La puce intégrée au passeport belge révèle sa nationalité

Avec la puce intégrée entre autres au passeport belge moderne, il est possible de connaître à distance de quel pays elle provient. Voilà ce qu’ont découvert des chercheurs de l’université néerlandaise Radboud. L’information en question peut alors être exploitée pour des vols ciblés, voire pour des ‘passeports bombes.

Avec la puce intégrée entre autres au passeport belge moderne, il est possible de connaître à distance de quel pays elle provient. Voilà ce qu’ont découvert des chercheurs de l’université néerlandaise Radboud. L’information en question peut alors être exploitée pour des vols ciblés, voire pour des ‘passeports bombes.

Voilà ce qu’on pouvait lire, hier, dans le journal néerlandais Trouw et qui est publié aujourd’hui dans les journaux du groupe Corelio. Des chercheurs de l’université Radboud ont découvert qu’il est très facile de découvrir d’où provient la puce RFID pourtant fortement sécurisée. “Il suffit d’envoyer un code erroné vers un passeport”, explique Erik Poll, chercheur, dans Trouw. “Dans les règles Icao (Icao est l’organisation aérienne des Nations-Unies, NDLR), il est clairement stipulé comment la puce intégrée à un passeport doit répondre à toute question correcte posée par un appareil de lecture officiel, comme à la douane. Mais l’on a omis de prévoir quelque chose du genre pour les réponses à des demandes erronées. Dans la pratique, il apparaît que chaque pays a imaginé une manière propre d’interpréter les codes fautifs. Analysez le message d’erreur que vous obtenez après avoir envoyé sciemment un code erroné, et vous savez de quel pays émane le passeport.”

Bart Jacobs, professeur de sécurité informatique à l’université Radboud, confirme l’information publiée dans le journal Trouw, mais qualifie son titre ‘Après la puce qui coule, voici le passeport qui fuit’ quelque peu exagéré. “La puce du passeport n’est en l’occurrence pas piratée. On peut donc pas en tirer des données personnelles. Il est cependant vrai qu’il est possible de connaître la nationalité d’un passeport à faible distance. Rien de plus et rien de moins. En automne dernier, nous l’avions signalé au secrétaire d’Etat Bijleveld (de l’intérieur et des relations du royaume, NDLR) qui en a alors informé la Chambre.” Au ministère belge des affaires étrangères, on minimise l’affaire: “Il n’y a pas de quoi paniquer parce que le passeport, c’est bien plus que la seule puce.”

Les chercheurs mêmes, qui présenteront leur découverte le 15 mai lors d’un congrès scientifique, jugent cependant la menace d’abus bien réelle. Un exemple spectaculaire est le principe du ‘passeport bombe’ qui se déclenche lorsque quelqu’un d’une nationalité déterminée se présente quelque part. Autre exemple plus réaliste: celui de voleurs qui vérifient d’abord si et quel passeport possède quelqu’un et d’où est-il. Le vol ciblé est donc ainsi nettement facilité.

Les chercheurs de l’université Radboud avait précédemment déjà piraté la puce Mifare largement utilisée et incorporée à de très nombreux badges de personnel et titres de transport. Data News avait aussi découvert récemment que [les badges d’accès des 7 parlements belges intègrent la puce peu sûre].