Le passeport avec empreinte digitale arrive. Mais à quoi servent ces empreintes digitales dans la puce du passeport si un enfant peut se bricoler une fausse empreinte et un faux doigt ? La recette est sur le Net. Les experts en sécurité avaient prévenu : la biométrie, c’est pratique, mais pas magique.
C’est officiel, puisque le décret d’application est paru le 4 mai au journal du même métal, les passeports délivrés en France seront biométriques. Dès octobre dans cinq départements, dans toute la France à la fin juin 2009. Concrètement, cela signifie que les empreintes digitales du titulaire seront relevées au moment de la demande de passeport, et qu’une description numérique de ces empreintes rejoindra les éléments habituels (dont la photo) dans la puce sans contact (dite RFID) déjà dans nos passeports. Pour quoi faire, ces empreintes ? Suis-je bête, tout le monde sait cela, la « biométrie », c’est-à-dire la sécurisation à l’aide de paramètres biologiques, c’est l’avenir ! Elle est toujours au rendez-vous dans les films de sciences-fiction. On a tous vu au cinéma James Bond pénétrer dans les lieux les plus secrets en présentant son pouce (ou son iris).
Tout le monde sait que la biométrie, c’est absolument imparable, infaillible et que donc notre tranquillité est à ce prix. Tout le monde « sait » cela, y compris nos politiques, qui savent surtout que nous le savons et qu’en décidant d’y avoir recours, ils donnent l’impression de faire quelque chose pour notre « sécurité ». Leur tranquillité est à ce prix. À propos de prix, ce sera 100 millions d’euros. Pour les 2 000 machines à relever les empreintes (et la photo) qui seront installées dans les mairies où le passeport dernier cri sera délivré. Cent millions pour le consortium qui emportera cette petite commande publique : Thalès-Accenture, Atos-Sagem, Cap Gemini-Sopra ou Bull-Zeltes. Comme on est dans une démocratie, il va de soi que l’on ne va pas dépenser cent millions d’euros pour une technologie qui n’aurait pas réellement les qualités annoncées. Il doit donc être amplement démontré que grâce à ces empreintes digitales, il sera désormais rigoureusement IM-POS-SI-BLE de passer une frontière avec un passeport qui ne serait pas le sien, obtenu légalement.
Il faut rappeler que la France ne fait qu’appliquer une directive européenne. Laquelle résulte d’une demande, pressante, de Washington. C’est donc d’abord à l’arrivée sur le territoire US que les citoyens européens mettront bientôt leur doigt sur un bidule qui lira leur empreinte, qui sera comparée au modèle contenu dans leur passeport tout neuf.
Bref, c’est à cause du 11 septembre. On en déduit que l’empreinte digitale doit être un formidable moyen d’empêcher les successeurs de Mohammed Atta de pénétrer sur le territoire des États-Unis.
Seulement voilà, il y a des gens qui doutent. Pas seulement des agitateurs hirsutes qui ne croient en rien, mais aussi des experts en sécurité. Première raison de douter : c’est un jeu d’enfant que d’emprunter l’empreinte d’un copain, pour rire, et de la porter sur son propre doigt. Le plus dur est d’obtenir une belle empreinte du bon doigt de la victime, par exemple sur un verre. La suite est simple comme bonjour. Il faut des ingrédients aussi sophistiqués que de la colle et des outils aussi inaccessibles qu’une imprimante laser (à partir de 79 euros de nos jours). Compter 10 euros de fournitures pour une vingtaine d’empreintes.
La recette est sur Internet, et même sur YouTube. Il y a le choix. Essayez par exemple celle du célèbre Chaos Computer Club, une association allemande qui vulgarise les faux-semblants de la sécurité informatique, disponible depuis 2004 (vidéo Arte, en français ici) :
Ou bien celle proposée au public états-unien en 2006 par l’émission « MythBusters » sur Discovery Channel :
On trouve bien d’autres documents, plus académiques, sur le sujet, comme le papier historique de Jeroen Keuning présenté à un congrès IFIP en 2000 et celui de Tsutomu Matsumoto de la conférence SPIE de 2002.
Ces documents le montrent, même le petit chaperon rouge saura réaliser une fausse empreinte digitale, alors que dire du grand méchant loup ? Question : comment peut-on avoir eu l’idée de « sécuriser » nos passeports au moyen d’une telle passoire ?
Les scénarios d’exploitation de cette faille sont nombreux, mais pour fixer les idées, imaginons que X se présente à une frontière avec le passeport biométrique de Y, qui lui ressemble beaucoup, surtout la barbe : il ne sera pas inquiété s’il présente sur le capteur d’empreinte digitale celle qu’il aura emprunté à Y et collé sur son doigt.
On s’attendrait à des arguments musclés de la part des défenseurs du passeport biométrique. Comme par exemple : « Nous avons pensé à tout, et la police des frontières passera au papier de verre les doigts de tous les passagers arrivant dans nos aéroports, même aux heures de pointe. » Ben non. On parle plutôt d’une technologie miracle qui va dégonfler les files d’attente.
