Publié par Julien L., le Vendredi 03 Septembre 2010

La nouvelle carte d'identité allemande piratée par le Chaos Computer Club (MAJ)

En novembre prochain, le gouvernement allemand introduira de nouvelles cartes nationales d'identité. Comportant des données biométriques dans une puce RFID, cette carte se veut plus sécurisée que la génération précédente. Cependant, le Chaos Computer Club a mis en avant la fragilité de ces nouvelles cartes lors d'une émission télévisée.

Mise à jour - L'exploit du Chaos Computer Club a pu se faire grâce à l'utilisation d'un programme capable d'enregistrer les frappes sur le clavier (keylogger). L'intégrité de la carte demeure, mais son utilisation peut exposer certaines données à des fraudeurs. L'article a été mis à jour.

Article original - La France n'est pas le seul pays à s'intéresser de près à la biométrie. En Allemagne, le gouvernement compte introduire en novembre une nouvelle carte d'identité comportant une puce RFID (Radio Frequency IDentification, radio-identification ndlr). Celle-ci pourra stocker des informations biométriques de son porteur. Mais à deux mois de son introduction, les protections de la carte ont été compromises par l'utilisation d'un keylogger capable d'intercepter les données contenues dans la carte nationale d'identité.

Lors d'une émission télévisée diffusée il y a quelques jours sur l'ARD, le Chaos Computer Club a mis en lumière les faiblesses de la nouvelle carte d'identité allemande. Selon The Local, qui rapporte l'information, le célèbre groupe allemand de hackers s'est servi des scanners personnels qui accompagnent ces cartes pour les pirater.

Cette nouvelle carte d'identité stocke deux empreintes digitales du porteur, que les citoyens allemands peuvent ne pas renseigner, ainsi qu'un code PIN à six numéros. Toujours selon la presse allemande, ce code servira comme une signature numérique dans certains cas, notamment lorsque le porteur sera en contact avec l'administration allemande.

L'an dernier, un hacker britannique avait réussi à pirater en quelques minutes la carte d'identité britannique. Comme son homologue allemand, elle intégrait une puce RFID et certaines données biométriques du porteur. Avec un simple téléphone mobile équipé d'un lecteur RFID, le hacker a démontré qu'il était possible de copier et modifier certaines données personnelles.

Cette nouvelle démonstration de la faiblesse cartes d'identité biométriques souligne la difficulté de protéger efficacement certaines informations sensibles. En France pourtant, le sénateur Jean-René Lecerf (UMP) a déposé cet été une proposition de loi relative "à la protection de l'identité". L'objectif étant de protéger les 200 000 Français qui seraient touchés par l'usurpation d'identité.

Dans l'exposé de ses motifs, le parlementaire explique vouloir "équiper les cartes nationales d'identité de puces électroniques sécurisées qui non seulement contiendront des données biométriques numérisées mais pourront également offrir à leurs titulaires de nouveaux services tel que l'authentification à distance et la signature électronique".

À l'image des passeports biométriques introduits l'an dernier, le projet porté par l'élu doit permettre de stocker certaines données personnelles sur les cartes d'identité. Cela va de la description de l'individu (nom, prénom(s), sexe, date et lieu de naissance, domicile, photo récente...) à des données biométriques (empreintes digitales).

Publié par Julien L., le 3 Septembre 2010 à 09h29
 
24
Commentaires à propos de «La nouvelle carte d'identité allemande piratée par le Chaos Computer Club (MAJ)»
Inscrit le 08/06/2004
1013 messages publiés
C'est plus un article à ce niveau de foutoir, c'est à peine un brouillon. Il manque des mots, il y a des paragraphes en double, des fautes, j'ai pas le courage de tout détailler, le mieux serait de se relire avant de poster. Je sais qu'on est à l'ère de l'info merdique instantanée, mais quand même...
Inscrit le 22/02/2009
3904 messages publiés
Vote électronique, RFID avec données biométriques, ils disent qu'ils veulent éviter le piratage, moi je pense que ça va devenir de plus en plus facile à l'avenir.
Inscrit le 22/02/2009
3904 messages publiés
Pirater des données quand on doit les intercepter sur un câble allant d'un point A à un point B, c'est l'enfer.

