Le filtre de protection des données privées dans l'eID peut être contourné

15/05/08 à 12:00 - Mise à jour à 11:59

Source: Datanews

On a dû mordre sur sa chique au service public fédéral informatique Fedict, lorsqu'on a visionné, il y a quelques semaines, un petit film édifiant, qui démontre que le filtre de protection des données privées intégré à la carte d'identité électronique peut être très facilement contourné. Par contre, c'est la joie chez les cyber-criminels qui cherchent à dérober des identités.

On a dû mordre sur sa chique au service public fédéral informatique Fedict, lorsqu'on a visionné, il y a quelques semaines, un petit film édifiant, qui démontre que le filtre de protection des données privées intégré à la carte d'identité électronique peut être très facilement contourné. Par contre, c'est la joie chez les cyber-criminels qui cherchent à dérober des identités.

Tout cette problématique est à présent abordée par [belsec] du [Belgian Security Bloggers Network], mais a suscité aussi, mercredi dernier, une interpellation du ministre de l'Intérieur, Patrick Dewael, par le parlementaire Roel Deseyn (CD&V). La demande de Deseyn repose donc sur ce film réalisé par un spécialiste de la sécurité et démontrant que le filtre de protection des données privées, conçu pour veiller à ce que les logiciels espions ('spyware') ne puissent pas lire les données sur la carte d'identité électronique, peut être contourné très facilement. Le pirate anonyme montre qu'il suffit pour ce faire de donner à une application de lecture auto-développée le nom d'une application qui a bien accès à l'eID (comme par exemple le navigateur Firefox).

Peter Strickx, 'chief technology officer' au Fedict, confirme qu'il a été désagréablement surpris en visionnant, il y a quelques semaines, la vidéo encore inédite alors. "Nous avons aussitôt pris contact avec Zetes, le producteur du 'middleware' (logiciel médiateur) des cartes, qui va procéder aux adaptations nécessaires. Nous veillerons à ce que dans toute nouvelle session, lorsque le fichier ID est lu via le 'middelware', apparaisse la première fois une fenêtre émergente posant la question de savoir si l'application en question peut lire ledit fichier." Normalement, le nouveau 'middleware' devrait être prêt pour la fin mai.

La combinaison des renseignements d'identité et de l'information contenue, disons, sur les cartes de crédit des Belges pourrait dans le pire des cas entraîner, selon les spécialistes de la sécurité, un vol d'identités à grande échelle. Mais Strickx calme le jeu: "Il ne faut pas exagérer l'impact de cette question, mais il était néanmoins important de prendre immédiatement les mesures qui s'imposent."

Roel Deseyn avait aussi attiré l'attention de Patrick Dewael sur l'utilisation de meilleurs standards et procédures de sécurité et de qualité au niveau de l'eID. "Ce n'est pas si grave", réagit encore Strickx. "Zetes dispose d'un des sceaux de sécurité parmi les meilleurs qui soient. Mais peut-être qu'au niveau du développement du middleware et uniquement là, certaines améliorations peuvent encore être apportées."

Nos partenaires