En fait, l’argument qui revient le plus souvent, c’est que l’on a des tas d’idées pour agrémenter les lecteurs d’empreintes de dispositifs techniques additionnels capables de distinguer les fausses des vraies. Le problème, c’est qu’à chacune de ces approches on peut opposer une contre-mesure. Et qu’en conséquence, on passe de la fiction de la « technologie géniale qui apporte une sécurité absolue » à la classique guéguerre de la cuirasse toujours plus épaisse face au canon de plus en plus gros. On devine la suite de l’histoire : dès que le premier cas de passage frauduleux à la frontière grâce à une fausse empreinte passera au « vingt heures », parions que les industriels de la chose nous assurerons que la prochaine génération est prête. Pour eux, la biométrie sera toujours une technique infaillible pour assurer leur sécurité… financière.
Comme si le « faux doigt » ne suffisait pas, des experts réputés en sécurité ont des raisons plus fondamentales, théoriques, de se méfier de la biométrie en général et de l’empreinte digitale en particulier. Voir par exemple ce qu’en dit (en anglais) Bruce Schneier, un pape de la sécurité informatique.
La première va de soi : l’empreinte (comme le visage et même l’iris) est tout le contraire d’un code secret. On laisse ses empreintes sur les poignées de porte, sur le papier glacé… partout. N’est-il pas un tout petit peu étrange, voire paradoxal, d’utiliser une information quasiment publique pour démontrer qui l’on est ?
Seconde raison, énorme : l’empreinte digitale n’est pas « révocable ». En clair, si on peut changer un mot de passe éventé, bloquer et remplacer une carte à puce volée, que ferez-vous le jour où un vilain se fera passer pour vous grâce à votre empreinte digitale ? Vous changerez de doigt ?
Pour lire d’autres écrits de Pierre Vandeginste sur la high-tech, voyez son blog
Bonsoir,
Dans la technologie RFID, il faut bien être conscient que l’aspect majeur est l’augmentation des débits de circulation (ici de personnes). La démographie mondiale étant ce qu’elle est et les nouveaux marchés, Inde et Chine, comptant plus d’un tiers de la population de la planète, ce besoin est fondamental pour implémenter les usages occidentaux (prendre l’avion, prendre le métro) dans leurs pays. La ’sécurité’ c’est en bonus.
a+,=)
=Finiderire=-
L’empreinte digitale se heurte à un problème pratique au-delà des tentatives de "piratage" : le simple fait de se couper, même peu profondément, crée une cicatrice qui modifie l’empreinte digitale. Très concrètement, j’ai sur le pouce droit, quasiment au centre de l’empreinte, une cicatrice de 2 mm de long que je n’avais pas il y a quelques années. Suis-je toujours "moi" ?
Les forces de police le savent, et savent prendre du recul par rapport à ça, mais je ne suis pas persuadé qu’un douanier dans un aéroport soit convaincu par des histoires de couteau qui dérape ou de bout de verre. Ou même simplement de travail manuel qui érode les empreintes.
Ces outils sont mis dans les mains de personnes qui n’y connaissent pas grand chose, mais qui feront confiance à ce que leur raconte leur ordinateur plutôt qu’à la personne en face d’eux. Parce qu’un ordinateur a toujours raison. Non ?
Ce qui est amusant dans les détécteurs d’empreintes digitales est qu’en général, l’utilisateur laisse son empreinte dessus lors de l’utilisation. C’est donc le meilleur endroit pour la récuperer :).
Ce qui me parait le plus inquiétant dans cette histoire, c’est le RFID. Il est assez facile de récuperer les infos d’un RFID, celles ci se balladant dans les airs, il sera assez aisé pour un pirate avec un outil basique de les recuperer, voir pour des raisons politiques d’avoir un gouvernement qui recupère les informations de l’opposition. Il suffit de voir le nombre de personnes qui passent leur sacs plutot que la carte navigo sur les composteurs des métros.
Il faut trouver une parade, quel est le materiau qui permet d’isoler le RFID d’un sniffage non désiré ?
Justement, la bonne parade n’est pas de bloquer la puce RFID, mais de porter une autre puce contenant de multiples informations fausses.
Le "gravage" d’une puce RFID est relativement bon marché (appareils à moins de 500 dollars), avec une nomenclature très standardisée. Si cette puce maison contient 1000 identités différentes, il sera impossible de trouver la bonne dans cette botte de paille.
Question d’angle d’attaque :)
Le principal vecteur de la fraude en matière de papier d’identité est la production de fausse pièces justificatives. Ce gouvernement s’attaque à la sécurisation du titre lui-même et non à la sécurisation du processus d’obtention. Alors que l’acte d’état civil pourrait, grâce à une réforme de la loi (possibilité de le dématérialiser), être facilement transmis directement de l’administration détentrices à l’administration qui fait le titre, on va continuer à demander à notre brave citoyen de se trimballer avec et permettre aux fraudeur d’en faire de faux !
A n’y rien comprendre.
Oui effectivement vous en avez parlé mais cela fait 4 ans que les communes attendent la modification de la loi qui permettrait une dématérialisation des actes authentiques d’état civil.
Or c’est d’abord un décret qui est mis en œuvre sur la biométrie et non un décret de modification pour rendre possible cette dématérialisation …
Dématérialisation qui permettrait aussi aux communes d’alléger son service d’accueil du public …
Vous voyez l’ordre de cette démarche est inverse à la logique.
Twitter
Facebook
Imprimer
Commenter
Recommander à un ennemi