Un hacker brise la protection d'un passeport biométrique

Teuf, regarde-moi : tu n'as jamais été le patron de PC INpact... 59
criLa biométrie fait souvent office de point de référence dans le monde de la sécurité. Permettant d’enregistrer des informations comme les empreintes digitales, celles de l’iris ou encore une photo détaillée du visage. Ces informations biométriques sont utilisées dans le monde entier par bon nombre de pays, notamment au Royaume-Uni et en Australie.

Cependant, la conférence Def Con est passée par là et depuis le monde de la sécurité s’interroge. Le Def Con est une conférence réunissant pratiquement exclusivement des hackers du monde entier, comme une version « sans pitié » de la conférence Black Hat qui fait intervenir des sociétés telles que Microsoft ou Oracle.

Tandis que le Royaume-Uni dépense actuellement 415 millions de livres Sterling (environ 615 millions d’euros) pour l’introduction de la biométrie dans ses passeports et que l’Australie fait de même de son côté (également avec les passeports), Lukas Grunwald, consultant pour une société de sécurité allemande, a jeté un pavé dans la mare. Il a en effet trouvé une méthode pour dupliquer et garder les informations contenues dans un passeport électronique.

Selon son propre avis : « Le design complet du passeport anglais est défectueux. De mon point de vue, tous ces passeports sont une énorme perte d’argent, ils n’améliorent pas du tout la sécurité ». Le problème, c’est que le Royaume-Uni travaille sur ce projet depuis maintenant le mois de mars, comme d’autres pays, et que les États-Unis prévoient l’introduction de ce type d’identification à partir d’octobre cette année.

Lukas Grunwald a lancé un avertissement, car selon lui, la sécurité de la biométrie n’est que trop relative. Il ne lui a fallu que deux semaines et moins de 300 euros d’équipement pour venir à bout des protections entourant les données d’identifications. Une fois celles-ci extraites, il lui était dès lors possible de les copier vers des puces vierges et donc de dupliquer des pièces d’identité.

Il s’agit tout de même, du moins pour l’instant, d’une limitation. Il est évident que les copies de pièces d’identité serviront moins que des pièces modifiées et falsifiées. On triche plus aisément avec des données de type texte qu’avec une empreinte digitale et surtout rétinienne. À ce niveau-là, il ne reste plus que les contrôles humains inopinés pour vérifier les passeports électroniques, comme comptent d’ailleurs le mettre en place les États-Unis ainsi que l’Australie.

Les dangers potentiels en cas de protections trop relatives ? Innombrables et effrayants. Sans pour autant tomber dans l’Apocalypse selon Saint Jean et le racolage de premier ordre, il est évident que toutes les technologies prenant en charge des informations aussi personnelles que l’empreinte rétinienne présentent un risque de fuites. En de tels cas, on ne sait pas où iront se balader nos données et ces informations qui ne peuvent que nous identifier à coup sûr.

Quant aux retombées d’une falsification de ces données, elles sont pratiquement sans fin. Tandis que Grunwald demande au gouvernement anglais de reconsidérer ses choix pour ce qui est de la technologie entourant la biométrie des passeports, on ne peut s’empêcher de penser à certains films dont le sujet est la manipulation des identités à une échelle que seule la technologie permet. C’est un paradoxe intéressant.