Re: [INFAUX] Passeports RFiD

[Florent Viard <fviard AT isep.fr>]

C'est faux!
J'ai développé le code de la protection des données biometriques pour un 
lecteur de passeport et je peux vous dire que sur internet on fait 
beaucoup de démagogie, même si le fichage de mes données biometriques ne 
me fait pas plus plaisir que ca.

Principalement, les données de bases sont accessible à n'importe quel 
lecteur de carte à puce sans fil pour une personne qui aurait lu la 
norme. Mais en même temps, c'est pas une faille vu que ces données sont 
les mêmes que celles imprimées sur le passeport donc il n'y a pas de 
problème! Et pour la question de quelqu'un voulant acceder à distance à 
ces informations: Le dialogue avec la puce se fait de facon crypté à 
partir d'une clé imprimée sur le passeport. Donc n'importe qui serait 
dans l'impossibilité de dialoguer avec le passeport sans l'avoir sous 
les yeux!

Et pour la partie biometrique, la sécurité et énormément plus poussée et 
globalement repose sur le meme principe que pour les pages HTTPS sur le 
net: Cryptographie asymétrique avec certificats issus par l'état. Tout 
comme la sécurité de paiement sur un site en ligne en HTTPS, il n'est 
pas possible pour un lecteur non assermenté (à durée limitée) par l'état 
de lire ces informations biometriques!


Et au passage, pour montrer que derrière les gros titres il n'y a 
souvent que du vent, dans l'article sur le hacker americain Chris Paget, 
on peut lire dans explications de la technique:
"
PLEASE NOTE: The full Passport (the book) uses a very different RFID 
technology (actually a contactless smartcard rather than raw RFID); it 
operates on a different frequency using a different transmission medium 
and is not compatible with the system I'm discussing here (which is 
based on vicinity-read EPC Gen2 tags).
"

Benoît Sibaud a écrit :
> http://bugbrother.blog.lemonde.fr/2009/02/13/les-passeports-rfid-sont-piratables-la-preuve-en-images/
> « "Le scandale du passeport RFiD" (plusieurs chercheurs ont en effet
> démontré qu'on pouvait le pirater, le cloner, ou encore, et plus
> simplement, en lire les données soi-disant sécurisées), ou encore vers
> cette démonstration du fait qu'il était possible de reprogrammer un
> passeport RFiD "sécurisé" pour se faire passer pour... Elvis Presley. »
>
> « A ma connaissance, et si l'on excepte la récente démonstration, faite
> par des cryptographes de l'université catholique de Louvain, qu'il était
> possible de lire le contenu du passe Navigo bruxellois, la francophonie
> brille par son peu d'imagination, dès lors qu'il s'agit de démontrer les
> limites, et les failles, des puces RFiD. »
>
> « il serait possible de se servir de ces puces RFiD
> -censées lutter contre le terrorisme et les faux papiers- pour faire
> exploser des bombes à proximité, précisément, des seuls détenteurs de
> tels passeports RFiD, ceux-ci servant de... détonateurs »
>
> « Chris Paget, un hacker américain, vient de réussir à capturer les
> identifiants de deux détenteurs de papiers d'identité RFiD en se
> balladant, en voiture, pendant 20 minutes, à San Francisco, grâce à un
> lecteur de puces RFiD qui ne lui a coûté que 250 $ »
>
>