navigation

Le passeport biométrique belge en difficultés 7 juin, 2007

Posté par Alain Didier Ndalla dans : Sécurité , trackback

Une équipe de recherche en cryptographie de l’Université catholique de Louvain a mis au jour de graves faiblesses dans le passeport biométrique belge, le seul type de passeport distribué depuis fin 2004 en Belgique. Les travaux menés à Louvain-la-Neuve durant le mois de mai 2007 ont montré que les passeports belges émis entre fin 2004 et juillet 2006 ne possèdent aucun mécanisme de sécurité pour protéger les informations personnelles contenues dans la puce électronique du passeport. Quant à ceux émis après juillet 2006, ils bénéficient de mécanismes de sécurité, mais ceux-ci se révèlent insuffisants. Cela signifie que quiconque muni d’un petit dispositif électronique de lecture, facile et peu coûteux à se procurer, peut voler le contenu de passeports alors qu’ils sont encore dans la poche de leur victime et, donc, à l’insu de celle-ci. Photo d’identité et signature manuscrite font partie des informations menacées. Cette nouvelle est d’autant plus surprenante que le ministre des affaires étrangères, Karel De Gucht, a déclaré le 9 janvier 2007 devant la chambre des représentants que le passeport belge bénéficiait des mécanismes de sécurité préconisés par l’Organisation de l’Aviation Civile Internationale.
Les passeports biométriques ont vu le jour en Belgique vers la fin de l’année 2004, faisant de la Belgique l’un des pays précurseurs dans le domaine. Ces passeports identifiables à leur logo sur la face avant de la couverture possèdent une puce électronique (située dans la couverture arrière du passeport) qui contient des informations personnelles sur le porteur : photo d’identité, signature manuscrite, nom, prénoms, numéro de passeport, sexe, date de naissance, lieu de naissance, lieu d’émission du document, autorité ayant délivré le document, dates d’émission et d’expiration. Cette puce est interrogeable à distance (environ 10cm avec un lecteur disponible dans le commerce) mais le standard émis par l’Organisation de l’Aviation Civile Internationale (OACI) prévoit l’utilisation de moyens cryptographiques pour protéger l’accès à distance à ces informations. Il faut selon le standard lire les deux lignes codées (Machine Readable Zone) en bas de la première page du passeport pour obtenir l’accès au contenu de la puce électronique. Le but est d’empêcher la lecture des données personnelles à quiconque ne possédant pas le passeport entre les mains.

Gildas Avoine, Kassem Kalach et Jean-Jacques Quisquater qui dirige le groupe de cryptographie de l’UCL ont cependant découvert que les passeports belges de première génération, ceux émis jusqu’en juillet 2006 et donc valides jusqu’en 2011, ne possèdent aucun mécanisme de sécurité pour assurer la protection des informations personnelles. Ils ont ainsi démontré qu’il est possible de lire le contenu d’un passeport de première génération à distance en quelques secondes sans que le porteur ne s’en aperçoive. Non seulement ces passeports ne respectent pas les préconisations de l’OACI mais ils contiennent des informations qui ne sont pas exigées par cette organisation, comme la signature manuscrite du porteur. Le vol de cette information ouvre la voie à de nombreuses actions malveillantes.

Cette découverte est d’autant plus surprenante que le ministre des affaires étrangères, Karel De Gucht, avait déclaré le 9 janvier 2007 devant la chambre des représentants, sur interpellation des députés Joseph Arens et Jean-Claude Maene : « (…) les données contenues dans la puce [du passeport] sont protégées par deux sécurités : le Basic Access Control et l’Active Authentification ».

Ce n’est malheureusement qu’à partir de juillet 2006 que le passeport belge a bénéficié du Basic Access Control (BAC), mécanisme qui permet de protéger les informations personnelles. Les chercheurs de l’UCL ont alors étudié ces passeports de seconde génération et ont montré que ceux-ci souffrent également d’une très grave faiblesse, permettant à quiconque de les lire à distance sans y être autorisé. Cette faiblesse avait déjà été mise en évidence dans les passeports anglais, néerlandais, allemands, et suisses mais le passeport belge est plus sensible à cette faiblesse que les autres. Conformément au standard de l’OACI, il suffit de lire les deux lignes codées en bas de la première page du passeport pour accéder au contenu de la puce électronique. En fait, seuls sont pris en compte dans ces deux lignes la date de naissance, la date d’émission et le numéro du passeport. Il est alors possible de « deviner » ces informations en effectuant une recherche exhaustive sur toutes les combinaisons possibles date naissance / date d’expiration / numéro de passeport. Le passeport belge résiste mal à cette attaque car les numéros des passeports sont attribués par ordre croissant au moment de leur fabrication, ils sont liés à la langue du passeport, et la durée de validité du document n’est que de 5 ans. Ce sont autant d’éléments qui réduisent la plage de recherche des combinaisons possibles. Après avoir lu des passeports de première génération en quelques secondes, les chercheurs de l’UCL sont ainsi capables de lire les passeports de seconde génération en une heure si les dates de naissance et d’expiration sont connues.

Suite à leurs travaux, G. Avoine, K. Kalach et J.-J. Quisquater estiment que les passeports biométriques belges de première génération doivent être retirés de la circulation sans attendre. Ils encouragent également le gouvernement belge et la communauté européenne à exiger de l’OACI une modification du standard. Une manière simple de réparer cette faiblesse sans changer significativement le standard consiste à ajouter des caractères aléatoires dans les deux lignes codées. Les chercheurs soulignent que le passeport belge devrait également s’inspirer du passeport américain en intégrant dans sa couverture du métal, afin de former une cage de protection, dite de Faraday, qui empêcherait la lecture électronique du passeport lorsque celui-ci est fermé.

Commentaires»

pas encore de commentaires

Laisser un commentaire

CENTRES D'APPELS***CALL CEN... |
L'informatique à la MJC |
zolder |
Unblog.fr | Créer un blog | Annuaire | Signaler un abus | La magie de l'informatique
| Les thèmes
| Téléphonie (Natel / IP)