[actus_l] Le scandale du passeport RFID... hacké en 4 heures

http://aietech.com/leblog/2007/3/8/passeport-rfid-hack-en-4-heures.html

 Passeport RFID hacké en 4 heures

785186-707070-thumbnail.jpgLe Daily Mail vient d’écrire une nouvelle page de
la pitoyable histoire du passeport RFID, que nous avons déjà contée ici. Il a
réussi à lire intégralement le contenu d’un passeport britannique neuf, dans
son enveloppe postale, en quatre heures. Le cerveau de cet exploit est Adam
Laurie,  cet expert en sécurité qui a déjà permis au Guardian de titrer «
Cracked it ! » en novembre 2006. À l’époque, la performance consistait à mimer
la procédure officielle d’accès à la puce, telle qu’elle est effectuée aux
frontières. Le policier présente devant un lecteur optique la page du
passeport contenant la photo, et l’ordinateur lit la « clé MRZ », dans la «
zone à lecture optique » (Machine Readable Zone). Le dialogue radio avec la
puce RFID démarre. Un dialogue crypté, que le guichet décode grâce à la clé
MRZ. 

Avec du matériel acheté légalement pour 400 €, et un logiciel fait main,
Adam Laurie savait à l’époque faire parler la puce d’un passeport, à l’aide de
cette clé. Celle-ci étant inscrite dans le passeport, l’épreuve suivante
devenait : peut-on obtenir le même résultat sans ouvrir le passeport ?
L’expert expliquait déjà que cette clé est facile à deviner, du moins à
cerner. C’est une séquence de données triviales, comme la date de naissance du
titulaire, la date d’expiration du passeport et un numéro de série beaucoup
moins aléatoire qu’il en a l’air. 

Adam Laurie avait mis au point une méthode d’attaque en « force brute »,
c’est-à-dire en essayant toutes les combinaisons possibles. Il estimait alors
qu’un passeport pourrait être craqué en 24h. Sidérant : votre carte de crédit
se bloque après trois essais infructueux, mais le passeport RFID européen
encaisse sans broncher des milliers de tentatives d’effraction. 

L’enquête du Daily Mail pulvérise l’hypothèse des 24h. Il s’agit du vol,
concret, en quatre heures, du contenu de la puce d’un passeport enfermé dans
une enveloppe, portant seulement le nom et l’adresse de son titulaire. En
situation réaliste. Mais avec un avantage : le passeport étant neuf, sa date
d’expiration se situe dans dix ans, moins quelques jours. Le logiciel d’Adam
Laurie a testé un grand nombre de valeurs possibles pour le numéro de série et
les dates plausibles pour l’expiration. La date de naissance du titulaire,
dont on ne connait que le nom, écrit sur l’enveloppe ? Trouvée sur Internet…
quelque part. En deux heures. Des milliers de hackers savent où chercher. 

Donc, un filou capable d’approcher pendant quatre heures un passeport neuf
dont il connaît le nom du titulaire devrait pouvoir voler une identité
numérique complète. Quatre heures, c’est encore long pour celui qui rêve de
chiper en série des identités numériques à distance, dans la poche de
voyageurs croisés dans un hôtel. Mais quatre heures, c’est déjà six fois moins
que l’estimation hasardée il n’y a pas quatre mois. Combien de minutes dans un
an ? 

Après le Guardian, le Daily Mail. Que fait notre presse ? Comment s’appelle le
ministre qui a instauré en France ce passeport qui roule pour les voyous ? Les
Démocrates libéraux britanniques se sont prononcés pour l’arrêt de cette
folie, que disent nos candidats à la présidence ? 

Posted on jeu. 8 mars 2007 By Pierre Vandeginste


http://aietech.com/leblog/2007/2/6/le-scandale-du-passeport-rfid.html
 Le scandale du passeport RFID

785186-665619-thumbnail.jpgOu plutôt : « le scandale du non-scandale du
passeport RFID ». Le vrai scandale, c’est le silence médiatique assourdissant
sur cet état de fait : après les USA, l’Europe impose à ses citoyens un
e-passeport doté d’une puce RFID qui ne demande qu’à bavarder. Qui facilite le
vol d’identité, qui donne un coup de pouce au banditisme, au terrorisme. Et
tout cela au nom de la sécurité nationale. 

Dès le départ, les experts avaient prévenu. Non, une puce RFID n’est pas un
moyen de sécuriser un passeport mais bien plutôt de lui coller un gros
problème de sécurité supplémentaire. En octobre 2004, le pape de la sécurité
informatique Bruce Schneier dénonçait : « …les porteurs d’un [tel] passeport
diffuseront en permanence leurs nom, nationalité, age, adresse et tout ce
qu’il y a sur la puce RFID. » C’était le premier volet du scandale : les
politiques décident contre l’avis des compétents. 

Acte deux. Les preuves s’accumulent. En Allemagne, début 2006, le consultant
en sécurité Lukas Grunwald, clone la puce de son propre passeport, avec du
matériel du commerce. Puis, Kevin Mahaffey, spécialiste du RFID de Los
Angeles, montre que le passeport de l’administration Bush permet d’envisager
une mine qui se déclencherait au passage d’un citoyen des États-unis. Sa démo
fait un tabac sur YouTube. Enfin, un article du Guardian annonce que des
spécialistes savent lire le contenu d’un e-passeport. À distance. Mais nous
avons atteint un troisième stade : le scandale est désormais officiel mais
chut, n’en parlons pas. Et ne faisons rien. Aux États-Unis, des gurus de la
sécurité informatique appointés par un sous-comité ad hoc du Department of
Homeland Security, expliquaient, en mai, dans un rapport (« L’usage de la RFID
pour l’identification humaine ») que la RFID « …augmente les risques pour la
sphère privée et la sécurité personnelle, sans bénéfice proportionné pour
l’efficacité ou la sécurité nationale. » Réaction : néant. 

Ce n’est pas tout. « En omettant de mettre en place un concept et un système
de sécurité appropriés, les gouvernements européens obligent leurs citoyens à
adopter des pièces d’identité […] qui diminuent leur sécurité et la protection
de leur sphère privée tout en accroissant les risques liés aux vols
d’identité. » Quel groupuscule gauchiste parle ainsi ? Un comité d’experts
auprès de l’UE, le Fidis (Futur de l’identité dans la société de
l’information), qui a voté à l’unanimité et publié en novembre dernier la
Déclaration de Budapest. C’est donc la crème de la crème de nos experts
européens officiels en sécurité informatique qui interpelle nos gouvernements
et leur dit : « vous avez déconné à plein tube ». Où sont les réactions ? Où
sont les gros titres ? 

Autopromo. On trouvera des précisions dans un article sur la technologie RFID
que je signe dans le dernier numéro spécial de La Recherche, sur les Sciences
à risque (Les Dossiers de La Recherche, N° 26, p. 64). 

Posted on mar. 6 févr. 2007 by Pierre Vandeginste 


_____
Liste de diffusion d'informations relatives à l'informatique et aux libertés
Info, dés/abonnement : http://listes.samizdat.net/sympa/info/actus_l