En lançant les passeports dits "numériques", ou "électroniques", les autorités des pays occidentaux pensaient avoir trouvé une parade à la falsificaiton de ces documents, et aux usurpations d'identités en tous genres. Il semblerait que la réalité soit un peu moins idyllique que prévu...


Sauts de puces
L'annonce faite à la Black Hat Conference de Las Vegas par un chercheur allemand, la semaine passée, a fait l'effet d'une bombe, mais en même temps, elle n'a vraiment surpris personne : selon Lukas Grunwald, qui exerce ses talents chez DN-Systems, à Hildesheim, en Allemagne, les premiers passeports équipés d'une puce RFID, réputée inviolable, ne répondraient pas aux espoirs de leurs initiateurs. Il serait ainsi ridiculement facile de copier le contenu--chiffré--de la puce RFID, de les transposer dans la puce d'un autre passeport, et donc de le cloner intégralement. Si l'on ajoute à cela le fait que les agents de l'immigration pourraient être tentés de baisser leur garde lors de l'examen visuel de ces documents d'identité, et de se reposer sur la technologie RFID pour trier le bon grain de l'ivraie, on pourrait assister à une vague d'entrées illégales sur le territoire américain.


Fraude pour petits budgets
Le plus extraordinaire, selon Grunwald, c'est que l'appareillage nécessaire pour se confectionner une copie électronique d'un passeport existant est à la fois réduit et peu onéreux : vous aurez seulement besoin d'un PC doté d'un lecteur-enregistreur de cartes au format SmartCard (un portable dans le cas de la démonstration faite à Las Vegas) et d'un lecteur de puces RFID. Il vous en coûtera aux environs de 1.200 euros en tout et pour tout. Dans ce concert de mauvaises nouvelles, il subsiste un coin de ciel bleu, cependant : l'algorithme de chiffrement des données stockées sur la puce RFID serait à la hauteur de sa tâche, et seule une copie "en l'état" serait possible. En gros, on pourrait faire un "copier-coller" de données chiffrées, mais on ne pourrait avoir accès aux données elles-mêmes. Ouf...

Grunwald et la firme qui l'emploie ont travaillé main dans la main avec le Département de l'Immigration et le Département d'Etat américains sur cette affaire. Ils ont dû obtenir des autorisations afin de mettre la main sur les premiers exemplaires de ces passeports "sécurisés", qui seront diffusés aux Etats-Unis à partir du mois d'octobre prochain.


Dans les entreprises aussi
L'expérience ne s'est pas limitée aux seuls documents d'identité. Des cartes d'accès utilisées par les entreprises ont également été soumises à la question, et la plupart ont rapidement livré tous leurs secrets. Pour en revenir aux passeports électroniques, ils sont déjà en circulation en Europe (depuis mai dernier en France), à la demande des autorités américaines, qui exigeaient la délivrance d'un visa pour tout séjour sur le sol américain, même de courte durée, en l'absence de puce électronique. Si les craintes émises par Grunwald se vérifient à grande échelle, il serait possible de lire (et donc de cloner) les données enregistrées sur la puce RFID de ces documents, y compris à une certaine distance, et même si le passeport est seulement entr'ouvert. Certains suggèrent de fournir avec le document un étui en alliage d'aluminium, qui empêcherait la lecture des informations stockées sur la puce tant que le passeport n'est pas ouvert. D'autres rappellent que les données inscrites en toutes lettres sur ledit document sont aussi importantes que celles que la puce renferme, et qu'un simple passage dans un four à micro-ondes suffirait à désactiver la puce RFID, et couper court à toute tentative de clonage.

Bien cuit, pour moi, le passeport, s'il vous plaît...