Record battu : un E-Passeport cloné en cinq minutes !

Le par  |  5 commentaire(s)
E-Passeport ePasseport photo

Le passeport électronique est décidément loin d'être la panacée en matière de sécurité.

Le passeport électronique est décidément loin d'être la panacée en matière de sécurité. On le savait déjà sensible aux attaques, et l'on apprend désormais qu'il peut livrer tous ses secrets en seulement quelques minutes.


Repousser les limites
E passeport epasseport photoIl y a peu, nous vous contions l'expérience tentée par des chercheurs en sécurité informatique sous l'égide du journal anglais The Guardian, expérience grâce à laquelle il fut démontré que 48 heures suffisaient pour contourner les mesures de chiffrement qui accompagnent les nouveaux E-Passeports (ou ePasseports), ces documents d'identité affublés d'une puce RFID dans laquelle sont stockées toutes sortes d'informations relatives au porteur dudit sésame. D'autres chercheurs oeuvraient dans leur coin, et sont parvenus à faire un double d'un E-Passeport en seulement cinq minutes. Qui dit mieux '

Comme le font remarquer nos confrères de la BBC, avec l'ancien passeport, on savait où on allait : si on l'avait perdu, on s'en rendait compte, et on en demandait un nouveau. L'ancien était annulé, et quiconque se faisait "pincer" avec à un contrôle d'identité risquait de gros ennuis. Avec l'E-Passeport, c'est un peu plus compliqué, puisque le vôtre peut être dans votre poche, et une copie fidèle dans celle d'un parfait étranger, à quelques pas derrière vous, dans la file d'attente, à l'aéroport, et si cela se trouve, il a peut-être copié vos informations sensibles pendant que vous êtiez aux toilettes, quelques minutes plus tôt. Je vous l'accorde, il aura fallu au préalable qu'il se munisse d'un document vierge, et qu'il y fasse apposer les mentions écrites qui vous concernent, mais reconnaissez que si quelqu'un vous en veut, et qu'il dispose de moyens suffisants, il peut vous faire du tort.


Cinq minutes, montre en main
Dans un registre plus réaliste, mais tout aussi inquiétant, il est aisé de faire une copie du passeport électronique de quelqu'un qui voyage peu, et de s'en servir à son insu pour aller perpétrer aux quatre coins du monde toutes sortes de méfaits. C'est en tout cas ce qu'on voulu démontrer deux chercheurs en sécurité informatique résidant en Grande-Bretagne, Lukas Grunwald et Christian Böttger. Les deux hommes se sont procurés, par des moyens qu'ils préfèreraient garder pour eux, un logiciel baptisé Golden Reader Tool, par le biais duquel les forces de l'ordre peuvent lire toutes les informations contenues dans la puce RFID de nos nouveaux passeports électroniques, en ce compris la photo du titulaire du document. Avec l'appoint d'un autre programme, maison celui-là, et baptisé RFdump, Lukas Grunwald est arrivé à copier l'intégralité des données figurant sur la puce de son propre passeport, puis à les inscrire sur une puce RFID vierge. Le tout avec des composants électronique que tout un chacun peut se procurer dans le commerce...

Le passeport cloné aurait pu comporter des défauts qui le rendraient identifiable, mais il n'en est rien ; apparemment, le document falsifié passerait les contrôles d'identité avec mention, si l'on en croit nos deux chercheurs.


Versions officielles
Au Ministère anglais de l'Intérieur, on balaie les remarques d'un revers de main : "On voit difficilement pourquoi quelqu'un pourrait s'intéresser aux informations contenues dans la puce [RFID d'un E-Passeport]. En dehors de la photographie, qui peut être obtenue par d'autres moyens de toute façon, d'éventuels pirates n'aurait accès à aucune information qu'ils ne possèderaient déjà. L'exercice de clonage est donc sans objet, d'autant que les informations stockées sur la puce sont simplement le reflet de ce qui figure en toutes lettres sur le document lui-même. Etre capable de copier ce que comprend un passeport électronique ne signifie pas que l'on soit à même de recréer le document, puis de l'utiliser à des fins inavouables. Les E-Passeports distribués dans le Royaume-Uni sont conçus de manière à empêcher une substitution de puces RFID, ce qui rendrait impossible la fabrication d'un document hybride [NdA : les informations d'une personne sur le passeport d'une autre]. "

Lukas Grunwald, qui consulte pour la firme de sécurité informatique DN-Systems, n'est pas de cet avis. Il rappelle que le vol de données personnelles peut avoir des conséquences graves pour l'individu lui-même, et pas seulement des retombées en terme de sécurité nationale :

"Dans pratiquement tous les pays où ces documents ont été mis en place," indique-t-il, "des experts ont tiré à plusieurs reprises la sonnette d'alarme. Ce système n'est pas sûr, et ce n'est pas une bonne idée de le généraliser de la sorte."

Son confrère chez DN-Systems, Christian Böttger, renchérit : "On a mis en oeuvre le principe des passeports électronique avec trop d'empressement. Le système lui-même possède de nombreuses failles, et les méthodes employées pour le sécuriser manquent de cohérence. On dénombre des vulnérabilités avérées, et des questions qui restent simplement sans réponse. On devrait progresser en terme de sécurité avec un tel système, et ce n'est finalement pas le cas."

L'Union Européenne s'est penchée sur la question, et a mandaté ses propres experts. Au sein d'une structure du nom de FIDIS (pour Future of Identity in the Information Society, Futur de l'Identité dans la Société de l'Information), des chercheurs reconnaissent que les gouvernements européens ont mis la charrue avant les boeufs lors de l'implémentation des E-Passeports, puisque les informations que contiennent ces derniers peuvent être lues à plusieurs mètres de distances, et en toute discrétion. L'un de ces chercheurs émet d'ailleurs cette analogie : "C'est un peu comme écrire votre code secret au dos de votre carte bancaire."

On ne peut être plus clair...

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #146559
Au dernier propos, il suffit a priori de placer le epass dans une couverture magnétiquement isolante.

Peut-on toujours obtenir un passeport à l'ancienne '
Le #146567
Comme d'habitude seuls les malandrins savent se protéger
Le #146582
- on peut transporter son passeport dans un étui en metal
- mais de toute maniere, je suis contre ce type de document d'identité.

Je ne comprends pas comment pour des documents dont on veut limiter le plus possible la duplication et la vitesse de duplication on fait appel à des supports electronique, domaine dans lequel justement, l'information est rapidement, facilement et à moindre cout, duplicable, modifiable et transportable...

allez comprendre...
Le #146586
"On voit difficilement pourquoi quelqu'un pourrait s'intéresser aux informations contenues dans la puce [RFID d'un E-Passeport]."

Ils sont forts niveau mauvaise fois quand même

On essaye de protéger à fond quelque chose, mais comme c'est un peu merdique au final, bah finalement, on voit même pas pourquoi ça serait protégé, c'est fait exprès, ça interesse personne de faire de faux passeports
Le #146610
C'est passeports ont étés demandés (imposés) par les US en invoquant qu'ils allaient être moins vulnérables que les anciens passeports.

Dès le début du projet, certaines personnes étaient contre et avaient avancés ces problèmes de sécurités de la diffusion sans fil des informations. Mais personne n'a voulu les écouter (les US ont tout fait pour).

Maintenant pour la question a quoi sert la diffusion sans fil des infos '... Je sais pas ! Peut-être la traçabilité des déplacements du propriétaire.
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]