Pirater des données qui se propoagent en sphère sur un réseau sans fil, c'est le paradis, suffit juste d'intercepter et de trouver la clé ou une faille dans le protocole, ce qui est facile ou relativement faisable.

Bientôt, vous allez voir, il suffira de s'approcher dans le dos d'un mec qui paye avec son mobile en ayant sur soi l'appareil adéquat et hop ! On pourra lui piquer toutes ses données bancaires.

L'avenir risque d'être drôle.
Inscrit le 22/02/2009
3904 messages publiés
Et puis pour un faussaire, il est bien plus difficile de reproduire un faux manuscrit (bandes électroniques insérées dans le papier, papier micro-imprimé, toussa) qu'un faux informatique...

Ca leur facilite le boulot, c'est juste que ça change de registre...
[message édité par Goldoark le 03/09/2010 à 09:46 ]
Inscrit le 11/03/2009
3541 messages publiés
"une nouvelle carte d'identité comportant une puce RFID (Radio Frequency IDentification, radio-identification ndlr). Celle-ci pourra stocker des informations biométriques de son porteur."

niveau flicage c est encore mieux qu un iphone qui vous geolocalise , donc la future carte d identité devra rester au fond d un tiroir chez sois et non plus dans son portefeuille si je comprends bien
Inscrit le 21/01/2005
368 messages publiés
Comment ça elle a été piratée ? On peut avoir des explications ?

Non parce que la plupart du temps, la partie publique de la puce est tout simplement lue par un lecteur RFID, ce qui n'a rien d'anormal, mais Numérama trouve ça extraordinaire. Les spécifications RFID et les protocoles utilisés pour la lecture des données LDS sont publiques.

La puce est évidemment toujours verrouillée en écriture, les données sont toujours signées par l'autorité émettrice (protection "passive authentication"), la puce est souvent protégée contre le clonage (protection "active authentication"), souvent protégée contre la lecture à l'insu du porteur (protection "basic access control"), et parfois protégée contre la lecture non autorisée des infos biométriques (protection "extended access control").

Ces protections, qui ont TOUTES été mises en place dans le passeport biométrique Français par exemple, n'ont jamais été contournées. Jamais.

@speed : pas du tout, tu es complètement dans le délire parano. Une puce RFID classique ne peut être lue qu'à quelques mètres de distance, une puce RFID d'identité ne peut être lue qu'à quelques centimètres, bien qu'avec une antenne dopée on atteigne quelques mètres, une puce RFID avec la protection "basic access control" ne peut pas être lue à l'insu de son porteur.
Inscrit le 11/03/2009
3541 messages publiés
@ dodot63
je le sais bien ,je vois le mal partout , j etais pas comme ça avant ,
mais en ouvrant les yeux sur divers domaines , en m interressant à des choses de plus pret j ai fini par perdre confiance envers un tas d entreprises , pays , personnes ,
y nous feraient pas chier avec acta , lopsi , et tout ça je serai peu etre moins hermetique à tout progrès technologique

genre les chinois inventent la poudre pour se fendre la gueule avec des feux d artifice et l homme dans toute sa splendeur en a trouvé une autre utilisation ,
Inscrit le 18/06/2009
296 messages publiés
tiens un commentaire qui nous dit qu'en france tout est sûr...
sont cons ces allemands dis donc...
la cb aussi était sure à souhait...en france nous les plus forts xD
Inscrit le 21/01/2005
368 messages publiés
x²pressions, le 03/09/2010 - 10:46

tiens un commentaire qui nous dit qu'en france tout est sûr...
sont cons ces allemands dis donc...
la cb aussi était sure à souhait...en france nous les plus forts xD


Il n'y a pas qu'en France que tout est sûr, ces protections sont standard, et elles sont appliquées pour les documents d'identité électroniques partout dans le monde, ou presque.

