Des passeports biométriques dévoilent leurs possesseurs

Par 08 juin 2007
Mots-clés : Smart city, Europe

Des chercheurs estiment que les passeports biométriques belges représentent un danger pour la protection de la vie privée. Les informations qu'ils contiennent seraient aisément piratables...

Des chercheurs estiment que les passeports biométriques belges représentent un danger pour la protection de la vie privée. Les informations qu'ils contiennent seraient aisément piratables.
 
Les passeports ultra-sécurisés se retrouvent sur le ban des accusés... La Belgique faisait figure de précurseur en 2004 en intégrant une puce radio RFID dans les passeports de ses ressortissants. Le pays doit faire aujourd'hui face à des accusations sur la sécurité de ces composants et le danger qu'ils induisent pour la protection de la vie privée. Selon des chercheurs de l'Université catholique de Louvain, les informations personnelles contenues sur la puce des passeports belges depuis 2004 peuvent être aisément décryptées. 720 000 personnes sont potentiellement concernées.
 
Des données à la merci de tous
 
L'équipe de chercheurs estime que "les passeports belges fabriqués entre fin juillet 2004 et juillet 2006 ne possèdent aucun mécanisme de sécurité pour protéger les informations personnelles".
 
Des données personnelles à la portée de tous? Presque, si l'on en croit les trois spécialistes en cryptographie chargés de l'étude. Selon eux, il suffirait de passer le passeport à 10 cm d'un lecteur RFID basique pour voir s'en afficher le contenu - identité, adresse, signature, mais aussi lieu d'émission du document et sa date d'expiration. N'importe quelle personne malveillante peut dès lors se procurer des informations sur sa victime, même lorsque le passeport de celle-ci est rangé dans sa poche ou dans une mallette.
 
Les standards de sécurité en ligne de mire
 
Les passeports de deuxième génération sont censés pouvoir lutter contre des tentatives de fraude. Le ministre belge des Affaires étrangères, Karel De Gucht, avait même déclaré en janvier, devant la Chambre des représentants, que les "données contenues dans la puce [du passeport] sont protégées par deux sécurités: le Basic Access Control et l'Active Authentification". De plus, les passeports respectent le standard émis par l'Organisation de l'Aviation Civile Internationale (OACI), qui prévoit l'utilisation de moyens cryptographiques pour protéger les données à distance.
 
Seul problème: ces solutions de sécurité se piratent facilement. Elles obligent en effet la lecture de deux lignes codées situées au bas de la première page du document officiel pour pouvoir accéder au contenu de la puce électronique. Or ces lignes, constituées de la date de naissance du titulaire, de la date d'émission et du numéro du passeport, peuvent être déduites facilement.
 
Le passeport belge n'est pas le seul à connaître ces défaillances. Celles-ci avaient déjà été détectées dans les passeports anglais, néerlandais, allemands et suisses. En France, les passeports RFID existent depuis l'été 2006 et aucune faiblesse n'a été détectée. Pour le moment.
 
(Atelier groupe BNP Paribas – 08/06/2007)

Mentions légales © L’Atelier BNP Paribas