Le passeport électronique est décidément loin d'être la panacée en matière de sécurité. On le savait déjà sensible aux attaques, et l'on apprend désormais qu'il peut livrer tous ses secrets en seulement quelques minutes.
Repousser les limites
Il y a peu, nous vous contions l'expérience tentée par des chercheurs en sécurité informatique sous l'égide du journal anglais The Guardian, expérience grâce à laquelle il fut démontré que 48 heures suffisaient pour contourner les mesures de chiffrement qui accompagnent les nouveaux E-Passeports (ou ePasseports), ces documents d'identité affublés d'une puce RFID dans laquelle sont stockées toutes sortes d'informations relatives au porteur dudit sésame. D'autres chercheurs oeuvraient dans leur coin, et sont parvenus à faire un double d'un E-Passeport en seulement cinq minutes. Qui dit mieux '
Comme le font remarquer nos confrères de la BBC, avec l'ancien passeport, on savait où on allait : si on l'avait perdu, on s'en rendait compte, et on en demandait un nouveau. L'ancien était annulé, et quiconque se faisait "pincer" avec à un contrôle d'identité risquait de gros ennuis. Avec l'E-Passeport, c'est un peu plus compliqué, puisque le vôtre peut être dans votre poche, et une copie fidèle dans celle d'un parfait étranger, à quelques pas derrière vous, dans la file d'attente, à l'aéroport, et si cela se trouve, il a peut-être copié vos informations sensibles pendant que vous êtiez aux toilettes, quelques minutes plus tôt. Je vous l'accorde, il aura fallu au préalable qu'il se munisse d'un document vierge, et qu'il y fasse apposer les mentions écrites qui vous concernent, mais reconnaissez que si quelqu'un vous en veut, et qu'il dispose de moyens suffisants, il peut vous faire du tort.
Cinq minutes, montre en main
Dans un registre plus réaliste, mais tout aussi inquiétant, il est aisé de faire une copie du passeport électronique de quelqu'un qui voyage peu, et de s'en servir à son insu pour aller perpétrer aux quatre coins du monde toutes sortes de méfaits. C'est en tout cas ce qu'on voulu démontrer deux chercheurs en sécurité informatique résidant en Grande-Bretagne, Lukas Grunwald et Christian Böttger. Les deux hommes se sont procurés, par des moyens qu'ils préfèreraient garder pour eux, un logiciel baptisé Golden Reader Tool, par le biais duquel les forces de l'ordre peuvent lire toutes les informations contenues dans la puce RFID de nos nouveaux passeports électroniques, en ce compris la photo du titulaire du document. Avec l'appoint d'un autre programme, maison celui-là, et baptisé RFdump, Lukas Grunwald est arrivé à copier l'intégralité des données figurant sur la puce de son propre passeport, puis à les inscrire sur une puce RFID vierge. Le tout avec des composants électronique que tout un chacun peut se procurer dans le commerce...
Le passeport cloné aurait pu comporter des défauts qui le rendraient identifiable, mais il n'en est rien ; apparemment, le document falsifié passerait les contrôles d'identité avec mention, si l'on en croit nos deux chercheurs.
Versions officielles
Au Ministère anglais de l'Intérieur, on balaie les remarques d'un revers de main : "On voit difficilement pourquoi quelqu'un pourrait s'intéresser aux informations contenues dans la puce [RFID d'un E-Passeport]. En dehors de la photographie, qui peut être obtenue par d'autres moyens de toute façon, d'éventuels pirates n'aurait accès à aucune information qu'ils ne possèderaient déjà. L'exercice de clonage est donc sans objet, d'autant que les informations stockées sur la puce sont simplement le reflet de ce qui figure en toutes lettres sur le document lui-même. Etre capable de copier ce que comprend un passeport électronique ne signifie pas que l'on soit à même de recréer le document, puis de l'utiliser à des fins inavouables. Les E-Passeports distribués dans le Royaume-Uni sont conçus de manière à empêcher une substitution de puces RFID, ce qui rendrait impossible la fabrication d'un document hybride [NdA : les informations d'une personne sur le passeport d'une autre]. "
Lukas Grunwald, qui consulte pour la firme de sécurité informatique DN-Systems, n'est pas de cet avis. Il rappelle que le vol de données personnelles peut avoir des conséquences graves pour l'individu lui-même, et pas seulement des retombées en terme de sécurité nationale :
"Dans pratiquement tous les pays où ces documents ont été mis en place," indique-t-il, "des experts ont tiré à plusieurs reprises la sonnette d'alarme. Ce système n'est pas sûr, et ce n'est pas une bonne idée de le généraliser de la sorte."
Son confrère chez DN-Systems, Christian Böttger, renchérit : "On a mis en oeuvre le principe des passeports électronique avec trop d'empressement. Le système lui-même possède de nombreuses failles, et les méthodes employées pour le sécuriser manquent de cohérence. On dénombre des vulnérabilités avérées, et des questions qui restent simplement sans réponse. On devrait progresser en terme de sécurité avec un tel système, et ce n'est finalement pas le cas."
L'Union Européenne s'est penchée sur la question, et a mandaté ses propres experts. Au sein d'une structure du nom de FIDIS (pour Future of Identity in the Information Society, Futur de l'Identité dans la Société de l'Information), des chercheurs reconnaissent que les gouvernements européens ont mis la charrue avant les boeufs lors de l'implémentation des E-Passeports, puisque les informations que contiennent ces derniers peuvent être lues à plusieurs mètres de distances, et en toute discrétion. L'un de ces chercheurs émet d'ailleurs cette analogie : "C'est un peu comme écrire votre code secret au dos de votre carte bancaire."
