Overblog
Editer l'article Suivre ce blog Administration + Créer mon blog

Archives

Publié par Michel Rousseau

Les documents de voyage à lecture automatique sont-ils vraiment sécurisés ? On en doute à la lecture de ce que l'on appelle la Déclaration de Budapest et dont nous reproduisons l'essentiel ci-dessous. Publiée par le FIDIS - Future of Identity in the Information Society, elle met l'accent sur les problèmes que pose la RFID du point de vue de la sécurité.
En omettant de mettre en place un concept et un système de sécurité appropriés, les gouvernements européens obligent leurs citoyens à adopter des pièces d’identité –les nouveaux Documents de Voyage à Lecture Automatique (DVLA)– qui diminuent leur sécurité et la protection de leur sphère privée tout en accroissant les risques liés aux vols d’identité. En clair, la version actuelle du passeport européen utilise des technologies et des normes qui n’atteignent pas les objectifs visés. Dans cette déclaration, des chercheurs sur l’identité et la gestion de l’identité (appuyés par un vote unanime lors de la réunion du Réseau d’Excellence (1) FIDIS –Futur de l’Identité dans la Société de l’Information– à Budapest, en septembre 2006) présentent les découvertes récentes d’une analyse des DVLA. Ils font des recommandations aux responsables des gouvernements et de l’industrie au sujet des modifications à effectuer dans le but d’améliorer les DVLA.
Introduction
Outre les abus habituels des documents d’identité, les nouveaux Documents de Voyage à Lecture Automatique (DVLA) présentent de nombreuses menaces additionnelles. Nous voulons souligner le fait que:
  • A la différence des documents d’identité habituels, les DVLA européens peuvent être lus et interceptés jusqu’à une distance de l0 mètres (2) du porteur, de façon transparente et sans contrôle interactif; cette faiblesse est encore aggravée par un contrôle d’accès susceptible d’être contourné ou attaqué, de sorte qu’un tiers, autorisé ou non, peut y avoir accès pour identifier le porteur et le ficher afin de, par exemple, suivre à la trace les touristes dans un pays étranger.
  • Les informations biométriques des documents d’identité peuvent être utilisées à d’autres fins par les secteurs public et privé en violation des principes européens de respect de la sphère privée. De plus, les données biométriques elles-mêmes sont basées sur des probabilités : des erreurs d’authentification —positives et négatives—sont inévitables ; elles sont susceptibles d’affecter de nombreux citoyens européens chaque jour. 
 
