[actus_l] Le nouveau passeport électroniquepiraté en quelques minutes

http://www.lemondeinformatique.fr/actualites/lire-les-passeports-electroniques-britanniques-encore-une-fois-compromis-26710.html

Les passeports électroniques britanniques encore une fois compromis

Edition du 12/08/2008 - par Olivier Rafal

Et de trois. Après un premier essai relaté par le Guardian en 2006, puis un
test réalisé en mars 2007 par le Daily Mail, The Times vient encore une fois
démontrer que les promesses d'inviolabilité formulées par le gouvernement
britannique à l'égard de son nouveau passeport électronique sont quelque peu
exagérées.

Le quotidien anglais a demandé à un expert en sécurité de l'Université
d'Amsterdam, Jeroen van Beek, de vérifier les assertions du gouvernement. Se
basant sur un ensemble de travaux réalisés dans plusieurs pays, Jeroen van
Beek a conçu un système capable de lire, de cloner et de modifier les puces
incluses dans les passeports électroniques. Et cela de façon indétectable : le
passeport avec sa puce modifiée est apparu tout à fait normal aux yeux du
Golden Reader, le système de lecture utilisé par l'Aviation civile
internationale.

Pour les besoins de la démonstration, le chercheur a, en duo avec l'expert en
sécurité Adam Laurie, modifié le passeport du petit garçon de ce dernier en
remplaçant sa photo par celle d'Osama Ben Laden (il fallait que ce soit
énorme, pour ne pas être accusé de vouloir tromper les autorités). Adam Laurie
avait déjà démontré en 2006 qu'il était très simple d'accéder aux informations
personnelles contenues dans la puce, la clé de lecture étant calculée à partir
d'éléments très faciles à trouver, et les informations stockées n'étant pas
cryptées.

The Times se fait un malin plaisir de souligner que la semaine précédente, 3
000 passeports électroniques vierges avaient été volés. Le gouvernement
britannique avait alors assuré que ces derniers étaient sans valeur... puisque
protégés par l'inviolabilité de leur puce. 

http://www.futura-sciences.com/fr/sinformer/actualites/news/t/technologie-1/d/en-bref-le-nouveau-passeport-electronique-pirate-en-quelques-minutes_16375/

Le 10 août 2008 à 14h50

En bref : le nouveau passeport électronique piraté en quelques minutes
Par Jean Etienne, Futura-Sciences

Il ne faudrait que quelques minutes à un hacker, moyennant un équipement
approprié, pour modifier le nouveau passeport électronique pourtant réputé
infalsifiable, révèle le Times de Londres.

Malgré les problèmes soulevés par la CNIL en ce qui concerne la protection des
données privées, le passeport électronique est en voie d’adoption par la
France. Il n’a pourtant pas encore fait toutes ses preuves. En 2006, la firme
néerlandaise Riscure réussissait à déchiffrer le code de sécurité en analysant
les données qui s’échangent entre la puce et la tête de lecture. Cela avait
pris environ deux heures.

Mais aujourd’hui, Jeroen van Beek, de l’université d’Amsterdam, a réussi à
"cracker" la puce RFID de deux passeports britanniques en quelques minutes
seulement. Et cela, quelques jours seulement après le vol de 3000 documents
neufs à Manchester ! Il affirme avoir mis au jour plusieurs failles de
sécurité dans le dispositif, et notamment le moyen d’introduire de nouvelles
données directement en mémoire. Cela, en utilisant un simple lecteur de carte
vendu 80 dollars dans le commerce.

Le Ministère de l’Intérieur s’est contenté de démentir, mais tient à préciser
qu’une telle manipulation serait immédiatement détectée par les lecteurs des
aéroports puisque la clé modifiée ne correspondrait plus à celle contenue dans
les bases de données. Ce à quoi le Times de Londres rétorque que le système ne
pourra être totalement sécuritaire que lorsque l’ensemble des 45 pays qui ont
décidé de l'adopter seront entièrement équipés, ce qui ne se produira pas
avant plusieurs années…

_____
Liste de diffusion d'informations relatives à l'informatique et aux libertés
Info, dés/abonnement : http://listes.samizdat.net/sympa/info/actus_l