La nouvelle carte d'identité britannique déjà piratée

Dans cette histoire, le gouvernement britannique va bien intenter un procès au hacker pour piratage...
àa s'est déjà vu, et il ne faut pas sous estimé la bêtise de nos politiques...

Dire que les Britanniques n'aimaient déjà pas le principe de la carte d'identité avant...

C'est aussi fiable que HADOPI.

Anèfè ça doit faire mal de se faire cracker un truc qui relève de la sécurité nationale en 12 minutes.

C'est ballot.

Faut dire aussi, qui a eu l'idée saugrenue de mettre du RFID dans une carte d'identité...
A quoi peut bien servir une technologie sans fils à ce niveau ? à lire la carte à distance ? Si c'est la seule raison et bien bravo : TOUT LE MONDE peut donc désormais lire votre identité à distance. (Pratique pour connaitre le nom d'une charmante demoiselle dans la rue )

Bah, les datacenters gouvernementaux seront à faire sauter en même temps que les sièges des banques. C'est pas très grave.

Recueillant pas moins de 50 catégories d'informations sur un individu (caractéristiques physiques, empreintes digitales, adresse postale, numéro de sécurité sociale, statut d'immigration, plaque d'immatriculation du véhicule)

La demoiselle te donnera plus que son nom. Après il existe déjà des étuis spécial pour bloquer les transmission RFID à base de grille de faraday.

Recueillant pas moins de 50 catégories d'informations sur un individu (caractéristiques physiques, empreintes digitales, adresse postale, numéro de sécurité sociale, statut d'immigration, plaque d'immatriculation du véhicule)



La demoiselle te donnera plus que son nom. Après il existe déjà des étuis spécial pour bloquer les transmission RFID à base de grille de faraday.

Ceci dit, à force de se balader avec sa petite gri-grille en arçon autour du portefeuille, les contrefacteurs en pièces d'identité se feront vite griller dans la rue...

Recueillant pas moins de 50 catégories d'informations sur un individu (caractéristiques physiques, empreintes digitales, adresse postale, numéro de sécurité sociale, statut d'immigration, plaque d'immatriculation du véhicule)



La demoiselle te donnera plus que son nom. Après il existe déjà des étuis spécial pour bloquer les transmission RFID à base de grille de faraday.

Et si je mets une grille, j'annule la seule utilité de la chose : le contrôle de police discret sans te demander tes papiers.

Donc autant ne pas mettre de RFID du tout non ?

Même non piratées, ces cartes n'empêchent pas certains de faire ce qu'ils font (sauter des gares, mettre du cyanure dans l'eau courante,...). C'est une illusion.

A quand la puce RFID directement dans la peau des nouveaux-nés ?

Dans l'intro : "personnelles" au lieu de personnes.

Même non piratées, ces cartes n'empêchent pas certains de faire ce qu'ils font (sauter des gares, mettre du cyanure dans l'eau courante,...). C'est une illusion.



A quand la puce RFID directement dans la peau des nouveaux-nés ?

Hey, et pourquoi pas ? Quand tout le monde aura la possibilité égale de savoir qui est tout le monde, le côté potentiellement néfaste (car oligarchique) de la surveillance disparaitra de par-là même.
...Bon, OK, on se la jouera société "fourmi", ou "Les Etrangers -cf Dark City-", mais bon on a rien sans rien..

Le vrai soucis des supports d'information comme celui de cette carte est qu'ils sont malléables. Une puce RFID ? Oui, mais totalement non reprogrammable, avec un support physique de l'information, comme les CD/DVD, cad le principe de la grâvure... Et là, à moins d'extraire et la remplacer à l'insu de son porteur (bonne chance), ce sera vraiment secure...

C'est vraiment l'un des enjeux les plus graves des années à venir.

Sous prétexte de "sécuritarisme", les Sarkozy de tous les pays emportent les populations civiles dans une débauche exponentielle de violations de leur vie privée, de contrôle technologique, de fichage généralisé, et ces ordures battent les principes juridiques en brêche, comme la présomption d'innoncence, voire la liberté d'expression. On ne compte plus les turpitudes de ces malades du contrôle total.

Et leurs réformes scélérates et iniques nous exposent tous, petit à petit, non seulement à l'oeil de Big Brother (auquel les hackers feront des doigts pendant encore longtemps) mais aussi aux initiatives criminelles qui vont se lancer dans le trafic de données.

Leurs lois sécuritaires sont des cautères grotesques, pondues par des imbéciles incultes et incompétentes (mentions spéciales à Christine Anéfé Albanel, Franck Riester et bien sûr l'inénarrable et drolatique Frédéric Lefebvre). Elles serviront les néoaristocrates amis du Président, les majors de la culture, les majors des technologies, les mastodontes de l'industrie qui mangent à sa table au Fouquet's. Et c'est pareil dans toutes les démocraties occidentales, où l'on se rengorge de beaux principes civilisés et démocratiques pendant que les prédateurs et les cyniques érigent le népotisme, le clientélisme, la corruption et le copinage en modalité ultime de gouvernement. Les dystopies orwelliennes ne sont plus très loin, et le pire, c'est qu'elles sont amenées par des gens aussi stupides que cupides, aveuglés par leur court-termisme et leur avidité au profit immédiat. Ces gens, méprisables, ces Elois qui méprisent les Morlocks qui manifestent dans la rue ou sur internet, sont à la fois les rentiers et les promoteurs du système totalisant et désincarné qui transforme peu à peu l'individu en segment marketing totalement sous contrôle.

Contrôle par les entreprises privées productrices de contenus, d'habitudes de consommation et de crédits pour aller avec.

Contrôle par l'état et ses médiacrates de relais, sans parler de la vidéosurveillance, des fichiers de données personnelles, et de la récente et considérable extension du "secret défense", qui achève d'assasiner une démocratie déjà très mal en point (en raison notamment de l'incapacité sarkozyste à respecter le principe élémentaire de séparation des pouvoirs - mais qu'on lui donne enfin des cours de droit constitutionnel, à cet avocat ignare !).

Alors la prochaine étape est assez facile à prévoir : elle verra d'une part une fuite en avant toujours plus technologique par des hackers libres et revendicatifs. Et d'autre part, un mouvement de refus de la technologie, qui refusera les cartes d'identité biométriques, la collecte et le stockage de ses données personnelles, et même l'utilisation de ces pompes à données que sont ces saletés de réseaux sociaux. Ne vous plaignez pas des vélléités contrôlaires du gouvernement si vous racontez vos vies sur ces réseaux stupides, au fait.

Bref, les menaces déboulent un peu de tous côtés. Sans faire d'alarmisme, en France internet est le dernier bastion vivant d'une contestation plus que nécessaire de la totalisation du sens et de la propagande ultralibérale et néoconservatrice des goules qui nous gouvernent.

Et si je mets une grille, j'annule la seule utilité de la chose : le contrôle de police discret sans te demander tes papiers.

Donc autant ne pas mettre de RFID du tout non ?

C'est des étuis qui sont vendus aujourd'hui depuis qu'ils ont mis en place le rfid au niveau des passeports. Le seul intérêt du contrôle d'identité à distance c'est l'enlèvement ou la filature.

Pour la filature tu clone une carte que tu remet à un complice pendant que la tienne est hors réseau dans du film aluminium pour alors te forger un alibis.

Pour l'enlèvement, le plus simple et de jeter la carte de la personnes avec ses autres éléments identifiants.

Globalement dans cette histoire tu as des politique inculte technologiquement qui prennent des décisions en fonction du power point du fabricant de la chose et pour seule contre expertise le pote de grande école du fabricant de la chose.

Ce qui est sûr, c'est que moi je vois tout un tas d'actions qui seront amusantes/malveillantes/criminels à faire avec cette carte... C'est en place quand en France que je m'amuse ?

12 minutes pour cracker des années de travail. Les puces RFID c'est dépassé.
Faudrait inventer un moyen d'inscrire la carte d'identité dans l'ADN et un lecteur instantanné d'ADN.

l'année dernière les Mythbusters avait cracker despuce RFID, l'épisode n'est jamais été diffusé face a la pression d'American express http://www.engadget....card-company-l/ [ENG]

c'ets parce qu'il n'y a pas le firewall openoffice sur cette carte que c'ets si facile à hacker

LOOOOOOOOOOOOOOOOOOOOOOOOOOOOOL quand meme 12 minutes et dire que ce genre de truc est censé étres sécurisé...

En gros c'est comme la vielle carte d'identité en plus facile a cloner son sympa les dirigeant britannique de permettre au passeur de gagner du temps dans la falsification de carte d'identité pour leur réfugié

à quand le premier virus qui se propage de carte d'identité en carte d'identité?

bah il ce sont fait déjà humilié l'arrière train de la sécurité avec du sable et du gros sel pourquoi veut tu en plus leur collé une MST ?

La carte d'identité UK n'a PAS été piratée, l'article du Daily Mail est rempli d'inexactitudes et de fausses informations.

1. Le PIRATE a réussi à lire le contenu de la carte ? WOW !... Il est normal de pouvoir lire facilement la carte, elle est au standard document de voyage OACI, d'ailleurs la doc est disponible sur leur site : http://www2.icao.int...s/Doc9393.aspx. Si vous cherchez un logiciel, il y a Golden Reader, c'est gratuit et librement accessible. Si vous cherchez un lecteur RFID, pareil c'est en vente libre.

2. Grâce à l'EXPERT (d'Amsterdam), ils ont personnalisé une carte vierge en recopiant les données ! WOW ! Ils savent lire la doc de la carte vierge qu'ils ont acheté ! Le lecteur RFID est le même, le soft est fourni par le constructeur de la carte. Du standard. Et ils ont même modifié les données... SUPER !

3. Et ils ont signé les "data groups" avec leur certificat pour que la carte semble valide ! Ouais... mais leur certificat, c'est celui du gouvernement ? Ils ont volé les clefs privées qui sont probablement sécurisées dans un HSM ? Certainement pas. Oui ils ont signé leur carte, mais avec leur propre signature... Donc oui la carte est valide, effectivement, c'est juste qu'elle n'a pas été émise par le gouvernement Britannique ! Ce qui est bien sûr contrôlé lors de l'authentification de la carte par les autorités.

Cet article, c'est du FLAN, écrit par un "journaliste" qui n'y connaît RIEN, et relayé par tous les médias qui n'y connaissent RIEN.

Le seul intérêt du contrôle d'identité à distance c'est l'enlèvement ou la filature.



Un document d'identité RFID est lisible à une distance de 4 cm maxi, et il est souvent nécessaire de donner à la puce un code inscrit (en clair) sur la carte pour autoriser la lecture.



Edit: je rectifie pour les puristes, avec une antenne surpuissante on peut atteindre une trentaine de centimètres paraît-il.

Document ancien de 2003,


La question posée ici, n'est pas de modifier une carte d' identité électronique mais de la cloner. Donc dès le départ tu écris sur une autre puce vierge.

Les passeports récent intègrent un maillage métallique dans l'épaisseur du carton pour limiter la lecture à distance.

Le vrai soucis des supports d'information comme celui de cette carte est qu'ils sont malléables. Une puce RFID ? Oui, mais totalement non reprogrammable, avec un support physique de l'information, comme les CD/DVD, cad le principe de la grâvure... Et là, à moins d'extraire et la remplacer à l'insu de son porteur (bonne chance), ce sera vraiment secure...



Heu... C'est le cas. Après personnalisation, la puce est verrouillée, et il est IMPOSSIBLE de modifier les données.

OK tant mieux, au temps pour moi.
Merci pour les éclaircissements

>>>"La carte d'identité UK n'a PAS été piratée, l'article du Daily Mail est rempli d'inexactitudes et de fausses informations."

Cela semble extrêmement convaincant.

Bref, encore une fois, de l'information "Paris Match" relayée sans vérification par un site qui se dit "Réfléchir le numérique"

J'en reviens à ma première question alors : pourquoi utiliser du RFID si on fait tout pour qu'il ne soit pas lisible à distance ?

Personne n'est au courant qu'il y a des puces "normales" qui ne sont uniquement lisibles dans un lecteur ?

Anèfè ça doit faire mal de se faire cracker un truc qui relève de la sécurité nationale en 12 minutes.



C'est ballot.

Pas de la sécurité nationale, mais de la protection de la vie privée. Les motivations ne sont pas du tout les mêmes, comme on le voit.

Revoir l'article du daily mail sinon.

Would we also be able to alter the cloned card, changing the details to match another person's data? In other words, would we be able to make an ID chip that was not only a copy of a genuine one, but was a tailor-made fake - the sort that would be much sought-after by any criminal or terrorist seeking the ultimate false proof of identity?

This was a more complex process because the ID chips are supposed to be tamper-proof. Each chip stores its holder's personal data in 16 separate files, known as 'datagroups'.