A chaque fois qu'on entend "un document d'identité électronique a été piraté", ça résulte tout simplement d'une méconnaissance du sujet, exacerbée par un fantasme orwellien.

Un document d'identité électronique est fait pour être lu par n'importe qui (sic), mais pas de n'importe quelle façon. C'est pour ça que certaines protections empêchent la lecture de la puce à l'insu de son porteur par exemple.

Il faut garder à l'esprit que la puce ne contient aucune information de plus que ce qui est clairement imprimé sur le document. Une seule exception : les données biométriques, qui peuvent être spécialement protégées.
Inscrit le 26/08/2010
751 messages publiés
@Stabbquadd

+1

Il n'y a aucun protocole de vérification des articles chez Numerama. Les deux ou trois rédacteurs publient chacun dans leur coin, sans aucune relecture.
C'est ce qui fait la différence entre un blog qui essaye de se donner des allures de journal et un véritable journal.
Inscrit le 02/07/2008
1304 messages publiés
malaga, le 03/09/2010 - 10:52

@Stabbquadd

+1

Il n'y a aucun protocole de vérification des articles chez Numerama. Les deux ou trois rédacteurs publient chacun dans leur coin, sans aucune relecture.
C'est ce qui fait la différence entre un blog qui essaye de se donner des allures de journal et un véritable journal.

On se demande alors pourquoi tu y viens depuis des années et changé plusieurs fois de pseudo (nooon, tu croyais qu'on ne remarquerait pas ce petit jeu ridicule et puéril ?!?), sûrement par masochisme...

Rien ne t'empêche de t'abonner à un "véritable" journal et d'éviter de venir pourrir les forums ici...
Inscrit le 20/08/2010
940 messages publiés
niveau flicage c est encore mieux qu un iphone qui vous geolocalise , donc la future carte d identité devra rester au fond d un tiroir chez sois et non plus dans son portefeuille si je comprends bien


Je rappelle que la carte nationale d'identité n'est pas obligatoire en France.
Inscrit le 21/01/2005
368 messages publiés
Je rajouterai que dans ce cas précis de la carte allemande et du CCC, c'est le lecteur de la carte qui aurait une faiblesse, pas la carte elle-même. Donc le titre de l'article est faux.

Mais de toute façon vu que l'article ne contient aucun soupçon d'analyse, c'est pas étonnant.
Inscrit le 29/04/2010
7 messages publiés
@Stabbquadd et malaga.

Vraiment je ne comprends pas pourquoi vous passez autant de temps sur numerama, si c'est pour y trouver de "l'info merdique instantanée" dans "blog qui essaye de se donner des allures de journal". A cracher votre bile aussi souvent vous allez avoir un ulcére.

A mon avis, vous avez un but bien précis, pour cracher autant de haine.
Inscrit le 17/03/2008
2739 messages publiés
Pour moi le "piratage" d'une carte d'identité consiste simplement en sa reproduction à l'identique.
Avant sur les cartes comme sur les passeport il y avais quelques méthodes pour éviter de les reproduires trop facilement, non ?
Là, je pense que physiquement c'est toujours le cas, mais informatiquement, non.

Du coup, on pourrais prendre une carte existante, & la trafiquer pour y charger d'autres informations, copiée ailleurs au préalable.

Bien sur *en théorie* les guichetiers sont censé vérifier la cohérence des infos de facade de la carte avec les info numérique. En théorie...

Après, un lecteur RFID sensible peux chopper des infos jusqu'a plusieurs mètres. Il faut être à quelques centimètes pour *provoquer une réponse*, puisque la puce est alimentée par un courant induit par la lecture.
Mais lorsqu'elle répond, rien de plus simple de choper la réponse au vol à plusieurs mètres, avec une antenne directionnelle, surtout sur du 13MHz.
Il existe des "Kit RFID" dans tous les magasins d'électronique... Ya juste un peu de calculs a faire pour tailler l'antenne.
Inscrit le 21/01/2005
368 messages publiés
obcd, le 03/09/2010 - 12:15

Pour moi le "piratage" d'une carte d'identité consiste simplement en sa reproduction à l'identique.
Avant sur les cartes comme sur les passeport il y avais quelques méthodes pour éviter de les reproduires trop facilement, non ?
Là, je pense que physiquement c'est toujours le cas, mais informatiquement, non.


