/image%2F1217104%2F20191118%2Fob_f52d34_benoit-illassa-et-patrice-talon.jpg)
Une équipe belge de chercheurs en cryptographie vient de découvrir avec stupéfaction que 720 000 passeports à puce RFID, délivrés en Belgique entre fin 2004 et juillet 2006, n’étaient tout simplement pas cryptés.
Il suffit donc d’un lecteur de puces RFID du commerce pour accéder à leur contenu, à 10 cm de distance. Ce qui peut se faire en toute discrétion et en quelques secondes n’importe où.
Comme si cette gaffe ne suffisait pas, le passeport RFID belge contient un ingrédient de plus que ses confrères européens : la signature du titulaire.
Donc, 720 000 citoyens belges disposent d’un passeport prêt à confier au premier hacker venu toute l’information qu’il contient en page 2, photos de face et de la signature comprises. Nous avons déjà eu l’occasion d’expliquer (ici) que l’introduction de cette puce RFID dans nos passeports avait été motivée par une volonté politique de les « sécuriser », contre l’avis des experts qui ont crié casse-cou avant, pendant et après.
L’équipe du Crypto Group de l’Université catholique de Louvain, à savoir le Français Gildas Avoine, le Libanais Kassem Kalach et Jean-Jacques Quisquater, leur patron belge, a fait cette étonnante découverte alors qu’elle cherchait à « craquer » le système cryptographique qui est supposé protéger le passeport RFID européen. Des chercheurs allemands, britanniques et néerlandais ont déjà publié diverses faiblesses de ces e-passeports, dont le principe a été adopté par l’Union européenne, sous la pression de Washington, et est plus ou moins mal concrétisé dans chaque pays membre.
Surprise : certains passeports ne répondaient pas du tout aux tentatives des chercheurs belges, qui utilisaient pourtant le protocole cryptographique ad hoc. Ils finirent par comprendre que toute une génération de passeports RFID étaient purement et simplement dépourvus de ce protocole cryptographique, d’où leur incapacité de lui répondre.
Ce n’est pas tout. La même équipe a évalué la résistance des autres passeports RFID belges, ceux délivrés après juillet 2006. Ils sont plus fragiles encore que leurs cousins britanniques, par exemple. Comme nous l’avons déjà expliqué (ici), la procédure normale de dialogue crypté avec la puce RFID est protégée par une clé construite à partir des dates de naissance et d’expiration du passeport et de son numéro de série.
Or ces informations, que l’on peut bien sûr lire dans le passeport à condition de l’ouvrir, sont susceptibles d’être obtenues par divers moyens et/ou plus ou moins « devinées ». Dans le cas belge, le numéro de série est strictement séquentiel et découle simplement de l’ordre de fabrication. Le seul bémol, c’est que l’imprimerie réalise alternativement des séries de passeports en Français, en Néerlandais et en Allemand.
Les chercheurs ont eu vite fait, en consultant les passeports de quelques proches, de mettre en relation des séquences de numéros avec des intervalles de dates. Un travail à la portée du premier faussaire venu. Au final, après une étude sommaire de ces numéros de série, les chercheurs ont constaté que pour un passeport émis à une certaine date, ils parvenaient déjà à ramener à 24 000 le nombre de valeurs possibles pour le numéro de série. Alors que ce dernier comporte deux lettres et 6 chiffres. Nulle doute qu’une analyse plus serrée permettrait de réduire encore ce nombre. Du coup, dans le cas d’un passeport dont les dates de naissance et d’expiration sont connues, il faut une heure au maximum (donc une demi-heure en moyenne) pour tester ces 24 000 numéros de série, à raison de 400 tentatives par minute.
Or dans les scénarios plausibles d’attaques organisées par des faussaires organisés, les dates de naissance et d’expiration sont les deux éléments les plus accessibles. On fera remarquer qu’il suffirait de voler le passeport, voire un sac à main pour obtenir toues les informations voulues. Mais ce serait oublier que tout le charme (et le danger) du vol d’identité via la puce RFID est précisément qu’il peut être effectué sans que sa cible se doute de quoi que ce soit.
En partenariat avec:
