Passeports biométriques : Le fantôme de la semaine catastrophique(4)
Chiffré par-dessus la jambe : le nouveau « super passeport » biométrique britannique à RFID -fort proche de celui que souhaite nous imposer les instances françaises- utilise un algorithme 3DES « inviolable » que Steve Boggan et Adam Laurie ont cassé en quelques jours. La fameuse « clef super secrète DES niveau 3 » donnant accès au contenu du RFID est une fonction extrapolée.... Du numéro de passeport, de la date de naissance du possesseur et de la date d'expiration du document. Données bien entendu accessible par simple lecture -OCR ou humaine- de la première page de la pièce d'identité. Après une telle découverte, l'extraction des données « cryptées avec le state of the art algo 3DES » était aussi difficile à comprendre qu'un chiffrement par EXOR d'une fable de La Fontaine. L'article du Guardian manque hélas singulièrement de précisions techniques. Mais on peut difficilement mettre la véracité des faits en doute. Adam Laurie est notamment connu pour ses recherches sur les vulnérabilités Bluetooth. C'est également l'un des membres du fameux Bunker, qui faisait déjà la hune de CSO France dès 1999. Ce n'est pas non plus la première fois qu'il communique sur les techniques d'attaque « brute force » des passeports Grands Bretons et autres méthodes de dump RFID. Les perspectives de vol d'identité sont d'autant plus inquiétantes, que l'équipe de hackers assure pouvoir siphonner une étiquette RFID en près de 4 secondes. Il suffit pour cela de s'approcher à quelques centimètres du passeport à pirater, opération d'une simplicité enfantine durant les heures de pointe dans la ligne de métro reliant Heathrow à Londres. Avant même la généralisation de son usage, le passeport biométrique est piraté, dupliqué, spolié de ses données non répudiables. A moins de promettre aux contribuables le dégrèvement fiscal et le remboursement intégral des actes de chirurgie esthétique, on se demande comment les différents Ministères de l'Intérieur Européens pourraient bien se sortir de cette impasse, sans perdre ni la face, ni celle de leurs citoyens administrés.