Eh bien tu penses mal, désolé.

Premièrement les données sont signées avec le certificat de l'autorité qui émet le document, donc impossible de les modifier ou de créer une fausse puce. Deuxièmement la plupart des puces sont équipées d'un procédé anti-clonage. Ces deux protections n'ont jamais été contournées.

Si des hackers parviennent à jour à falsifier des données signées, et donc à casser la crypto à clé publique, les faux documents d'identité seront le moindre de nos soucis, promis.
Inscrit le 07/04/2009
28 messages publiés
Stabbquadd, le 03/09/2010 - 09:36
C'est plus un article à ce niveau de foutoir, c'est à peine un brouillon. Il manque des mots, il y a des paragraphes en double, des fautes, j'ai pas le courage de tout détailler, le mieux serait de se relire avant de poster. Je sais qu'on est à l'ère de l'info merdique instantanée, mais quand même...

Ca n'interdit pas d'être correct dans les remarques...
Inscrit le 17/03/2008
2739 messages publiés
Dodot63, le 03/09/2010 - 12:21
Eh bien tu penses mal, désolé.

Bah on est juste pas d'accord, tant pis.
Je suis d'accord avec toi lorsque tu dis que les données ne peuvent êtres modifiées (à cs du certificat).
Mais ce n'est pas ce dont j'ai parlé, j'ai parlé de reproduction à l'identique. Et là, ton certificat ne change rien.
Après libre a toi de croire que les "procédé anti-clonage" sont tellement infaiilible. On a vu sur les CB combien c'était vrai. (Même si j'admet que c'est pas facile).

D'autre part les affaires récentes ont montrées que très souvent, si les cartes elle-même sont assez sure, les "pirates" s'attaquent au lecteur, tu dois être au courant des affaires dans ce domaine ces 3 dernières années.
Or là, justement, quel est le point faible démontré par le CCC , une fois de plus ?
Inscrit le 02/12/2008
50 messages publiés
Dodot63, le 03/09/2010 - 12:21
obcd, le 03/09/2010 - 12:15

Pour moi le "piratage" d'une carte d'identité consiste simplement en sa reproduction à l'identique.
Avant sur les cartes comme sur les passeport il y avais quelques méthodes pour éviter de les reproduires trop facilement, non ?
Là, je pense que physiquement c'est toujours le cas, mais informatiquement, non.


Eh bien tu penses mal, désolé.

Premièrement les données sont signées avec le certificat de l'autorité qui émet le document, donc impossible de les modifier ou de créer une fausse puce. Deuxièmement la plupart des puces sont équipées d'un procédé anti-clonage. Ces deux protections n'ont jamais été contournées.

Si des hackers parviennent à jour à falsifier des données signées, et donc à casser la crypto à clé publique, les faux documents d'identité seront le moindre de nos soucis, promis.


Ok, mais a quoi sert d'avoir une carte d'identité top sécurité infalsifiable si le lecteur fourni est troué de partout et rend le piratage possible ?
Inscrit le 21/01/2005
368 messages publiés
Là par contre je suis d'accord, la vulnérabilité du lecteur est surprenante, une faille dans le protocole d'échange du code PIN probablement. C'est un problème sérieux !

En fait le protocole d'échange du code PIN n'est pas standard pour sa part, il a probablement été conçu par l'industriel qui produit les cartes, qui n'est malheureusement pas infaillible.

La force d'un standard, c'est qu'il est public, et qu'il est mis en place par plusieurs participants, et donc les failles sont plus faciles à déceler.
Inscrit le 22/02/2009
3904 messages publiés
Dodot63, le 03/09/2010 - 10:17
Comment ça elle a été piratée ? On peut avoir des explications ?

Non parce que la plupart du temps, la partie publique de la puce est tout simplement lue par un lecteur RFID, ce qui n'a rien d'anormal, mais Numérama trouve ça extraordinaire. Les spécifications RFID et les protocoles utilisés pour la lecture des données LDS sont publiques.

