|
|
|
|
|
Sommaire Sécurité |
|
La sécurité du passeport biométrique de nouveau dénoncée |
Vulnérables à de multiples attaques, les documents d'identité à puces RFID sont à nouveau pointés du doigt. Les experts du FIDIS encouragent l'Union Européenne à revoir sa copie d'ici 3 ans.
(16/11/2006) |
|
Bien qu'adoptés par les instances européennes et les états membres, les passeports biométriques à puce RFID sont loin encore de faire l'unanimité. Les vulnérabilités des tags RFID avaient déjà été au cur des débats lors de la dernière conférence Black Hat (lire l'article du 08/08/2006).
Si les élus peuvent témoigner quelques réticences à prêter l'oreille aux discours de hackers, le FIDIS (Futur de l'Identité dans la Société de l'Information) rassemblant universités, instituts de recherche et entreprises européennes, entend porter à leur attention ses propres travaux.
Le groupe d'intérêt a en effet publié un manifeste à l'adresse des responsables des gouvernements et de l'industrie concernant les DVLA (Documents de Voyage à Lecture Automatique). Le FIDIS revient notamment sur les failles exposant les titulaires de ses pièces d'identité numérique et sur les modifications à appliquer pour pallier leurs faiblesses.
Hormis les fraudes et délits affectant déjà les documents d'identité, les chercheurs du FIDIS rappellent que les DVLA comportent des menaces additionnelles. Les passeports biométriques RFID présenteraient ainsi des risques pour la sécurité et la protection de la sphère privée des utilisateurs et pourraient accroître les vols d'identité.
En effet, selon le FIDIS, les données contenues dans les DVLA peuvent être interceptées et lues jusqu'à une distance de 10 mètres du porteur, et ce de manière totalement invisible. Le comité rappelle également que les informations biométriques pourraient être employées à d'autres fins par les secteurs publics et privés. Enfin, la biométrie n'est pas infaillible et peut être source d'erreur d'authentification.
Des DVLA exposés à des attaques man in the middle, force brute, au vol de clé, au clonage des tags RFID |
Et si certains des DVLA sont équipés de verrous supplémentaires, ils n'en sont pas moins vulnérables. Est ainsi cité le passeport américain comportant dans sa couverture une toile de fibre métallique. Deux chercheurs, Mahaffey et Hering, ont démontré qu'une simple ouverture d'un demi-pouce suffisait pour intercepter à une distance de deux pieds les données (environ 60 centimètres).
Parmi les autres menaces identifiées, le FIDIS cite notamment le caractère irrévocable des données biométriques et la validité de 10 ans des DVLA. Deux caractéristiques qui permettront l'utilisation frauduleuse d'informations dérobées durant un laps de temps important. Les documents d'identité sont aussi exposés à des attaques man in the middle (interception) ou en force brute, au vol de clé, au clonage des tags RFID, ou encore à des abus de lecture à distance.
Sur la base de ses recherches, le FIDIS a donc élaboré plusieurs recommandations, pour l'essentielle correctives, des DVLA ayant déjà été introduits. Il conseille ainsi de ne pas étendre leur utilisation pour l'authentification dans le secteur privé, d'informer et sensibiliser les citoyens quant aux risques encourus. Mais aussi, d'établir des procédures à appliquer lors de vol d'identité et pour prévenir l'utilisation abusives des données contenues dans les DVLA.
Toutefois, le FIDIS recommande à moyen terme la mise en uvre d'un nouveau concept comprenant des mesures de sécurité plus éprouvées pour les DVLA. Un projet futur qui devra s'atteler au renforcement de la protection des données et évaluer les risques et menaces provoquées par la combinaison des technologies (biométrie, RFID, etc.). En outre, les choix devront être débattus ouvertement par des experts en sécurité.
|
|
|
|
|
|
|
|