Accéder au contenu.
Menu Sympa

informatique-deloyale - Re: [INFAUX] Passeports RFiD

Objet : Informatique déloyale (liste à inscription publique)

Archives de la liste

Re: [INFAUX] Passeports RFiD


Chronologique Discussions 
  • From: Jean-Paul Chiron <jpchiron AT gmail.com>
  • To: Florent Viard <fviard AT isep.fr>, informatique-deloyale AT april.org
  • Subject: Re: [INFAUX] Passeports RFiD
  • Date: Mon, 16 Feb 2009 23:28:53 +0100
  • Domainkey-signature: a=rsa-sha1; c=nofws; d=gmail.com; s=gamma; h=mime-version:in-reply-to:references:date:message-id:subject:from:to :content-type; b=HkVgohPnu8eWAy+QMsazPSdnTBrtZVIj2Sq9pN5eBi9sUaTHZy78fBhv5j4Wwj4442 Dx2nW0wAlqZUYkHYowliwyIPum4L9uOhj+AAML/wpSrZxh3HvoQogKin51L2HYXsfiqR o8XBHH9ZzEVAGbea7qnTzpQYHizHuYC/tk3xk=

2009/2/16 Florent Viard <fviard AT isep.fr>
C'est faux!
J'ai développé le code de la protection des données biometriques pour un lecteur de passeport et je peux vous dire que sur internet on fait beaucoup de démagogie, même si le fichage de mes données biometriques ne me fait pas plus plaisir que ca.

Principalement, les données de bases sont accessible à n'importe quel lecteur de carte à puce sans fil pour une personne qui aurait lu la norme. Mais en même temps, c'est pas une faille vu que ces données sont les mêmes que celles imprimées sur le passeport donc il n'y a pas de problème!
Ok, mais l'argument qu'une bombe peut être déclenchée par le passage d'un mecs portant une puce RFID, reste valable, c'est bien pratique pour choisir sa cible ;)
<idée à la noix>
Dans le cadre de démonstration pour le grand public, ça ne devrait pas pas trop dur de dévelloper une machine que l'on mets dans un endroit ou il y a beaucoup de passage, avec un bo haut-parleur, qui gueule un truc du genre  "machin je sais tout sur vous, vous ête né le .., etc..."
</idée>
 

Et pour la question de quelqu'un voulant acceder à distance à ces informations: Le dialogue avec la puce se fait de facon crypté à partir d'une clé imprimée sur le passeport. Donc n'importe qui serait dans l'impossibilité de dialoguer avec le passeport sans l'avoir sous les yeux!

Et pour la partie biometrique, la sécurité et énormément plus poussée et globalement repose sur le meme principe que pour les pages HTTPS sur le net: Cryptographie asymétrique avec certificats issus par l'état. Tout comme la sécurité de paiement sur un site en ligne en HTTPS, il n'est pas possible pour un lecteur non assermenté (à durée limitée) par l'état de lire ces informations biometriques!
Si l'objectif est de contrer les terroristes, je crois pas que ce soit vraiment efficace, il doit y avoir possibilité de faire "assez facilement" de l'ingenierie sociale pour un groupe suffisamment bien organisé... 

 
Et au passage, pour montrer que derrière les gros titres il n'y a souvent que du vent, dans l'article sur le hacker americain Chris Paget, on peut lire dans explications de la technique:
"
PLEASE NOTE: The full Passport (the book) uses a very different RFID technology (actually a contactless smartcard rather than raw RFID); it operates on a different frequency using a different transmission medium and is not compatible with the system I'm discussing here (which is based on vicinity-read EPC Gen2 tags).
"
Cela représente quand même un "proof of concept", non ?


a+.

--
Jean Paul Chiron
Membre de l'ABUL



Archives gérées par MHonArc 2.6.16.

Haut de le page