwe GDPR werd ontworpen. Er zijn inderdaad meerdere beveiligingsmaatregelen genomen. De authenticatie stoelt op drie unieke idenficatoren: je SIM-kaart, je smartphone (men gaat niet in detail welke identificator er gebruikt zal worden, al zal het wellicht op IMEI werken) en je 5 digit code.

Op zich klinkt dit prima. Maar wat als je je smartphone verliest of als die gestolen wordt? We weten allemaal dat het grootste beveiligingsrisico nog steeds de gebruiker is. Met andere woorden: hoevelen zullen kiezen voor 12345 (wetende dat dit wachtwoord al jaren op nummer 1 staat van de meest gekozen wachtwoorden)? Eens men fysieke controle kan uitoefenen (of virtuele, middels een kraak) over de smartphone dan is de combinatie tussen SIM en smartphone op zich al een stuk minder indrukwekkend, gezien die twee zelden van elkaar gescheiden zullen zijn. De combinatie met de SIM-kaart is wellicht meer dan een leuke gimmick (de smartphone-dief die enkel geïnteresseerd is in je nieuwe iPhone en je SIM-kaart eruit slingert zal dus niet kunnen inloggen via de applicatie), maar feilloos is dit uiteraard ook niet.

Het is bovendien mogelijk de 5 digit code te omzeilen via de vingerafdrukfunctie van de telefoon. Zoals al meermaals gesteld is zo’n vingerafdruk makkelijk te omzeilen. Biometrie geeft geen betere garanties, alleen zijn bij zo’n datadiefstal van biometrie de gevolgen veel ingrijpender.

Of de applicatie voldoende bullet proof is voor crackers is iets wat techneuten op korte termijn moeten uitmaken. Op Twitter maken verschillende technische experts zich ondertussen wel al zorgen, en vragen ze ook naar de bekendmaking van de broncode van de applicatie. Dat zoiets een goede zaak zou zijn, staat buiten kijf. Ook ethische hackers – in een ideaal scenario ingehuurd door Belgian Mobile ID – zouden een enorme meerwaarde kunnen vormen, mits hun conclusies publiek gemaakt en hun zorgen geremedieerd worden.

Rol van de gebruiker

Het is hierboven al kort aangehaald: een bedrijf of aanbieder staat machteloos bij een achteloze gebruiker, los van het aantal veiligheidsmaatregelen dat zij heeft geïmplementeerd. Het meest storend wellicht aan de good news show die er verkocht wordt, is het schrijnend gebrek aan een stevige waarschuwing voor de gebruiker, zowel over de mogelijke risico’s bij een hack, als over de maatregelen die een gebruiker zelf kan nemen om zijn online veiligheid te verhogen.

Bovendien is het zo dat lang niet elke gebruiker het OS van zijn toestel (Android of iOS) nauwgezet update. Zo zou maar liefst 71% van Android toestellen (in dit geval draaiend in de VS) niet de laatste software hebben. Aangezien het OS meegenomen wordt als beveiligingsfactor is dit een niet te onderschatten risico in het verhaal.

Rol van de overheid

Het is vreemd dat de overheid zich zo publiekelijk schaart achter een onderneming die een applicatie lanceert. Zowel Jan Jambon als Alexander De Croo maakten met veel furore op Twitter en in de pers de applicatie bekend. Het is ook zo dat banken en telecomoperatoren private bedrijven zijn die geen relatie met de uitvoerende overheid (zouden mogen) hebben. Bedrijven als Randstad, Doccle, Bolero, Enco en Proximus gebruiken de applicatie vandaag al.

Het doet bij een enigszins achterdochtig mens toch enkele alarmbellen rijzen. Het is mooi dat onze overheid nieuwe initiatieven wil ondersteunen, maar – zoals in het recente verleden toch duidelijk blijkt – is onze uitvoerende en wetgevende macht niet vies van informatieverzameling over haar burgers. De datahonger van onze overheid is erg groot geworden, en men dient zich steeds af te vragen wat het motief is om een privébedrijf zo publiekelijk te ondersteunen. In de marge: dit is bovendien ook wellicht concurrentievervalsend, aangezien er ongetwijfeld andere privé-initiatieven bestaan om online identificatie eenvoudiger te maken. Het zou mooi zijn als de publieke actoren even duiden waarom zij zich scharen achter deze applicatie.

Centralisatie van gegevens

Het is een trend die men niet langer kan negeren: bedrijven en overheid zoeken naar manieren om gegevens te centraliseren. Dit is enigszins noodzakelijk om tegemoet te komen aan de GDPR – de nieuwe privacywetgeving die actief wordt in mei 2018 – maar creëert als pervers effect dat deze centralisatie ook aantrekkelijk is voor identiteitsdieven en -crackers.

Het is immers logisch dat er gevaren verbonden zijn aan de centralisatie van gegevens (wie kan aan welke gegevens, waar en voor hoelang is in veel gevallen nu niet duidelijk), maar er rijzen andere gevaren bij centralisatie van data.

Het is te vroeg voor een definitieve conclusie over de itsme-app. Dat er gevaren verbonden zijn aan een applicatie die je online ziel herbergt, staat buiten kijf. Hoewel het bedrijf absoluut inspanningen heeft geleverd om de gebruiker te informeren en het platform technisch te beveiligen, kan het wellicht nog veel leren van ethische hackers en experts, en vooral transparantie over de broncode en technische werking hoger in het vaandel dragen. Bewustwording rond de risico’s van dergelijke applicatie is onmisbaar. Als de overheid zich met veel tamtam achter een privé-initiatief schaart, dient ze ook haar verantwoordelijkheid op te nemen inzake openbaarheid, bewustwording en veiligheid.