La puce est évidemment toujours verrouillée en écriture, les données sont toujours signées par l'autorité émettrice (protection "passive authentication"), la puce est souvent protégée contre le clonage (protection "active authentication"), souvent protégée contre la lecture à l'insu du porteur (protection "basic access control"), et parfois protégée contre la lecture non autorisée des infos biométriques (protection "extended access control").

Ces protections, qui ont TOUTES été mises en place dans le passeport biométrique Français par exemple, n'ont jamais été contournées. Jamais.

@speed : pas du tout, tu es complètement dans le délire parano. Une puce RFID classique ne peut être lue qu'à quelques mètres de distance, une puce RFID d'identité ne peut être lue qu'à quelques centimètres, bien qu'avec une antenne dopée on atteigne quelques mètres, une puce RFID avec la protection "basic access control" ne peut pas être lue à l'insu de son porteur.


Protégé contre l'écriture, ça ok c'est facile. Mais contre la lecture, c'est beaucoup plus dur. Une carte d'identité classique, il faut la sortir et la montrer, sinon elle ne peut être lue. Pour une RFID c'est autre chose.

Et comme tu le dis, des antennes dopées peuvent lire à quelques mètres de distance, souvent il n'en faut pas tant.

Pour moi, tout système permettant de lire des données personnelles sans que l'utilisateur n'en ai le choix est un vol, qu'il soit légalisé ou non.

Tu as vu Minority Report et leurs "scanoptic" à tout va ? On tend vers ce schéma là...
[message édité par Goldoark le 03/09/2010 à 14:23 ]
Inscrit le 26/02/2006
29 messages publiés
La sécurité ce n'est pas quelque chose qui marche du premier coup. Il a fallu des décennies pour obtenir des algorithmes de chiffrement et de hachage solides. Il n'y a aucune raison qu'il en aille différemment pour la carte d'identité numérique.

Ce qui est inquiétant, c'est si les autorités ne réagissent pas ou si elles réagissent en condamnant ceux qui s'adonnent à ce piratage.
Mais seul le jeu "nouvelle techno / piratage / amélioration de la techno" peut aboutir à des cartes qui seront difficiles à détourner de leur usage.
Inscrit le 20/11/2009
120 messages publiés
CounterFragger, le 03/09/2010 - 15:05
malaga, le 03/09/2010 - 10:52

@Stabbquadd

+1

Il n'y a aucun protocole de vérification des articles chez Numerama. Les deux ou trois rédacteurs publient chacun dans leur coin, sans aucune relecture.
C'est ce qui fait la différence entre un blog qui essaye de se donner des allures de journal et un véritable journal.

On se demande alors pourquoi tu y viens depuis des années et changé plusieurs fois de pseudo (nooon, tu croyais qu'on ne remarquerait pas ce petit jeu ridicule et puéril ?!?), sûrement par masochisme...

Rien ne t'empêche de t'abonner à un "véritable" journal et d'éviter de venir pourrir les forums ici...

Dans la mesure ou les sites comme ici se permettent la critique des médias classiques, bien sur qu'il a raison de dire cela. Si toi tu trouves normal un articles blindé de fautes, sache que pour d'autres c'est tout simplement insultant, d'autant plus quand je le redis on est ici dans la critique perpétuelle des anciens médias. Ce genre d'articles donnent d'ailleurs 100/100 raison aux anti web et anti gratuit qui plus est.
Inscrit le 21/01/2005
368 messages publiés
Excellente analyse du problème dans l'article suivant :
http://www.lemagit.f...allemande-debat
Répondre

Tous les champs doivent être remplis.

OU

Tous les champs doivent être remplis.

FORUMS DE NUMERAMA
Poser une question / Créer un sujet
vous pouvez aussi répondre ;-)
Numerama sur les réseaux sociaux
Septembre 2010
 
Lu Ma Me Je Ve Sa Di
30 31 1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30 1 2 3
4 5 6 7 8 9 10