Les écouter 20 minutes affolerait un Cro-Magnon reclus dans une caverne depuis des siècles. L’Israélien Adi Shamir, la Française Véronique Cortier et le Belge Bart Preneel ont secoué le cocotier des idées reçues sur la cybersécurité, lundi et mardi, en répondant à l’invitation du de l’Université du Luxembourg.
Mais les trois experts mondiaux en cybersécurité réunis à l’occasion de la 24e édition des Esorics se sont fait voler la vedette par une équipe de chercheurs de l’Université du Luxembourg.
Mercredi, en milieu d’après-midi, , , et deux étudiants, Zach Smith et Ihor Filimonov, annoncent avoir découvert une faille informatique dans les lecteurs de puces des passeports biométriques.
L’OACI prévenue en juin
Officiellement, cette faille n’a été testée que dans les aéroports. Officiellement, parce que si les chercheurs reconnaissent entre les lignes avoir essayé ailleurs, répondent-ils par e-mail, l’état de leurs recherches ne permet pas (encore) d’arriver aux mêmes conclusions de manière empirique.
Qu’ont-ils découvert? Quand un voyageur ouvre son passeport pour qu’il soit «scanné» par le lecteur, la puce et le lecteur communiquent selon un standard international, la norme 9303 de l’OACI, réputée inviolable.
Les détenteurs de passeport ne sont pas protégés contre les mouvements de leurs mouvements par un observateur non autorisé.
Selon les chercheurs, avec un lecteur mobile du même type à proximité, un hacker mal intentionné pourrait connaître le trajet de n’importe quelle personne. Sur internet, il ne faut pas plus de trois minutes pour acheter des lecteurs identiques à ceux du Findel et d’ailleurs.
«Avec le bon appareil, vous pouvez numériser les passeports à proximité et réidentifier les détenteurs de passeports précédemment observés, en gardant une trace de leurs mouvements», explique le Dr Horne. «Ainsi, les détenteurs de passeports ne sont pas protégés contre les mouvements de leurs mouvements par un observateur non autorisé.»
Les données, cryptées, ne sont pas menacées
Cette faille concerne la vie privée et non pas la protection des données. Les données privées du passeport contenues dans la puce ne sont toujours pas connues du hacker.
Un peu de technologie et des habitudes de profilage permettraient très vite d’en savoir beaucoup sur des voyageurs anonymes, qu’ils soient dans un aéroport ou que leur passeport soit «lu» dans un hôtel ou dans une administration, par exemple. Cela sous-entend évidemment des intentions, au mieux commerciales et au pire malveillantes. Mais techniquement, cela est possible.
Le député des Pirates, , . Joint par téléphone par Paperjam, il exprime son inquiétude. «Cela voudrait dire que l’on pourrait suivre à la trace quelqu’un qui porte un passeport luxembourgeois ou une carte d’identité. On peut imaginer cela dans un magasin. Croisées avec celles du paiement, les données permettraient de savoir qui a acheté quoi, combien de temps [la personne] a passé dans le magasin, etc. Et sur une braderie, par exemple, si cette personne s’arrête X minutes au stand du CSV et Y minutes au stand d’un autre parti, on le saurait aussi.»
Les cartes d’identité potentiellement concernées
Car au Luxembourg, le sujet est un tout petit peu plus préoccupant que cela. Comme en Estonie et dans la plupart des pays du nord de l’Europe, la norme 9303 de l’OACI est aussi utilisée... pour les cartes d’identité biométriques.
La porte-parole de la ministre de l’Intérieur , Nathalie Schmit, le reconnaît. «Comme spécifié dans le règlement grand-ducal du 18 juin 2014 relatif à la carte d’identité luxembourgeoise, l’accès aux données personnelles stockées dans les cartes eID est protégé par les protocoles BAC (Basic Access Control), EAC (Extended Access Control) et SAC/PACE (Supplemental Access Control/Password Authenticated Connection Establishment) qui sont tous définis par l’OACI et référencés dans la norme 9303».
Les chercheurs luxembourgeois ne publient pas les résultats de leur étude à cette date par hasard. Obligés de respecter un «délai éthique», ils ont prévenu les responsables, non pas luxembourgeois, mais de , en juin.
L’OACI minimise le risque
Dans la logique de la cybersécurité, ces derniers auraient dû avoir une action corrective. C’est le sens des différentes politiques de défense face aux menaces. L’idée n’est pas d’éviter une attaque ou un virus, mais de pouvoir le/la détecter le plus vite possible et d’agir aussitôt pour y remédier.
Contactée, l’OACI répond par une sorte de «Circulez, il n’y a rien à voir!»: «Les experts de l’OACI et de l’ISO ont examiné de manière approfondie ces recherches et leur analyse initiale est qu’elles ne sont pas liées aux spécifications du Doc 9303 dans leur version actuelle», expliquent dans deux e-mails successifs les deux directeurs de la communication de l’organisation, Anthony Philbin et William Raillant-Clark.
En Europe, une telle atteinte à la sécurité enfreint probablement les exigences du cadre de protection des données de l’UE. Les gouvernements ont la responsabilité de protéger la vie privée des particuliers et de veiller à ce que les documents officiels soient à l’épreuve des balles contre de telles attaques.
«C’est particulièrement le cas étant donné que les dernières spécifications du Doc 9303 incorporent le protocole PACE, considéré comme une alternative plus sécurisée au protocole BAC», disent les deux porte-parole. Ce que contestent les trois chercheurs du Luxembourg, pour qui ce problème n’a pas été résolu. Selon eux, l’OACI devrait au minimum demander aux fabricants de lecteurs de puces RFID de modifier leurs appareils pour éviter cette fuite potentielle de données.
«Comme la plupart des passeports utilisent aujourd’hui les mêmes normes, cette faille de sécurité a potentiellement un impact mondial», poursuit le Dr Horne. «En Europe, une telle atteinte à la sécurité enfreint probablement les exigences du cadre de protection des données de l’UE. Les gouvernements ont la responsabilité de protéger la vie privée des particuliers et de veiller à ce que les documents officiels soient à l’épreuve des balles contre de telles attaques.»
À l’heure où nous rédigions cet article, le ministère de l’Intérieur nous avait renvoyés vers «le Centre des technologies de l’information de l’État, responsable en la matière,» pour de plus amples informations. Le ministère des Affaires étrangères, responsable des passeports, ne nous avait pas répondu, pas plus que la Commission nationale pour la protection des données.
Tous n’ont découvert ce problème que mercredi. Dans la presse.