Sécurité: passeports électroniques piratés en quelques minutes
Les nouveaux passeports avec puce électronique utilisés dans certains pays peuvent être modifiés en quelques minutes avec l'équipement approprié, selon ce qu'a révélé hier le Times de Londres.
Les passeports électroniques - qui devraient arriver au Canada en 2011 - sont des passeports réputés pour être impossibles à falsifier, qui contiennent une puce où peuvent être stockées une photo numérique, les informations biographiques et les informations biométriques du détenteur «officiel» du passeport.
Deux passeports ont toutefois été clonés et altérés par Jeroen van Beek, un chercheur en sécurité informatique, pour le quotidien Times de Londres, le tout en utilisant un lecteur de cartes acheté pour 80$ et deux cartes de 20$. Les deux puces modifiées en moins d'une heure ont été reconnues comme étant valides par le logiciel de lecture de passeports officiel approuvé par l'ONU.
En théorie, de telles puces modifiées devraient être détectées aux frontières puisqu'une clé qu'elles contiennent ne correspondrait pas à celle qui se trouve dans une base de données internationale, mais en pratique, selon le Times de Londres, ce système sera vraiment sécuritaire uniquement lorsque tous les 45 pays qui comptent utiliser des passeports électroniques s'en serviront, ce qui ne sera pas le cas avant plusieurs années.
Un petit "checksum" des données dans la puce VS un checksum dans la base de données centrale permettrait de savoir en un tournemain si la puce a été altérée... Et pas question de garder le checksum en mémoire dans la puce, mais plutôt de lire la totalité des données s'y trouvant et ensuite calculer le checksum réel du contenu.
@Magzime: un checksum ne garantie rien des donnees sources.
Par exemple, le programme pirate pourrait:
- lire le checksum AVANT de modifier les donnees
- modifier les donnees
- changer une donnee variable, disons le nom de famille, afin que le checksum final soit le meme que le checksum original.
J'ai l'impression, et ce n'est qu'une supposition, que le probleme est que puisque ce ne sont pas tous les pays qui participent au passeport electronique, toutes les donnees de passeport ne sont pas accessibles de tous les aeroports.
"ce système sera vraiment sécuritaire uniquement lorsque tous les 45 pays qui comptent utiliser des passeports électroniques s'en serviront"
Il y a quelques temps, les crétins du gouvernement usa et celui du Canada disaient qu'ils faudraient mettre des puces sur les permis de conduire et passe-port et tout le tralala. Et bien moi j'avais prédis qu'ils seraient pirater en moins de deux! Voila la réponse! Ces crétins ne comprennent rien à rien, l'informatique n'est pas une solution à tout. J'en sait quelques choses, je suis ingénieur système depuis plus de 16 ans et il y a des fois ou l'informatique de remplacement dans certains cas de sécurités est la pire solution.
Non, ce n'est pas comme le blueray. Le blueray est DRM qui est une bétise par définition car l'utilisateur à besoin du message, de la clef et de l'algo pour le lire. Donc, l'utilisateur a tout dans la main, le fonctionnement est juste caché.
Pour la carte à puce, on veut une signature du passeport. C'est très différent. La signature est vérifiée au frontière (la clef publique est uniquement connu des états). L'intérêt d'une carte à puce est de rendre impossible le clonage.
Les cartes à puces RFID sont souvent très faible pour des raisons de cout et de performances. Il peut être donc facile de les "casser"., rendant possible la duplication.
Par contre, il n'est pas encore question de créer des faux passeports sans un autre passeport réel.
levigoureux > Une puce de carte à puce ce n'est pas n'importe quoi. Je suis prêt à parier que la technologie qui a été cassé là, l'est sur la plus faible techno disponible actuellement pour les passeport. Et si cette techno faible a été choisi, c'est pour économiser 2 ou 3€ par passeport.
Les fondements crypto d'une signature sont très forte, du moment que c'est correctement implémenté et qu'il n'y a pas de raccourci pour gagner qq euros.
Le problème de la cryptographie n'est habituellement pas la théorie, le problème vient plutôt de l'implémentation de cette théorie vers la pratique (hardware, programmation, sauvegarde des clefs, etc) Je n'ai pas trop lu sur ce cas, mais je crois que la faille vient du fait que la signature des données (qui doit être en principe effectué par le pays émetteur du passeport) ne soit pas vérifier convenablement étant donné que plusieurs pays n'ont pas adhérer au système et que le passeport ne peut donc pas valider cette signature.
Les nouveaux passeports avec puce électronique utilisés dans certains pays peuvent être modifiés en quelques minutes avec l'équipement approprié, selon ce qu'a révélé hier le Times de Londres.
Partagez
Commentez
Imprimez
