Overblog
Editer l'article Suivre ce blog Administration + Créer mon blog

Archives

Publié par Michel Rousseau

  Malgré les réticences et les interrogations de nombreuses organisations quant à la sécurité du dispositif, le Département d'Etat américain a lancé comme prévu les premiers passeports équipés d'un marqueur RFID depuis lundi.Ce sont les sociétés Infineon et le français Gemalto qui ont remporté le contrat de production, ce dernier ayant déjà reçu les commandes fermes. Son représentant estime que le marché est conséquent, puisque les passeports RFID vont remplacer les versions papier et que le Département d'Etat américain a émis 10 millions de passeports en 2005 et prévoit d'atteindre les 13 millions cette année.Un passeport électronique coûtera cependant beaucoup plus cher : $97, comprenant une taxe de $12 introduite l'année dernière. Il faudra compter un an avant que la production de passeports papier soit remplacée par leur équivalent électronique. Les premiers resteront valables jusqu'à leur date d'expiration normale.

Les nouveaux passeports américains disposent donc d'une puce contenant sous forme sécurisée les données présentes dans la version papier. Ils peuvent ainsi être déchiffrés par des scanners dans les aéroports équipés. Hélas, ce déchiffrement n'est pas uniquement le fait des scanners, comme l'a démontré la présentation réalisée par Lukas Grunwald, un chercheur chez DN-Systems, une entreprise de conseil en sécurité informatique, qui a montré qu'il pouvait copier les données intégrées dans l'étiquette RFID de son passeport et les écrire sur une carte intelligente équipée d'une puce RFID.
"Nous avons programmé la puce pour qu'elle fonctionne comme un passeport", révèle M. Lukas Grunwald qui précise qu’en revanche, si les données peuvent être copiées, elles ne peuvent pas être modifiées.
Toujours selon le chercheur «Il est possible d'utiliser la technologie RFID d'une manière sécurisée. Mais en matière de passeports électroniques, les standards sont basés sur des compromis et la sécurité en paie le prix », note le journal en ligne Inquirer, spécialisé dans les informations sur les nouvelles technologies.
La menace de falsification de ces passeports supposés sécurisés «pourrait toucher les millions d'Américains qui doivent recevoir leur passeports RFID en octobre ». Plusieurs autres pays développés, notamment l’Allemagne ont fait le choix d’équiper leurs passeports de la technologie RFID dans leur volonté de lutter contre la contrefaçon.  
 
Il serait ainsi ridiculement facile de copier le contenu--chiffré--de la puce RFID, de les transposer dans la puce d'un autre passeport, et donc de le cloner intégralement. Si l'on ajoute à cela le fait que les agents de l'immigration pourraient être tentés de baisser leur garde lors de l'examen visuel de ces documents d'identité, et de se reposer sur la technologie RFID pour trier le bon grain de l'ivraie, on pourrait assister à une vague d'entrées illégales sur le territoire américain.
Le plus extraordinaire, selon Grunwald, c'est que l'appareillage nécessaire pour se confectionner une copie électronique d'un passeport existant est à la fois réduit et peu onéreux : vous aurez seulement besoin d'un PC doté d'un lecteur-enregistreur de cartes au format SmartCard (un portable dans le cas de la démonstration faite à Las Vegas) et d'un lecteur de puces RFID. Il vous en coûtera aux environs de 1.200 euros en tout et pour tout. Dans ce concert de mauvaises nouvelles, il subsiste un coin de ciel bleu, cependant : l'algorithme de chiffrement des données stockées sur la puce RFID serait à la hauteur de sa tâche, et seule une copie "en l'état" serait possible. En gros, on pourrait faire un "copier-coller" de données chiffrées, mais on ne pourrait avoir accès aux données elles-mêmes. Ouf...
Grunwald et la firme qui l'emploie ont travaillé main dans la main avec le Département de l'Immigration et le Département d'Etat américains sur cette affaire. Ils ont dû obtenir des autorisations afin de mettre la main sur les premiers exemplaires de ces passeports "sécurisés", qui seront diffusés aux Etats-Unis à partir du mois d'octobre prochain.
 
L'expérience ne s'est pas limitée aux seuls documents d'identité. Des cartes d'accès utilisées par les entreprises ont également été soumises à la question, et la plupart ont rapidement livré tous leurs secrets. Pour en revenir aux passeports électroniques, ils sont déjà en circulation en Europe (depuis mai dernier en France), à la demande des autorités américaines, qui exigeaient la délivrance d'un visa pour tout séjour sur le sol américain, même de courte durée, en l'absence de puce électronique. Si les craintes émises par Grunwald se vérifient à grande échelle, il serait possible de lire (et donc de cloner) les données enregistrées sur la puce RFID de ces documents, y compris à une certaine distance, et même si le passeport est seulement entr'ouvert. Certains suggèrent de fournir avec le document un étui en alliage d'aluminium, qui empêcherait la lecture des informations stockées sur la puce tant que le passeport n'est pas ouvert. D'autres rappellent que les données inscrites en toutes lettres sur ledit document sont aussi importantes que celles que la puce renferme, et qu'un simple passage dans un four à micro-ondes suffirait à désactiver la puce RFID, et couper court à toute tentative de clonage.

Commenter cet article