Puces rfid Adam Laurie, consultant en sécurité dans les domaines de la RFID et du Bluetooth, a réalisé une expérimentation de détournement d'information à partir d'un passeport biométrique produit par le gouvernement anglais, sans le toucher ni le sortir de son emballage, rendant le vol de données totalement indétectable.

Ce type de passeport est proposé depuis l'année dernière et sa puce RFID contient des données personnelles identifiant son porteur. Celles-ci sont représentées par les mêmes informations que celles imprimées sur la version papier et par une photographie.

Des débats publics continuent de faire rage autour des passeports biométriques dans la mesure où la sécurité des données qu'ils sont censés détenir est souvent considérée comme insuffisante. Destinés à réduire le nombre de faux exemplaires, ces passeports ne semblent pourtant pas exempts de dangers, comme le montre nouvelle fois cette expérience.


Pas de traces et un peu de force brute
Adam Laurie a utilisé un passeport sans toucher à  l'enveloppe utilisée par le service officiel, la puce RFID étant lisible à quelques centimètres de distance. Il n'a donc laissé aucune trace de ses agissements.

Les données contenues dans la puce sont protégées par une clé cryptée à partir des informations personnelles du porteur, comme sa date de naissance, représentée par la MZR ( Machine-Reable Zone ) et caractérisée par une suite de chiffres et de lettres affichés sur la première page du passeport. Lors d'un passage en douane, cette MZR est scannée et la clé décodée, permettant la lecture des informations de la puce RFID. Or, c'est bien cette partie de l'identification sur laquelle Adam Laurie a porté son attaque, avec un simple scanner RFID standard.

Il s'est documenté sur le standard ICAO 9303 expliquant le fonctionnement de la MZR, a récupéré certaines informations personnelles du porteur du passeport via Internet, ce qui lui a donné un point de départ pour casser la clé cryptée. Ensuite il a suffit de réaliser une attaque en force brute pour tester les combinaisons. Au bout de 40000 tentatives, le chiffrement était percé et les données du passeport accessibles.


Pas de grand risque, selon les autorités
Du côté du Département d'Etat anglais, on minimise l'intérêt de cette expérimentation. D'une part, les données contenues sur la puce RFID ne peuvent être altérées, ce qui signifie qu'il n'est pas possible d'annuler la validité d'un passeport biométrique ou de le modifier à des fins délictueuses.

D'autre part, réaliser un passeport avec une puce clonée et doté des différentes mesures de sécurité pour en faire une copie parfaite, serait actuellement  impossible, selon un rapport du National Audit Office.

Il n'en reste pas moins vrai qu'il ne semble pas être très compliqué de récupérer des données personnelles à l'insu de son porteur et des autorités. Entre menace pour les données et risque de pistage, les passeports biométriques n'ont pas fini de faire parler d'eux.