failles biométriques
[Sécurité]
[18-11-2006] Le passeport biométrique européen : une ineptie ?!
Le FIDIS (Future of Identity in the Information Society ou Futur de l'Identité dans la Société de l'Information) est un réseau d'excellence créé dans le cadre du sixième programme cadre de l'Union Européenne.
Le FIDIS vient de publier un document, sous le nom de ''Déclaration de Budapest'', remettant lourdement en cause le principe du passeport biométrique à RFID, déjà adopté en Europe.
Le rapport met ainsi en exergue les multiples voies de piratage (man in the middle, vol de clef, système basique de contrôle d'accès vulnérable à une attaque en force brute, clonage aisé des RFID contenus dans les documents de voyage, etc). Surtout, le rapport insiste sur le caractère permanent des données stockées (telles que les informations biométriques) et, donc, sur les risques liés à une exploitation durable des données piratées !!!
Le document est consultable en ligne.
Source :
[1] http://www.reseaux-telecoms.net/actualit (...)
trouvé sur : http://www.rfidfr.org/actualites-rfid-20061118.php
*************************
La sécurité du passeport biométrique de nouveau dénoncée | |||
Vulnérables à de multiples attaques, les documents d'identité à puces RFID sont à nouveau pointés du doigt. Les experts du FIDIS encouragent l'Union Européenne à revoir sa copie d'ici 3 ans. (16/11/2006) | |||
Bien qu'adoptés par les instances européennes et les états membres, les passeports biométriques à puce RFID sont loin encore de faire l'unanimité. Les vulnérabilités des tags RFID avaient déjà été au cœur des débats lors de la dernière conférence Black Hat (lire l'article du 08/08/2006). Si les élus peuvent témoigner quelques réticences à prêter l'oreille aux discours de hackers, le FIDIS (Futur de l'Identité dans la Société de l'Information) rassemblant universités, instituts de recherche et entreprises européennes, entend porter à leur attention ses propres travaux.
Hormis les fraudes et délits affectant déjà les documents d'identité, les chercheurs du FIDIS rappellent que les DVLA comportent des menaces additionnelles. Les passeports biométriques RFID présenteraient ainsi des risques pour la sécurité et la protection de la sphère privée des utilisateurs et pourraient accroître les vols d'identité. En effet, selon le FIDIS, les données contenues dans les DVLA peuvent être interceptées et lues jusqu'à une distance de 10 mètres du porteur, et ce de manière totalement invisible. Le comité rappelle également que les informations biométriques pourraient être employées à d'autres fins par les secteurs publics et privés. Enfin, la biométrie n'est pas infaillible et peut être source d'erreur d'authentification.
Parmi les autres menaces identifiées, le FIDIS cite notamment le caractère irrévocable des données biométriques et la validité de 10 ans des DVLA. Deux caractéristiques qui permettront l'utilisation frauduleuse d'informations dérobées durant un laps de temps important. Les documents d'identité sont aussi exposés à des attaques man in the middle (interception) ou en force brute, au vol de clé, au clonage des tags RFID, ou encore à des abus de lecture à distance. Toutefois, le FIDIS recommande à moyen terme la mise en œuvre d'un nouveau concept comprenant des mesures de sécurité plus éprouvées pour les DVLA. Un projet futur qui devra s'atteler au renforcement de la protection des données et évaluer les risques et menaces provoquées par la combinaison des technologies (biométrie, RFID, etc.). En outre, les choix devront être débattus ouvertement par des experts en sécurité. | |||
|