vendredi 3 août 2007

passeport biométrique pirate

Un chercheur allemand trouve le moyen de transformer un passeport biométrique en pirate informatique.

Lukas Grunwald est un expert allemand en sécurité informatique. Il travaille pour la société DN-Systems et a été l'un des "conseillers" pour le parlement lors du lancement des passeports biométriques, en Allemagne. L'année dernière, déjà, cet informaticien avait mis un gros grain de sable dans la sécurité des papiers d'identité utilisant une puce RFID (Etiquette électronique à radio fréquence). Il avait réussi à copier son contenu et à reprogrammer les données.

Cette année, Grunwald va plus loin encore. Il a démontré qu'une puce RFID installée dans un passeport pouvait faire planter, "crasher", un lecteur de contrôle. Lukas Grunwald indique qu'il a copié les images inclues de la puce, les a modifiées, elles sont au format Jpeg2000 et le tour était joué. Un mauvais tour, car cette modification a provoqué un dépassement de tampon dans deux lecteurs. Un de ces lecteurs de RFID est d'ailleurs en action, en ce moment même, dans certains aéroports allemands.

La faille est un Buffer Overflow, un dépassement de mémoire qui sature le logiciel faillible, qui pourrait ouvrir les portes à d'autres possibilités beaucoup plus agressives comme, mais ce n'est qu'une hypothèse, permettre aux RFID modifiées, de faire croire aux lecteurs de contrôle que le passeport est valide. Lukas est attendu le pied ferme, ce vendredi, au Defcon de Las Vegas pour parler de ses trouvailles lors de la conf' : "We Break Your Tag, Then We Break Your Systems".

L'année derniére, une scientifique de l'université de Vrije (Pays-Bas), Mélanie Rieback, avait expliqué comment une puce RFID pouvait transporter un virus informatique.

Tout ce que l'homme fait, l'homme peut le défaire...

source: www.zataz.com/news/14638/passeport-biometrique-rfid-hacked.html

-----------------------------------

Sécurité - Des chercheurs de l'université de Louvain, en Belgique, sont parvenus à lire, en quelques secondes, les données confidentielles d'identité avec un simple appareil acheté dans le commerce. 720 000 passeports sont concernés par la faille.

En Europe, la Belgique a été la première à émettre des passeports électroniques dès la fin 2004. Mais une polémique secoue le petit monde de la sécurité et l'Etat belge, depuis que Gildas Avoine, Kassem Kalach et Jean-Jacques Quisquater ont découvert que ces documents présentaient une sécurité très limitée.

Chercheurs à l'Université catholique de Louvain, ces spécialistes en cryptographie sont parvenus à lire facilement les données personnelles contenues sur la puce électronique : le nom, les prénoms, la photo et la signature. « Le piratage se déroule en trois temps », a expliqué Gildas Avoine à News.fr. « Nous avons tout d'abord acheté dans le commerce un petit lecteur de puce RFID que nous avons raccordé à un ordinateur. Nous avons ensuite écrit un petit programme qui correspond au standard de ces passeports, élaboré par l'Organisation de l'aviation civile internationale (OACI). Il ne restait plus qu'à passer le passeport juste à côté de ce lecteur pour récupérer toutes les données ».

En soi, cette annonce ne constitue pas une révélation, puisque plusieurs tests réalisés ces dernières années en Grande-Bretagne, aux Pays-Bas et en Allemagne ont déjà montré les faiblesses de ces sésames numériques.

http://www.news.fr/actualite/societe/0,3800002050,39370005,00.htm

Aucun commentaire: