|
|
La nouvelle carte d'identité allemande piratée par le Chaos Computer Club (MAJ)
Julien L. -
publié le Vendredi 03 Septembre 2010 à 09h29 -
posté dans Société 2.0
En novembre prochain, le gouvernement allemand introduira de nouvelles cartes nationales d'identité. Comportant des données biométriques dans une puce RFID, cette carte se veut plus sécurisée que la génération précédente. Cependant, le Chaos Computer Club a mis en avant la fragilité de ces nouvelles cartes lors d'une émission télévisée.
Article original - La France n'est pas le seul pays à s'intéresser de près à la biométrie. En Allemagne, le gouvernement compte introduire en novembre une nouvelle carte d'identité comportant une puce RFID (Radio Frequency IDentification, radio-identification ndlr). Celle-ci pourra stocker des informations biométriques de son porteur. Mais à deux mois de son introduction, les protections de la carte ont été compromises par l'utilisation d'un keylogger capable d'intercepter les données contenues dans la carte nationale d'identité. Lors d'une émission télévisée diffusée il y a quelques jours sur l'ARD, le Chaos Computer Club a mis en lumière les faiblesses de la nouvelle carte d'identité allemande. Selon The Local, qui rapporte l'information, le célèbre groupe allemand de hackers s'est servi des scanners personnels qui accompagnent ces cartes pour les pirater. Cette nouvelle carte d'identité stocke deux empreintes digitales du porteur, que les citoyens allemands peuvent ne pas renseigner, ainsi qu'un code PIN à six numéros. Toujours selon la presse allemande, ce code servira comme une signature numérique dans certains cas, notamment lorsque le porteur sera en contact avec l'administration allemande. L'an dernier, un hacker britannique avait réussi à pirater en quelques minutes la carte d'identité britannique. Comme son homologue allemand, elle intégrait une puce RFID et certaines données biométriques du porteur. Avec un simple téléphone mobile équipé d'un lecteur RFID, le hacker a démontré qu'il était possible de copier et modifier certaines données personnelles. Cette nouvelle démonstration de la faiblesse cartes d'identité biométriques souligne la difficulté de protéger efficacement certaines informations sensibles. En France pourtant, le sénateur Jean-René Lecerf (UMP) a déposé cet été une proposition de loi relative "à la protection de l'identité". L'objectif étant de protéger les 200 000 Français qui seraient touchés par l'usurpation d'identité. Dans l'exposé de ses motifs, le parlementaire explique vouloir "équiper les cartes nationales d'identité de puces électroniques sécurisées qui non seulement contiendront des données biométriques numérisées mais pourront également offrir à leurs titulaires de nouveaux services tel que l'authentification à distance et la signature électronique". À l'image des passeports biométriques introduits l'an dernier, le projet porté par l'élu doit permettre de stocker certaines données personnelles sur les cartes d'identité. Cela va de la description de l'individu (nom, prénom(s), sexe, date et lieu de naissance, domicile, photo récente...) à des données biométriques (empreintes digitales). à lire aussi
 Prix indiqués avec livraison
24
Commentaires à propos de «La nouvelle carte d'identité allemande piratée par le Chaos Computer Club (MAJ)»
  Inscrit le 08/06/2004
1010 messages publiés
Envoyer un message privé
Stabbquadd
le 03/09/2010 à 09:36
C'est plus un article à ce niveau de foutoir, c'est à peine un brouillon. Il manque des mots, il y a des paragraphes en double, des fautes, j'ai pas le courage de tout détailler, le mieux serait de se relire avant de poster. Je sais qu'on est à l'ère de l'info merdique instantanée, mais quand même...
:
Commentaire sur Numerama.com
Répondre
Vote électronique, RFID avec données biométriques, ils disent qu'ils veulent éviter le piratage, moi je pense que ça va devenir de plus en plus facile à l'avenir.
Pirater des données quand on doit les intercepter sur un câble allant d'un point A à un point B, c'est l'enfer.
Pirater des données qui se propoagent en sphère sur un réseau sans fil, c'est le paradis, suffit juste d'intercepter et de trouver la clé ou une faille dans le protocole, ce qui est facile ou relativement faisable. Bientôt, vous allez voir, il suffira de s'approcher dans le dos d'un mec qui paye avec son mobile en ayant sur soi l'appareil adéquat et hop ! On pourra lui piquer toutes ses données bancaires. L'avenir risque d'être drôle.
Et puis pour un faussaire, il est bien plus difficile de reproduire un faux manuscrit (bandes électroniques insérées dans le papier, papier micro-imprimé, toussa) qu'un faux informatique...
Ca leur facilite le boulot, c'est juste que ça change de registre... [message édité par Goldoark le 03/09/2010 à 09:46
]
"une nouvelle carte d'identité comportant une puce RFID (Radio Frequency IDentification, radio-identification ndlr). Celle-ci pourra stocker des informations biométriques de son porteur."
niveau flicage c est encore mieux qu un iphone qui vous geolocalise , donc la future carte d identité devra rester au fond d un tiroir chez sois et non plus dans son portefeuille si je comprends bien 
Comment ça elle a été piratée ? On peut avoir des explications ?
Non parce que la plupart du temps, la partie publique de la puce est tout simplement lue par un lecteur RFID, ce qui n'a rien d'anormal, mais Numérama trouve ça extraordinaire. Les spécifications RFID et les protocoles utilisés pour la lecture des données LDS sont publiques. La puce est évidemment toujours verrouillée en écriture, les données sont toujours signées par l'autorité émettrice (protection "passive authentication"), la puce est souvent protégée contre le clonage (protection "active authentication"), souvent protégée contre la lecture à l'insu du porteur (protection "basic access control"), et parfois protégée contre la lecture non autorisée des infos biométriques (protection "extended access control"). Ces protections, qui ont TOUTES été mises en place dans le passeport biométrique Français par exemple, n'ont jamais été contournées. Jamais. @speed : pas du tout, tu es complètement dans le délire parano. Une puce RFID classique ne peut être lue qu'à quelques mètres de distance, une puce RFID d'identité ne peut être lue qu'à quelques centimètres, bien qu'avec une antenne dopée on atteigne quelques mètres, une puce RFID avec la protection "basic access control" ne peut pas être lue à l'insu de son porteur.
@ dodot63
je le sais bien ,je vois le mal partout , j etais pas comme ça avant , mais en ouvrant les yeux sur divers domaines , en m interressant à des choses de plus pret j ai fini par perdre confiance envers un tas d entreprises , pays , personnes , y nous feraient pas chier avec acta , lopsi , et tout ça je serai peu etre moins hermetique à tout progrès technologique genre les chinois inventent la poudre pour se fendre la gueule avec des feux d artifice et l homme dans toute sa splendeur en a trouvé une autre utilisation  ,
tiens un commentaire qui nous dit qu'en france tout est sûr...
sont cons ces allemands dis donc... la cb aussi était sure à souhait...en france nous les plus forts xD
xâ²pressions, le 03/09/2010 - 10:46 Il n'y a pas qu'en France que tout est sûr, ces protections sont standard, et elles sont appliquées pour les documents d'identité électroniques partout dans le monde, ou presque. A chaque fois qu'on entend "un document d'identité électronique a été piraté", ça résulte tout simplement d'une méconnaissance du sujet, exacerbée par un fantasme orwellien. Un document d'identité électronique est fait pour être lu par n'importe qui (sic), mais pas de n'importe quelle façon. C'est pour ça que certaines protections empêchent la lecture de la puce à l'insu de son porteur par exemple. Il faut garder à l'esprit que la puce ne contient aucune information de plus que ce qui est clairement imprimé sur le document. Une seule exception : les données biométriques, qui peuvent être spécialement protégées.
@Stabbquadd
+1 Il n'y a aucun protocole de vérification des articles chez Numerama. Les deux ou trois rédacteurs publient chacun dans leur coin, sans aucune relecture. C'est ce qui fait la différence entre un blog qui essaye de se donner des allures de journal et un véritable journal. 
malaga, le 03/09/2010 - 10:52 On se demande alors pourquoi tu y viens depuis des années et changé plusieurs fois de pseudo (nooon, tu croyais qu'on ne remarquerait pas ce petit jeu ridicule et puéril ?!?), sûrement par masochisme...  Rien ne t'empêche de t'abonner à un "véritable" journal et d'éviter de venir pourrir les forums ici... 
Je rappelle que la carte nationale d'identité n'est pas obligatoire en France.
Je rajouterai que dans ce cas précis de la carte allemande et du CCC, c'est le lecteur de la carte qui aurait une faiblesse, pas la carte elle-même. Donc le titre de l'article est faux.
Mais de toute façon vu que l'article ne contient aucun soupçon d'analyse, c'est pas étonnant.
@Stabbquadd et malaga.
Vraiment je ne comprends pas pourquoi vous passez autant de temps sur numerama, si c'est pour y trouver de "l'info merdique instantanée" dans "blog qui essaye de se donner des allures de journal". A cracher votre bile aussi souvent vous allez avoir un ulcére. A mon avis, vous avez un but bien précis, pour cracher autant de haine.
Pour moi le "piratage" d'une carte d'identité consiste simplement en sa reproduction à l'identique.
Avant sur les cartes comme sur les passeport il y avais quelques méthodes pour éviter de les reproduires trop facilement, non ? Là, je pense que physiquement c'est toujours le cas, mais informatiquement, non. Du coup, on pourrais prendre une carte existante, & la trafiquer pour y charger d'autres informations, copiée ailleurs au préalable. Bien sur *en théorie* les guichetiers sont censé vérifier la cohérence des infos de facade de la carte avec les info numérique. En théorie... Après, un lecteur RFID sensible peux chopper des infos jusqu'a plusieurs mètres. Il faut être à quelques centimètes pour *provoquer une réponse*, puisque la puce est alimentée par un courant induit par la lecture. Mais lorsqu'elle répond, rien de plus simple de choper la réponse au vol à plusieurs mètres, avec une antenne directionnelle, surtout sur du 13MHz. Il existe des "Kit RFID" dans tous les magasins d'électronique... Ya juste un peu de calculs a faire pour tailler l'antenne.
obcd, le 03/09/2010 - 12:15 Eh bien tu penses mal, désolé. Premièrement les données sont signées avec le certificat de l'autorité qui émet le document, donc impossible de les modifier ou de créer une fausse puce. Deuxièmement la plupart des puces sont équipées d'un procédé anti-clonage. Ces deux protections n'ont jamais été contournées. Si des hackers parviennent à jour à falsifier des données signées, et donc à casser la crypto à clé publique, les faux documents d'identité seront le moindre de nos soucis, promis. 
Stabbquadd, le 03/09/2010 - 09:36 Ca n'interdit pas d'être correct dans les remarques...
Dodot63, le 03/09/2010 - 12:21 Bah on est juste pas d'accord, tant pis. Je suis d'accord avec toi lorsque tu dis que les données ne peuvent êtres modifiées (à cs du certificat). Mais ce n'est pas ce dont j'ai parlé, j'ai parlé de reproduction à l'identique. Et là, ton certificat ne change rien. Après libre a toi de croire que les "procédé anti-clonage" sont tellement infaiilible. On a vu sur les CB combien c'était vrai. (Même si j'admet que c'est pas facile). D'autre part les affaires récentes ont montrées que très souvent, si les cartes elle-même sont assez sure, les "pirates" s'attaquent au lecteur, tu dois être au courant des affaires dans ce domaine ces 3 dernières années. Or là, justement, quel est le point faible démontré par le CCC , une fois de plus ? 
Dodot63, le 03/09/2010 - 12:21 Ok, mais a quoi sert d'avoir une carte d'identité top sécurité infalsifiable si le lecteur fourni est troué de partout et rend le piratage possible ?
Là par contre je suis d'accord, la vulnérabilité du lecteur est surprenante, une faille dans le protocole d'échange du code PIN probablement. C'est un problème sérieux !
En fait le protocole d'échange du code PIN n'est pas standard pour sa part, il a probablement été conçu par l'industriel qui produit les cartes, qui n'est malheureusement pas infaillible. La force d'un standard, c'est qu'il est public, et qu'il est mis en place par plusieurs participants, et donc les failles sont plus faciles à déceler.
Dodot63, le 03/09/2010 - 10:17 Protégé contre l'écriture, ça ok c'est facile. Mais contre la lecture, c'est beaucoup plus dur. Une carte d'identité classique, il faut la sortir et la montrer, sinon elle ne peut être lue. Pour une RFID c'est autre chose. Et comme tu le dis, des antennes dopées peuvent lire à quelques mètres de distance, souvent il n'en faut pas tant. Pour moi, tout système permettant de lire des données personnelles sans que l'utilisateur n'en ai le choix est un vol, qu'il soit légalisé ou non. Tu as vu Minority Report et leurs "scanoptic" à tout va ? On tend vers ce schéma là... [message édité par Goldoark le 03/09/2010 à 14:23
]
La sécurité ce n'est pas quelque chose qui marche du premier coup. Il a fallu des décennies pour obtenir des algorithmes de chiffrement et de hachage solides. Il n'y a aucune raison qu'il en aille différemment pour la carte d'identité numérique.
Ce qui est inquiétant, c'est si les autorités ne réagissent pas ou si elles réagissent en condamnant ceux qui s'adonnent à ce piratage. Mais seul le jeu "nouvelle techno / piratage / amélioration de la techno" peut aboutir à des cartes qui seront difficiles à détourner de leur usage. 
CounterFragger, le 03/09/2010 - 15:05 Dans la mesure ou les sites comme ici se permettent la critique des médias classiques, bien sur qu'il a raison de dire cela. Si toi tu trouves normal un articles blindé de fautes, sache que pour d'autres c'est tout simplement insultant, d'autant plus quand je le redis on est ici dans la critique perpétuelle des anciens médias. Ce genre d'articles donnent d'ailleurs 100/100 raison aux anti web et anti gratuit qui plus est. Tous les champs doivent être remplis. Tous les champs doivent être remplis. Tous les champs doivent être remplis. |
A LA UNE
LES + COMMENTÉS
  11 offres à partir de 732 €
 1 offres à partir de 354 €
Télécharger
bittorrent emule island,
navigateur web pdf,
emule island,
ground control,
need for speed,
norton,
navigateur web firefox,
ip,
Accès rapide :
Lecteur audio et vidéo |
Graver ou numériser |
Communication |
Encoder ou convertir |
Personnalisation |
Diagnostic |
eMule (et mods eMule) |
|
![eMule 0.50a [Tombstone]](http://images.numerama.com/img/s/t6781-35-37-emule-050a-tombstone.jpg)
