Refailles biométriques, le feuilleton de l'été
Passeport biométrique qui crash les lecteurs de contrôle
Publié le 03-08-2007 dans le thème Authentification
Pays : Allemagne - Auteur : Damien Bancal
Voilà qui n'a pas fini de faire jazzer aux portes des douanes. Un chercheur Allemand trouve le moyen de transformer un passeport biométrique en pirate informatique.
Lukas Grunwald est un expert allemand en sécurité informatique. Il travaille pour la société DN-Systems et a été l'un des "conseillers" pour le parlement lors du lancement des passeports biométriques, en Allemagne. L'année dernière, déjà, cet informaticien avait mis un gros grain de sable dans la sécurité des papiers d'identité utilisant une puce RFID (Etiquette électronique à radio fréquence). Il avait réussi à copier son contenu et à reprogrammer les données.
Lukas Grunwald est un expert allemand en sécurité informatique. Il travaille pour la société DN-Systems et a été l'un des "conseillers" pour le parlement lors du lancement des passeports biométriques, en Allemagne. L'année dernière, déjà, cet informaticien avait mis un gros grain de sable dans la sécurité des papiers d'identité utilisant une puce RFID (Etiquette électronique à radio fréquence). Il avait réussi à copier son contenu et à reprogrammer les données.
Cette année, Grunwald va plus loin encore. Il a démontré qu'une puce RFID installée dans un passeport pouvait faire planter, "crasher", un lecteur de contrôle. Lukas Grunwald indique qu'il a copié les images inclues de la puce, les a modifiées, elles sont au format Jpeg2000 et le tour était joué. Un mauvais tour, car cette modification a provoqué un dépassement de tampon dans deux lecteurs. Un de ces lecteurs de RFID est d'ailleurs en action, en ce moment même, dans certains aéroports Allemands.
La faille est un Buffer Overflow, un dépassement de mémoire qui sature le logiciel faillible, qui pourrait ouvrir les portes à d'autres possibilités beaucoup plus agressives comme, mais ce n'est qu'une hypothèse, permettre aux RFID modifiées, de faire croire aux lecteurs de contrôle que le passeport est valide. Lukas est attendu le pied ferme, ce vendredi, au Defcon de Las Vegas pour parler de ses trouvailles lors de la conf' : "We Break Your Tag, Then We Break Your Systems".