Des chercheurs présents à une conférence à Las Vegas ont démontré que des passeports dotés d’étiquettes identitaires à fréquences radio (RFID = Radio frequency Identification tags) peuvent être « clonés » au moyen d’un simple ordinateur portable équipés d’un lecteurs de RFID à Frs 240.- et d’un appareil à graver les cartes électroniques aussi bon marché. En outre, les chercheurs affirment que ces étiquettes RFID incorporées aux documents de voyages peuvent permettre d’identifier à distance les passeports américains (donc les futurs suisses aussi !), ce qui permettrait à des terroristes d’exploiter cette faille pour déclencher des explosifs !

C’est ce que vient de révéler C-Net le 5 août.

http://news.com.com/Researchers+E-passports+pose+security+risk/2100-7349_3-6102608.html?tag=html.alert

Lukas Grunwald, un chercheur de l’entreprise DN-Systems à Hildesheim (Allemagne) a démontré qu’il pouvait copier les données contenues dans l’étiquette RFID de son passeport et copier les données sur une carte magnétique dotée d’une puce RFID. La puce copiée pourrait servir à fabriquer un faux passeport, par exemple. « Nous avons programmé la puce de manière qu’elle réagisse comme celle d’un passeport « a déclaré Grunwald dans une interview accordée à CNET News.com vendredi 5 août 2006.

La menace de duplication illicite pourrait affecter des millions d’Américains qui doivent commencer à recevoir leur passeport à puce RFID en octobre 2006. Ils contestent ainsi les assertions des autorités qui ont défendu le principe du passeport à puce RFID malgé les menaces qu’il faisait planer sur la vie privée des citoyens en alléguant que le nouveaux passeports seraient « beaucoup plus difficiles à imiter ».

M. Grunwald n’a pas découvert de faille dans le cryptage qui protège l’intégrité des informations contenues dans les puces des passeports. En d’autres termes, alors qu’il est facile de cloner ces données en scannant l’étiquette RFID, il n’est pas possible de modifier lesdites données. M. Grunwald a pu lire les données de la puce en dupliquant un lecteur utilisé par les douaniers.

Il ne lui a fallu que deux semaines et une somme de Frs 7000.- en conseils judiriques pour terminer sa recherche expérimentale, en recourant à un lecteur de RFID et un logiciel « maison ». M. Grunwald a aussi tenté, avec succès, d’utiliser son dispositif (de clonage) sur des cartes RFID de grandes sociétés. Cela signifie qu’un agresseur potentiel pourrait copier des cartes d’accès et s’en servir pour ouvrir les portes de bâtiments réputés « sécurisés ».

« On peut utiliser les puces RFID de manière sécurisée mais, en matière de passeports électroniques, les normes adoptées l’ont été sur la base de compromis et l’on ne peut obtenir une sécurité par la voie de compromis » a déclaré M. Grunwald. « IL faut beaucoup de recherches pour y parvenir et actuellement, cette recherche n’est pas aboutie ».

Grunwald a précisé qu’il était sur le point de lancer une entreprise spécialisée dans la sécurité par puces RFID.

Dans le monde entier, des gouvernements adjoignent une puce RFID à leurs passeports pour combattre les contrefaçons. Agissant plus rapidement que les Etas-Unis, nombre de pays européens ont déjà lancé leurs passeports électroniques à puces RFID. Des défenseurs de la vie privée des citoynes et plusieurs experts avaient déjà prévenu des dangers possibles liés au passage aux passeports électroniques.

La fuite de données est l’un des dangers de cette technique. De par leur conception, les étiquettes RFID peuvent être interceptées et lues par des lecteurs idoines. Il suffit qu’on passeport soit entr’ouvert pour que ses données soient exposées à la lecture par des tiers, a souligné un chercheur de l’entreprise Flexilis (…)

Ainsi il est possible de déterminer la nationalité du détenteur d’un tel passeport en prenant « l’empreinte digitale » des caractéristiques de la puce RFID qu’il contient. «Le simple fait, pour un agresseur potentiel, de savoir qu’une personne est porteuse d’un passeport représente une faille dangereuse pour la sécurité ».

Cette faille, à elle seule, pour prendre un exemple extrême, permettrait de faire exploser une charge à l’approche de toute personne porteuse d’un passeport américain (Réd: ou français, ou allemand). M: Mahaffey a montré une video simulant une telle situation.

L’entreprise Flexilis propose d’adopter un double blindage et une puce RFID conçue pour n’être lue que si le passeport est complètement ouvert. M. Grunwald, conscient du danger de perte ou de fuite ou de vol de ses données, a placé son propre passeport électronique dans une poche contenant une feuille d’aluminium. En Allemagne on vend déjà de tels étuis blindés empêchant que des tiers non autorisés puissent lire les données du passeport à distance (par réception hertzienne).

Grunwald a ajouté que le gouvernement allemand a décidé, en raison de difficultés rencontrées avec le passeport RFID que celui ci serait malgré tout pris en compte et admis si la puce RFID était devenue inopérante.

Un club allemand de pirates de l’électronique (des « hackers »), The Chaos Computer Club, a imaginé une solution : il recommande de passer son passeport électronique au four à micro-ondes »

Heinz Dellberg-Hofer