Problèmes de sécurité sur les puces RFID des nouvelles pièces d’identités

A partir de cet été, les Etats-uniens auront besoin de passeports pour voyager au Canada, au Mexique, aux Bermudes et dans les Caraïbes, à moins qu’ils ne disposent de "passport cards" ou d’un permis de conduire amélioré que les Etats de Washington et New York ont commencé à offrir cette année. Valides seulement pour les voyages terrestres et maritimes, ces nouvelles formes d’identification sont des alternatives moins onéreuses qu’un passeport pour les personnes qui ne voyagent pas par avion.

Mais l’unanimité autour de ces nouveautés n’est pas acquise. Les "passport cards" et les permis améliorés contiennent en effet des puces RFID (radio frequency identification) qui permettent une lecture à distance. L’idée étant d’offrir aux agents gouvernementaux un accès instantané aux données biométriques, à la photo et aux informations criminelles ou terroristes des citoyens afin d’améliorer l’efficacité des contrôles aux frontières. Les technologies RFID ont cependant soulevé quelques inquiétudes depuis leur apparition au début des années 2000. Les nouveaux permis et "passport cards" utilisent des technologies similaires, revues et approuvées par le Department of Homeland Security. Les puces utilisées, dénommées EPC (electronic product code), sont semblables à des codes barre, peu coûteuses et peuvent être lues jusqu’à 45 mètres.

Bien que ces cartes ne stockent pas d’informations personnelles, certains estiment que le simple stockage d’un numéro unique d’identification soulève des problèmes de respect de la vie privée. Des lecteurs RFID courants, tels que ceux utilisés pour la gestion des inventaires, pourraient en effet être capables de lire les informations contenues sur ces cartes et celles-ci pourraient être utilisées pour traquer les habitudes de consommation et surveiller la durée de présence du porteur d’une telle carte dans des magasins. Bien que d’autres cartes puissent également être lues à distance pour suivre des individus, les puces EPC sont davantage controversées puisque identifiables à bien plus longue distance.

Les passeports classiques étatsuniens contiennent également des puces RFID mais la technologie utilisée est moins susceptible aux problèmes de respect de la vie privée puisque les passeports doivent être lus à courte distance et un système de sécurité oblige les agents à recourir à un scanner optique pour lire des caractères sur le document afin d’avoir accès aux données personnelles stockées sur la puce. Les autorités de l’Etat de Washington ont interdit la lecture des puces contenues sur les pièces d’identité sans l’autorisation des propriétaires et assurent que des pochettes de protection sont fournies avec les cartes pour les protéger des signaux radio afin de compliquer la tâche des lecteurs inopportuns. Mais des études montrent que les pochettes ne fonctionnent pas toujours et que les propriétaires de carte les perdent parfois.

Le respect de la vie privée n’est cependant pas le seul enjeu. La lecture non autorisée pourrait également menacer la sécurité aux frontières. S’il est aisé de récupérer des identifiants, il est alors relativement simple de contrefaire des cartes en chargeant un identifiant volé sur une carte vierge. Si chaque puce disposait également d’un unique numéro de série correspondant à l’identifiant stocké, la falsification serait plus compliquée mais ni les permis améliorés de l’Etat de Washington ni les "passport cards" ne sont équipés de cette outils de sécurité supplémentaire.

Les pièces d’identité délivrées par l’Etat Washington sont également sujettes à un autre type d’attaque : les puces EPC pouvant être désactivées lorsqu’un lecteur envoie une requête "kill". Bien que chaque puce soit conçue pour être protégée par un code PIN n’autorisant que les lecteurs connaissant le code à envoyer la requête, l’Etat n’a pas initialisé de code PIN sur les puces distribuées, permettant à chaque possesseur de lecteur RFID de détruire des cartes. Si les agents protégeant les frontières effectuent des contrôles soignés et vérifient la correspondance entre photos stockées dans les base de données et photos imprimées sur les cartes, il ne devrait pas y avoir trop d’erreurs mais la nature humaine a tendance à rendre moins vigilant lorsqu’on peut se reposer sur la technologie.

Aucune étude indépendante n’a encore été publiée sur l’évaluation des nouveaux permis de l’Etat de New York mais les cartes ne sont pas confrontées à toutes les menaces pesant sur les cartes fédérales et celles de l’Etat de Washington puisqu’elles disposent de numéros de série pour les protéger de la contrefaçon et leur mémoire a tété verrouillée pour empêcher l’usage de commandes non autorisée de la part de lecteurs RFID. Les failles de protection de la vie privée sont cependant les mêmes que pour les autres cartes et cela ne semble pas inquiéter les autorités. L’ajout de boutons d’activation/désactivation sur les puces pourrait apporter une meilleure protection de la vie privée mais induirait certainement un coût supplémentaire pour la fabrication des cartes.

Tant que ces problématiques ne seront pas prises en comptes par les autorités étatiques et fédérales, il est peu probable que l’usage de technologies puisse offrir une meilleure protection des frontières sans mettre en danger la vie privée de millions de personnes. Ce déploiement de technologies, encore soumises à des problèmes de sécurité, à grande échelle avec un objectif si important peut également être rapproché de l’expérience du vote électronique qui a connu et connait encore des problèmes similaires à cause d’initiatives un peu hâtives.

Source :

– Cloning and Reading E-Passports and PASS Cards, 10 février 2009 – https://www.rfidjournal.com/blog/entry/4615/
– White-hat hacker to show way to clone passport card data, 6 février 2009 – https://www.scmagazineus.com/White-hat-hacker-to-show-way-to-clone-passport-card-data/article/127045/
– RFID’s Security Problem, février 2009 – https://www.technologyreview.com/computing/21842/page1/

Pour en savoir plus, contacts :

Les vulnérabilités de RFID : https://www.rfidvirus.org/
Code brève
ADIT : 57733

Rédacteur :

Franz Delpont [email protected]

Partager

Derniers articles dans la thématique
,