Des pirates allemands créent l’émoi autour de l’eID

Le collectif de pirates allemand Chaos Computer Club (CCC) a démontré sur la chaîne télé ARD comment des informations personnelles peuvent être subtilisées des futures cartes d’identité électroniques (eID) allemandes. La technique utilisée à cette occasion pourrait être efficiente chez nous aussi. L’eID allemande devrait être une réalité en novembre. Indépendamment des informations d’identité que la carte contient (sur la puce RFID), le gouvernement allemand souhaiterait aussi l’exploiter – tout comme chez nous du reste – pour des applications plus commerciales (comme moyen d’authentification sécurisé sur des sites web, comme badge d’entreprise, …). Dans ce but, le gouvernement distribuera quasiment un million de lecteurs de cartes RFID aux premiers détenteurs d’une eID.

Le collectif de pirates allemand Chaos Computer Club (CCC) a démontré sur la chaîne télé ARD comment des informations personnelles peuvent être subtilisées des futures cartes d’identité électroniques (eID) allemandes. La technique utilisée à cette occasion pourrait être efficiente chez nous aussi.

L’eID allemande devrait être une réalité en novembre. Indépendamment des informations d’identité que la carte contient (sur la puce RFID), le gouvernement allemand souhaiterait aussi l’exploiter – tout comme chez nous du reste – pour des applications plus commerciales (comme moyen d’authentification sécurisé sur des sites web, comme badge d’entreprise, …). Dans ce but, le gouvernement distribuera quasiment un million de lecteurs de cartes RFID aux premiers détenteurs d’une eID.

Mais le CCC a remis en question la sécurité de la carte à la télévision. Au moyen d’un spyware (logiciel espion) installé par les pirates sur un PC, ceux-ci ont réussi à lire le code PIN saisi par l’utilisateur de la carte eID. Ce n’est pas en soi spécifiquement un problème d’eID, puisque le spyware pourrait lire n’importe quel autre code entré sur le PC contaminé. Il n’empêche que l’émission a provoqué un tel tollé en Allemagne qu’en fin de compte, le ministre allemand de l’intérieur, Thomas de Maizière, en personne a été interrogé à propos de la sécurisation de l’eID.

Chez nous aussi Peter Strickx, directeur général architectures systèmes et standards au Fedict, fait observer que le carte eID allemande diffère de sa consoeur belge par sa puce RFID notamment. Il confirme pourtant que l’interception du code PIN de la carte eID pourrait très bien arriver chez nous aussi: “Cela pourrait être le cas pour tous les codes sur un PC infecté.”

Même si les pirates clament qu’il y a des problèmes de sécurité au niveau de la carte, la cause se situerait en réalité au niveau du lecteur. Comme l’utilisateur doit entrer son code sur le clavier d’un PC, ce code peut ainsi être aisément intercepté, si l’ordinateur est contaminé par un logiciel espion. Tel ne serait pas le cas avec un lecteur de cartes sécurisé ayant son propre clavier (‘secure pinpad reader’). “Plusieurs cliniques utiliseront dès lors un eID ‘secure pinpad reader’ avant de consulter le dossier électronique des patients via internet, et ce surtout pour contrer une variante de ce qu’on appelle en jargon la ‘man-in-the-middle-attack’: l’utilisation de l’accès à un site ou à une application web, pour accéder discrètement à un autre site.”

Il n’empêche que Strickx ne prétend pas que vous et moi devions nous aussi utiliser dans l’immédiat un ‘secure pinpad reader’: “Il est bon de rappeler la fonction du code PIN de l’eID, à savoir ‘l’accès à un traitement avec la clé privée’. Donc sans eID, le code PIN ne sert à rien, tout le contraire de certaines transactions e-commerciales, où le numéro de la carte, la date d’expiration et le nom du titulaire suffisent pour une opération. Pour abuser à distance du code PIN, l’eID doit se trouver dans le lecteur de cartes et il faut qu’à ce moment là, un traitement avec la clé privée soit sollicité.” Et cela n’arrive-t-il pas si souvent? “Ce risque n’est pas à exclure, mais il est quand même très limité…”