failles biométriques

Publié le par Blair

Actualité RFID : Le passeport biométrique européen : une ineptie ?!

[Sécurité]
[18-11-2006] Le passeport biométrique européen : une ineptie ?!

Le FIDIS (Future of Identity in the Information Society ou Futur de l'Identité dans la Société de l'Information) est un réseau d'excellence créé dans le cadre du sixième programme cadre de l'Union Européenne.
Le FIDIS vient de publier un document, sous le nom de ''Déclaration de Budapest'', remettant lourdement en cause le principe du passeport biométrique à RFID, déjà adopté en Europe.
Le rapport met ainsi en exergue les multiples voies de piratage (man in the middle, vol de clef, système basique de contrôle d'accès vulnérable à une attaque en force brute, clonage aisé des RFID contenus dans les documents de voyage, etc). Surtout, le rapport insiste sur le caractère permanent des données stockées (telles que les informations biométriques) et, donc, sur les risques liés à une exploitation durable des données piratées !!!
Le document est consultable en ligne.


Source :

[1] http://www.reseaux-telecoms.net/actualit (...)


 

trouvé sur : http://www.rfidfr.org/actualites-rfid-20061118.php


 

*************************


 

La sécurité du passeport biométrique de nouveau dénoncée
Vulnérables à de multiples attaques, les documents d'identité à puces RFID sont à nouveau pointés du doigt. Les experts du FIDIS encouragent l'Union Européenne à revoir sa copie d'ici 3 ans.  (16/11/2006)
Bien qu'adoptés par les instances européennes et les états membres, les passeports biométriques à puce RFID sont loin encore de faire l'unanimité. Les vulnérabilités des tags RFID avaient déjà été au cœur des débats lors de la dernière conférence Black Hat (lire l'article du 08/08/2006).

Si les élus peuvent témoigner quelques réticences à prêter l'oreille aux discours de hackers, le FIDIS (Futur de l'Identité dans la Société de l'Information) rassemblant universités, instituts de recherche et entreprises européennes, entend porter à leur attention ses propres travaux.

Le groupe d'intérêt a en effet publié un manifeste à l'adresse des responsables des gouvernements et de l'industrie concernant les DVLA (Documents de Voyage à Lecture Automatique). Le FIDIS revient notamment sur les failles exposant les titulaires de ses pièces d'identité numérique et sur les modifications à appliquer pour pallier leurs faiblesses.

Hormis les fraudes et délits affectant déjà les documents d'identité, les chercheurs du FIDIS rappellent que les DVLA comportent des menaces additionnelles. Les passeports biométriques RFID présenteraient ainsi des risques pour la sécurité et la protection de la sphère privée des utilisateurs et pourraient accroître les vols d'identité.

En effet, selon le FIDIS, les données contenues dans les DVLA peuvent être interceptées et lues jusqu'à une distance de 10 mètres du porteur, et ce de manière totalement invisible. Le comité rappelle également que les informations biométriques pourraient être employées à d'autres fins par les secteurs publics et privés. Enfin, la biométrie n'est pas infaillible et peut être source d'erreur d'authentification.

Des DVLA exposés à des attaques man in the middle, force brute, au vol de clé, au clonage des tags RFID
Et si certains des DVLA sont équipés de verrous supplémentaires, ils n'en sont pas moins vulnérables. Est ainsi cité le passeport américain comportant dans sa couverture une toile de fibre métallique. Deux chercheurs, Mahaffey et Hering, ont démontré qu'une simple ouverture d'un demi-pouce suffisait pour intercepter à une distance de deux pieds les données (environ 60 centimètres).

Parmi les autres menaces identifiées, le FIDIS cite notamment le caractère irrévocable des données biométriques et la validité de 10 ans des DVLA. Deux caractéristiques qui permettront l'utilisation frauduleuse d'informations dérobées durant un laps de temps important. Les documents d'identité sont aussi exposés à des attaques man in the middle (interception) ou en force brute, au vol de clé, au clonage des tags RFID, ou encore à des abus de lecture à distance.

Sur la base de ses recherches, le FIDIS a donc élaboré plusieurs recommandations, pour l'essentielle correctives, des DVLA ayant déjà été introduits. Il conseille ainsi de ne pas étendre leur utilisation pour l'authentification dans le secteur privé, d'informer et sensibiliser les citoyens quant aux risques encourus. Mais aussi, d'établir des procédures à appliquer lors de vol d'identité et pour prévenir l'utilisation abusives des données contenues dans les DVLA.

Toutefois, le FIDIS recommande à moyen terme la mise en œuvre d'un nouveau concept comprenant des mesures de sécurité plus éprouvées pour les DVLA. Un projet futur qui devra s'atteler au renforcement de la protection des données et évaluer les risques et menaces provoquées par la combinaison des technologies (biométrie, RFID, etc.). En outre, les choix devront être débattus ouvertement par des experts en sécurité.
 
 
Christophe AUFFRAY, JDN Solutions

Publié dans articles

Commenter cet article