La sécurité limitée des passeports biométriques mise en exergue

Les passeports électroniques qui font leur arrivée en France et aux États-Unis peuvent être facilement clonés. Un expert en sécurité allemand en a fait la démonstration à l’occasion des conférences Black Hat sur la sécurité (*).

Lukas Grunwald, de la société de conseil DN-Systems, a ainsi réussi à copier sur un PC portable le contenu de la puce radio intégrée dans son passeport. Il a pour cela connecté à son ordinateur un simple lecteur de puces radio RFID, qu’il a passé à la surface du document de voyage afin de récupérer les données. Une fois stockées sur le disque dur, celles-ci ont été transférées sur une carte à puce grâce à un enregistreur également relié au PC.

La copie possible, mais pas la modification

La carte à puce ainsi créée peut être utilisée à la place du passeport original, a assuré l’expert. Mais, précise-t-il, le contenu de la puce n’a pas pu être modifié, étant simplement copié sur un autre support.

Lukas Grunwald n’a pas exploité de faille éventuelle dans le système de chiffrement des données stockées sur la puce. Pour contourner les protections de cette dernière, il a créé un logiciel permettant au PC de se faire passer pour une station de contrôle, comme celles déployées dans les aéroports.

Toutefois, si les données ne peuvent être modifiées, leur clonage pose tout de même des problèmes de protection des données personnelles. Il est possible de cette manière d'usurper une identité, a mis en avant Grunwald. En outre, il a prouvé dans une autre démonstration que son système fonctionne aussi avec des badges d’accès d'entreprises. Là encore, il lui a suffi de dupliquer le contenu de la puce sans contact intégrée sur une carte professionnelle.

Plus sécurisé que le passeport papier

«Cela ne remet pas en cause la sécurité du passeport électronique qui demeure supérieure à celle de sa version papier», commente pour ZDNet.fr Frédéric Trojani, vice-président de Gemalto pour le secteur public.

Fruit de la fusion de Gemplus et Axalto, Gemalto a été choisi par l'Imprimerie nationale comme fournisseur du passeport électronique. Les États-Unis l'ont également retenu, avec l'Allemand Infineon.

«Les données de la puce n’ont pas été altérées, c’est ce qui est important. La sécurité du passeport électronique réside principalement dans cette incapacité à modifier les données inscrites, afin de lutter contre la création de faux papiers», poursuit le dirigeant. «C’est ce qu’ont demandé les gouvernements qui n’ont pas réclamé de prime abord un niveau supérieur de sécurité».

Un niveau de sécurité plus élevé prévu en Europe

Il précise cependant qu’une évolution plus sécurisée des passeports électroniques sera testée en 2007 en Europe. Ces passeports, dits EAC (Extended access control), intégreront un identifiant unique afin d’éviter tout clonage, et l’accès aux information sera plus limité. Des mesures nécessaires car ils accueilleront d'autres données personnelles, telles que les empreintes digitales.

En France, le passeport électronique est d’ores et déjà disponible dans certaines mairies. Aux États-Unis, il sera distribué à compter d’octobre prochain. La puce du passeport contient en format numérique toutes les données d'état civil présentes sur la première page du passeport papier, ainsi que la photo d'identité (élément dit biométrique). La puce mesure environ 3 x 4 mm, intègre 72 Ko de mémoire et peut communiquer par ondes radio avec une portée maximale de 10 cm.

(*) du 29 juillet au 3 août à Las Vegas