L’introduction du passeport européen DVLA (passeport électronique), en tant que document d’identification international, a débuté en 2005 ; ce passeport est basé sur les normes techniques internationales OACI (3) telles que définies dans le document 9303 (4) selon le règlement EC 2252/2004 (5). Le présent communiqué est basé sur l’analyse des fondements légaux des DVLA et de la technologie qu’elle implique ainsi que de la mise en œuvre de la protection et de la sécurité des données ; cet objectif a été poursuivi par le Réseau d’Excellence FIDIS et exposé dans le rapport FIDIS D3.6 « Etude des documents d’identification » (6). Les sources suivantes furent encore prises en considération pour la présente déclaration :
  • Les profils de protection des mécanismes de vérification biométrique et des DVLA comprenant le Contrôle d’Accès de Base (BAC – Basic Access Control) (7) certifié par l’Office fédéral allemand pour la sécurité de l’information.
  • La directive technique V1.0 concernant le Contrôle d’accès étendu (EAC – Extended Access Control) édicté par l’Office fédéral allemand pour la sécurité de l’information (BSI) en août 2006 (8).
Résumé des résultats obtenus
Aucun concept de sécurité, cohérent et intégré, concernant les DVLA a été présenté au public ou aux experts concernés. Les documents publiés tels que les Profils de protection ou les Directives techniques ne couvrent qu’une partie d’un tel concept de sécurité (9). A l’origine, le BAC a été présenté comme une solution efficace au contrôle d’accès ; actuellement, l’EAC est présenté comme une solution améliorée. En fait, tous deux sont insuffisants dans de nombreuses situations comme contrôle d’accès pour l’utilisateur (10). Un certain nombre de menaces théoriques démontrées scientifiquement et de faiblesses conceptuelles des DVLA ont déjà été publiées. Ces dernières ne sont pas couvertes par les Profils de protection, les directives techniques, les normes ou les réalisations actuelles. Citons entre autres, parmi les plus importantes:
  • Etant donné que les données biométriques des DVLA ne peuvent pas être révoquées et que les caractéristiques biométriques de l’utilisateur tels qu’empreintes digitales et traits faciaux ne peuvent être modifiées, des données biométriques « volées » pourront être utilisées abusivement pendant longtemps.
  • Gestion insuffisante de la clé d’accès avec le BAC : la clé pour accéder aux données du tag RFID est intégrée dans le passeport lui-même et peut être lue par des personnes et par des scanners.  Cela signifie que quiconque ayant eu un accès physique au passeport et en ayant fait une copie optique par exemple, pourrait stocker l’information de la clé et l’utiliser pour avoir accès au tag RFID.
  • Ecoute des communications entre le tag RFID et le lecteur, ainsi qu’attaque par force brute du BAC en utilisant des faiblesses cryptographiques reconnues pour extraire des données (11).
  • Clonage des tags RFID dans les DVLA (12).
  • Abus de lecture à distance des tags  RFID des passeports pour faire éclater des bombes intelligentes, sensibles à l’identité de certaines personnes
La combinaison de ces menaces et de ces faiblesses met sérieusement en cause la sécurité et la sphère privée des citoyens européens ; ceci est tout particulièrement vrai si l’on considère le déploiement à grande échelle des DVLA actuels et leur longue durée de validité (jusqu’à 10 ans).
Recommandations aux responsables en Europe
Sur la base de nos recherches, nous avons élaboré un certain nombre de recommandations adressées aux responsables du domaine des DVLA en Europe (politiciens, industriels et chercheurs):
  1. Etant donné que des DVLA comportant des faiblesses inhérentes ont déjà été introduits et seront inévitablement utilisés à l’avenir, nous recommandons les mesures suivantes pour diminuer les risques d’échec des mesures de sécurité et de vol d’identité, mesures à appliquer immédiatement et sans délai. Ces recommandations comportent des procédures et des technologies fondées sur des scénarios de secours et qui requièrent un développement et des accords au niveau international (p. ex. OACI).
    1. Mise en place et contrôle de sa mise en oeuvre du principe de monovalence, spécialement pour les données biométriques des DVLA (le but spécifique poursuivi étant l’identification des voyageurs). L’utilisation des DVLA ne devrait pas être étendue pour l’authentification dans le secteur privé.
    2. Les citoyens doivent être informés des risques inhérents à la possession des nouveaux DVLA et des mesures de sécurité qu’ils peuvent prendre, par exemple éviter de remettre les documents à des privés (des hôtels par exemple).
    3. Des mesures de sécurité disponibles mais non utilisées aujourd’hui devraient être immédiatement intégrées dans les DVLA actuels par les Etats européens, par exemple les cages de Faraday.
    4. Des procédures organisationnelles adéquates doivent être prévues en cas d’échec d’authentification biométrique dû à des problèmes non résolus tels que des rejets erronés ou des erreurs d’enregistrement, etc.
    5. Des procédures adéquates sont requises –aussi bien organisationnelles que techniques– pour prévenir l’utilisation abusive des données personnelles contenues dans les DVLA.
    6. Il faut établir des procédures techniques et administratives adéquates à appliquer en cas de vol d’identité impliquant les DVLA.
  2. Dans le moyen terme (trois prochaines années), un nouveau concept de sécurité, intégré et convaincant, doit être élaboré pour les DVLA. Ce dernier devra tenir compte des aspects suivants :
    1. Définition des niveaux requis de sécurité.
    2. Protection des données personnelles des citoyens européens, y-compris les informations biométriques si elles sont encore utilisées.
    3. Sécurité technique et organisationnelle dans l’utilisation des DVLA à l’échelle internationale, étant donné la multiplicité des opérateurs et des pays. Il faut en particulier répondre à la question de savoir comment éviter l’abus d’utilisation des données personnelles par des acteurs dans des Etats étrangers.
    4. Risques et menaces provoqués par la combinaison de plusieurs technologies dans les DVLA telles que RFID, données biométriques, etc. et les caractéristiques des documents-papiers traditionnels en terme de sécurité.
    5. Une ré-évaluation totale et une nouvelle conception des solutions choisies pour l’actuel DVLA doivent être mises en œuvre –basées sur les niveaux de sécurité définis et l’analyse des risques– tout spécialement concernant la technologie RFID et la biométrie. Ce projet examinera si les technologies actuellement en vigueur sont vraiment indispensables ou si d’autres, à la fois plus sûres et préservant la sphère privée, (par exemple des cartes à puce avec contact au lieu de mécanismes sans contact) sont suffisantes. Il faudra examiner la façon dont l’application des technologies peut être améliorée (par exemple pour la biométrie, senseurs et vérification sur la carte elle-même).
    6. Le concept de sécurité entourant les DVLA devrait être débattu ouvertement à l’échelle européenne par les experts en sécurité et en protection de la sphère privée.
  1. Les mesures techniques, administratives et organisationnelles élaborées dans ce concept doivent être standardisées (OACI), mises en œuvre dans la prochaine génération de DVLA et évaluées à l’échelle mondiale.

Commenter cet article