On ne peut être plus clair...
Repousser les limites
Il y a peu, nous vous contions l'expérience tentée par des chercheurs en sécurité informatique sous l'égide du journal anglais The Guardian, expérience grâce à laquelle il fut démontré que 48 heures suffisaient pour contourner les mesures de chiffrement qui accompagnent les nouveaux E-Passeports (ou ePasseports), ces documents d'identité affublés d'une puce RFID dans laquelle sont stockées toutes sortes d'informations relatives au porteur dudit sésame. D'autres chercheurs oeuvraient dans leur coin, et sont parvenus à faire un double d'un E-Passeport en seulement cinq minutes. Qui dit mieux '
Comme le font remarquer nos confrères de la BBC, avec l'ancien passeport, on savait où on allait : si on l'avait perdu, on s'en rendait compte, et on en demandait un nouveau. L'ancien était annulé, et quiconque se faisait "pincer" avec à un contrôle d'identité risquait de gros ennuis. Avec l'E-Passeport, c'est un peu plus compliqué, puisque le vôtre peut être dans votre poche, et une copie fidèle dans celle d'un parfait étranger, à quelques pas derrière vous, dans la file d'attente, à l'aéroport, et si cela se trouve, il a peut-être copié vos informations sensibles pendant que vous êtiez aux toilettes, quelques minutes plus tôt. Je vous l'accorde, il aura fallu au préalable qu'il se munisse d'un document vierge, et qu'il y fasse apposer les mentions écrites qui vous concernent, mais reconnaissez que si quelqu'un vous en veut, et qu'il dispose de moyens suffisants, il peut vous faire du tort.
Cinq minutes, montre en main
Dans un registre plus réaliste, mais tout aussi inquiétant, il est aisé de faire une copie du passeport électronique de quelqu'un qui voyage peu, et de s'en servir à son insu pour aller perpétrer aux quatre coins du monde toutes sortes de méfaits. C'est en tout cas ce qu'on voulu démontrer deux chercheurs en sécurité informatique résidant en Grande-Bretagne, Lukas Grunwald et Christian Böttger. Les deux hommes se sont procurés, par des moyens qu'ils préfèreraient garder pour eux, un logiciel baptisé Golden Reader Tool, par le biais duquel les forces de l'ordre peuvent lire toutes les informations contenues dans la puce RFID de nos nouveaux passeports électroniques, en ce compris la photo du titulaire du document. Avec l'appoint d'un autre programme, maison celui-là, et baptisé RFdump, Lukas Grunwald est arrivé à copier l'intégralité des données figurant sur la puce de son propre passeport, puis à les inscrire sur une puce RFID vierge. Le tout avec des composants électronique que tout un chacun peut se procurer dans le commerce...
Le passeport cloné aurait pu comporter des défauts qui le rendraient identifiable, mais il n'en est rien ; apparemment, le document falsifié passerait les contrôles d'identité avec mention, si l'on en croit nos deux chercheurs.
Versions officielles
Au Ministère anglais de l'Intérieur, on balaie les remarques d'un revers de main : "On voit difficilement pourquoi quelqu'un pourrait s'intéresser aux informations contenues dans la puce [RFID d'un E-Passeport]. En dehors de la photographie, qui peut être obtenue par d'autres moyens de toute façon, d'éventuels pirates n'aurait accès à aucune information qu'ils ne possèderaient déjà. L'exercice de clonage est donc sans objet, d'autant que les informations stockées sur la puce sont simplement le reflet de ce qui figure en toutes lettres sur le document lui-même. Etre capable de copier ce que comprend un passeport électronique ne signifie pas que l'on soit à même de recréer le document, puis de l'utiliser à des fins inavouables. Les E-Passeports distribués dans le Royaume-Uni sont conçus de manière à empêcher une substitution de puces RFID, ce qui rendrait impossible la fabrication d'un document hybride [NdA : les informations d'une personne sur le passeport d'une autre]. "
Lukas Grunwald, qui consulte pour la firme de sécurité informatique DN-Systems, n'est pas de cet avis. Il rappelle que le vol de données personnelles peut avoir des conséquences graves pour l'individu lui-même, et pas seulement des retombées en terme de sécurité nationale :
"Dans pratiquement tous les pays où ces documents ont été mis en place," indique-t-il, "des experts ont tiré à plusieurs reprises la sonnette d'alarme. Ce système n'est pas sûr, et ce n'est pas une bonne idée de le généraliser de la sorte."
Son confrère chez DN-Systems, Christian Böttger, renchérit : "On a mis en oeuvre le principe des passeports électronique avec trop d'empressement. Le système lui-même possède de nombreuses failles, et les méthodes employées pour le sécuriser manquent de cohérence. On dénombre des vulnérabilités avérées, et des questions qui restent simplement sans réponse. On devrait progresser en terme de sécurité avec un tel système, et ce n'est finalement pas le cas."
L'Union Européenne s'est penchée sur la question, et a mandaté ses propres experts. Au sein d'une structure du nom de FIDIS (pour Future of Identity in the Information Society, Futur de l'Identité dans la Société de l'Information), des chercheurs reconnaissent que les gouvernements européens ont mis la charrue avant les boeufs lors de l'implémentation des E-Passeports, puisque les informations que contiennent ces derniers peuvent être lues à plusieurs mètres de distances, et en toute discrétion. L'un de ces chercheurs émet d'ailleurs cette analogie : "C'est un peu comme écrire votre code secret au dos de votre carte bancaire."
On ne peut être plus clair...