So, for example, Number 1 datagroup has details of Albert's name, date of birth and so on. Number 2 holds a digital version of his photograph, Number 3 his fingerprints right through to Number 13, which holds details of his immigration status, and Number 14 which is reserved for future use - possibly iris scan data.

Each one of these files is supposed to be protected with a special digital key, so that if anyone attempts to change it, the card would be identifiable as a fake to any official with a digital chip reader.

To get round this hurdle, we recruited the help of another technology expert, Jeroen van Beek, an Amsterdam-based computer consultant who advises many top companies on digital security.

Drawing on the work of renowned New Zealand computer scientist Peter Gutmann, our team was able to alter the contents of each datagroup and then 'relock' them, so that the card would be accepted as genuine.

We had created a perfect fake chip. The Government's 'fail-safe' security had failed.

Expertise et contre expertise sont nécessaires si on souhaite finalement prouver quelque chose. On verra bien si d'autre personnes sont elles aussi capable selon le même protocole capable d'avoir les mêmes résultat ou pourront au final améliorer le protocole existant.

suite,

The first method is simply a visual check. You would present your ID card to a shopkeeper, bank worker, police officer or whoever and they would scrutinise the printed details on the card to confirm you were indeed the rightful holder.

The second would be an onsite check where your face or fingerprints would be compared with those held in the card chip. The third would be an electronic comparison of your face or fingerprints with those lodged on the National Identity Register when you applied for your card.

Read more: http://www.dailymail...l#ixzz0Nfdq1KQn

.........

Obviously, having changed the details on the chip, ours would fail the third check, the one against the information on the National Identity Register.

But the Identity And Passport Service doesn't expect most transactions to involve a check with the register, because it is likely to involve a charge to the user of about £2.

The most important check, therefore, and the one experts believe will be most commonplace, is the second one - the one where an electronic reader at a shop, bank, supermarket and so on would compare your fingerprints or facial image with that contained on your card's chip.

Il ne faut pas oublier que le RFID à été conçu pour faire du push de pubs ciblées, je ne suis pas du tout surpris du craking de la puce. De toute façons tout ce qui est sans fils est facilement piratable.Nous ne sommes pas au bout de nos surprises et les nouveaux terroriste sont parfaitement équipés en nouvelles technologies. donc ses cartes avec puce resteront utiles pour la surveillance des citoyens et à BIG BROTHER.

Moi je dit comme thidbull qui dit informatique dit sécurité forcément foireuse car rien n'est incopiable ou inpiratable, le risque 0 ça existe que dans le cerveau des neuneus. Tout comme le papier, ou le côté humain d'un système, l'infaillible ça n'existe pas....même un fichage complet d'une population par ADN ne serait pas à 100% efficace car tellement de possibilité de fausser le résultat. Faut arrêter la masturbation intellectuel en croyant qu'on peut faire une sécurité infaillible, un système de sécurité sert uniquement à ralentir un maximum celui qui veut passer outre point barre.

Superbe article, journalistiquement digne de ce qu'on pourrait s'attendre à voir au journal de 20h...

Pour l'instant, on a une seule personne sur un forum qui prétend que ce piratage est du pipeau. Cependant, d'autres avis ici ou ailleurs provenant d'experts techniques seraient les bienvenus...

Parfait, sublime enfin +1 quoi!!!

J'aimerais quand même comprendre quelque chose (si quelqu'un a la patience de m'expliquer).
Qu'il soit simple de lire toutes les informations de la carte: soit.
Qu'il soit possible de la cloner à l'identique et qu'elle soit acceptable, ça me semble déjà assez spécial dans le sens où ça peut déjà introduire des fraudes.
Par contre, le fait de pouvoir modifier les infos d'une carte et faire en sorte qu'elle puisse encore être acceptée quelque part, ça me semble gros. J'imagine quand même que les cartes émises sont signées numériquement (ça me semble basique).

Donc soit:
- c'est du pipeau et la carte sera reconnue comme falsifiée la première fois que son authenticité sera testée
- le mec a développé une méthode permettant de casser des algos de signature moderne en douze minute, et la moitié des services secrets du monde vont lui tomber dessus.
- il n'y a pas de signature, ou bien un algo avec une clé tellement faible qu'on peut la trouver en dix minutes. Dans ces cas-là on peut remplacer tous les départements de la sécurité informatique UK par un stagiaire, ça sera plus efficace...

question: a-t'on besoin d'une carte d'identité pour être quelqu'un?