L'Estonie est en pointe pour tout ce qui concerne le numérique et l'administration en ligne. La semaine dernière, le gouvernement estonien a été dans l'obligation d'annoncer le blocage de certificats de 760 000 cartes d'identité électroniques.

Cette décision a été prise en raison d'un risque de vol d'identité. La menace découle de la découverte d'une vulnérabilité de sécurité dans la bibliothèque RSA développée par Infineon. Elle a été découverte par des chercheurs de l'université Masaryk en République tchèque.

Le CERT-FR avait publié mi-octobre un bulletin d'alerte à ce sujet : " Un problème dans la génération du couple clé privée / publique permet de retrouver la clé privée à partir de la clé publique uniquement. Cette attaque est applicable en pratique et peu coûteuse (76 $ pour une clé de 1024 bits et 40300 $ pour une clé de 2048 bits). "

Les systèmes affectés comprennent par exemple " des TPM (ndlr : composant cryptographique matériel), clés de chiffrement Bitlocker, certificats TLS, clés PGP ou SSH, des cartes à puce. " La faille est présente dans des puces cryptographiques intégrées dans des cartes d'identité estoniennes émises après le 16 octobre 2014.

Si des correctifs ont été publiés et le problème résolu par Infineon, il n'est manifestement pas simple de les appliquer comme dans le cas des cartes d'identité électroniques, d'où la décision du gouvernement de l'Estonie.

Estonie-carte-identite-electronique

Tous les utilisateurs concernés doivent mettre à jour les certificats de sécurité s'ils veulent à nouveau pouvoir accéder à des services de l'administration en ligne. Un incident qui nous rappelle au passage que le déploiement de la carte d'identité électronique en France n'a toujours pas eu lieu.