La sécurité des passeports électroniques belges mises en défaut
Par etoile, vendredi 22 juin 2007 à 09:03 :: Info trafic :: #37 :: rss
 Des chercheurs de l'université de Louvain, en Belgique, sont parvenus à lire, en quelques secondes, les données confidentielles d'identité avec un simple appareil acheté dans le commerce. 720 000 passeports sont concernés par la faille.En Europe, la Belgique a été la première à émettre des passeports électroniques dès la fin 2004. Mais une polémique secoue le petit monde de la sécurité et l'Etat belge, depuis que Gildas Avoine, Kassem Kalach et Jean-Jacques Quisquater ont découvert que ces documents présentaient une sécurité très limitée. Chercheurs à l'Université catholique de Louvain, ces spécialistes en cryptographie sont parvenus à lire facilement les données personnelles contenues sur la puce électronique : le nom, les prénoms, la photo et la signature. « Le piratage se déroule en trois temps », a expliqué Gildas Avoine à News.fr. « Nous avons tout d'abord acheté dans le commerce un petit lecteur de puce RFID que nous avons raccordé à un ordinateur. Nous avons ensuite écrit un petit programme qui correspond au standard de ces passeports, élaboré par l'Organisation de l'aviation civile internationale (OACI). Il ne restait plus qu'à passer le passeport juste à côté de ce lecteur pour récupérer toutes les données ». |
|
En soi, cette annonce ne constitue pas une révélation, puisque plusieurs tests réalisés ces dernières années en Grande-Bretagne, aux Pays-Bas et en Allemagne ont déjà montré les faiblesses de ces sésames numériques. Tous les passeports de ce type en circulation reposent sur le même principe. Pour accéder aux données sensibles, il faut lire les deux lignes optiques qui contiennent des informations comme le numéro du passeport. Numéro du passeport, sésame numérique Mais le cas belge présente deux particularités. Premièrement, le numéro peut être deviné facilement avec une faible marge d'erreur, puisqu'il est lié à la date de fabrication. Deuxièmement, les autorités ont déployé deux générations de passeports sans en informer le public. La première série a été mise en circulation entre la fin 2004 et la mi-2006. « À la différence de la seconde version, la première ne présente aucun moyen de sécurité. Il n'est même pas nécessaire de connaître le numéro du passeport pour accéder au contenu de la puce RFID. Le problème, c'est que 720 000 passeports en circulation en Belgique sont de première génération et qu'ils sont valables jusqu'en 2010 ou 2011 », souligne Gildas Avoine. « Il n'y a pas de solution pour renforcer leur protection. Il faut soit les détruire et en produire de nouveaux, soit les enfermer dans une pochette métallique afin qu'ils ne puissent être lus électroniquement à distance ». L'expérience belge pointe la principale faiblesse de ces documents : les données contenues dans la puce ne sont pas chiffrées. « C'est un peu comme s'ils avaient installé une porte blindée et mis la clé sous le paillasson ! », a précisé à News.fr, Adam Laurie, informaticien qui fut l'un des premiers à découvrir ces lacunes sur les passeports britanniques en 2005. Pourtant, le standard de l'OACI stipule la protection de ces données. Le citoyen belge a donc de quoi s'inquiéter. Les informations consignées sur son passeport pourraient être happées à son insu par une personne malveillante. On imagine facilement le pire. Ces données pourraient être utilisées pour la production de faux papiers dans le cadre d'actions terroristes par exemple. Malgré ces découvertes, aucune mesure n'a été annoncée pour le moment. La première décision à prendre serait d'attribuer des numéros de passeport aléatoires. En France, une telle situation doit-elle être redoutée avec l'arrivée des passeports biométriques en 2009. Le ministère de l'Intérieur se veut rassurant. « Le premier passeport électronique (qui contient une puce comportant l'identité et la photo du titulaire) a été produit le 13 avril 2006. Plus de 2 millions de passeports électroniques ont déjà été délivrés à ce jour et aucune fraude ni aucune violation de la confidentialité des données numériques n'ont été constatées », indique-t-on. Parole d'État. news.fr |
Commentaires
Aucun commentaire pour le moment.
Ajouter un commentaire