211service.com
Le problème de sécurité de la RFID
À partir de cet été, les Américains auront besoin de passeports pour voyager au Canada, au Mexique, aux Bermudes et dans les Caraïbes, à moins qu'ils n'aient des cartes de passeport ou l'un des permis de conduire améliorés que les États de Washington et de New York ont commencé à délivrer.
Valables uniquement pour les voyages par voie terrestre et maritime, ces nouvelles pièces d'identité sont une option pratique et peu coûteuse pour les personnes qui n'ont pas besoin de voyager en avion. Les cartes de passeport américaines, qui ont été introduites en juillet, coûtent environ la moitié du prix d'un passeport complet, et le coût supplémentaire pour obtenir un permis de conduire amélioré plutôt qu'un permis ordinaire est encore plus bas. Des licences améliorées sont disponibles à Washington depuis janvier 2008 et à New York depuis septembre ; d'autres États frontaliers, dont le Michigan, le Vermont et l'Arizona, ont l'intention de les offrir également.
Cette histoire faisait partie de notre numéro de janvier 2009
- Voir le reste du numéro
- S'abonner
Mais tout le monde n'est pas convaincu que les nouveaux identifiants sont une bonne idée. La carte passeport et les licences améliorées contiennent des étiquettes d'identification par radiofréquence (RFID), qui sont des micropuces équipées d'antennes. Un lecteur RFID peut envoyer par radio une requête à l'étiquette, ce qui l'oblige à renvoyer les données qu'elle contient - dans ce cas, un numéro d'identification qui permet aux agents des douanes de récupérer des informations sur le titulaire de la carte à partir d'une base de données gouvernementale. L'idée est que l'accès instantané aux données biographiques, à une photo et aux résultats des vérifications d'antécédents terroristes et criminels aidera les agents à faire traverser la frontière de manière efficace. La technologie RFID, cependant, soulève des problèmes de confidentialité depuis son introduction dans les étiquettes de produits au début des années 2000.
Pendant ce temps, bien que les experts disent que certaines technologies RFID sont assez sécurisées, l'analyse d'un chercheur en sécurité de l'Université de Virginie sur le NXP Mifare Classic (voir Hack , novembre/décembre 2008) , une puce RFID utilisée dans les cartes tarifaires des systèmes de transport en commun de Boston, Londres et d'autres villes, a montré que la sécurité des cartes à puce ne peut pas être considérée comme acquise. Je pense que nous sommes dans la phase de croissance, déclare Avi Rubin, professeur d'informatique à l'Université Johns Hopkins, chercheur en sécurité et confidentialité. Cela se produit avec de nombreuses technologies lorsqu'elles sont développées pour la première fois.
Permis de conduire amélioré de New York
Frais de 30 $, ajoutés au coût d'un permis de conduire
www.nydmv.state.ny.us/edl-main.htm
Permis de conduire amélioré de l'État de Washington
Frais de 15 $, ajoutés au coût d'un permis de conduire
www.dol.wa.gov/about/news/priorities/edl.html
Cartes de passeport américaines
45 $
travel.state.gov/passport/ppt_card/ppt_card_3926.html
Sécurité limite
Les premières des nouvelles cartes d'identité à être introduites, les cartes de passeport fédérales et les permis de conduire de Washington utilisent une technologie similaire, qui a été examinée et approuvée par le département américain de la Sécurité intérieure. Les dispositifs RFID des cartes, appelés étiquettes de code de produit électronique (EPC), ressemblent beaucoup à des codes à barres. Les étiquettes sont peu coûteuses et peuvent, dans des conditions idéales, être lues à une distance d'environ 150 pieds, une portée inhabituellement longue pour la RFID, explique Ari Juels, directeur et scientifique en chef des laboratoires RSA à Bedford, MA, qui a collaboré avec des chercheurs de l'Université de Washington pour évaluer les deux cartes.
Bien que les cartes ne stockent pas d'informations personnelles, les chercheurs ont conclu que même le stockage d'un numéro unique soulève des problèmes de confidentialité. Si vous pensez au numéro de sécurité sociale, à un moment donné, il aurait pu y avoir un argument selon lequel il ne s'agit que d'un numéro, pas d'informations personnelles, explique Tadayoshi Kohno, professeur adjoint d'informatique à l'Université de Washington, qui a participé à l'étude. Mais les chiffres évoluent avec le temps, et les usages évoluent avec le temps, et finalement ces choses peuvent révéler plus d'informations que ce à quoi nous nous attendions initialement. De plus, des lecteurs RFID relativement courants, tels que ceux utilisés pour le contrôle des stocks, pourraient dans certaines circonstances lire les numéros des cartes à une assez grande distance. Les chercheurs ont estimé qu'il y avait un risque que les cartes puissent être utilisées pour suivre les gens, de la même manière que quelques centres commerciaux en Grande-Bretagne ont utilisé les signaux des téléphones portables pour suivre les habitudes d'achat des clients et surveiller combien de temps ils restent dans les magasins. Bien que les gens portent d'autres cartes et dispositifs qui pourraient également être utilisés pour le suivi, les chercheurs notent que les cartes d'identification peuvent être lues à plus longue distance que de nombreuses autres étiquettes RFID et que les gens sont susceptibles de les porter à tout moment, pendant qu'ils pourraient partir, disons, leurs téléphones portables à la maison. Et les passeports américains ordinaires, qui contiennent également des puces RFID, utilisent une technologie qui rend les problèmes de confidentialité moins probables. Les passeports, contrairement aux cartes de passeport, doivent être lus de près et ils sont dotés d'un système de sécurité qui oblige un fonctionnaire à numériser optiquement les caractères du document afin d'accéder aux données personnelles stockées dans la puce.
Gigi Zenk, porte-parole du Département des licences de l'État de Washington, a déclaré que Washington avait interdit aux tiers d'utiliser les données des étiquettes RFID sans le consentement des propriétaires des étiquettes. Elle et d'autres responsables ajoutent que toute personne soucieuse de la confidentialité peut utiliser les pochettes de confidentialité fournies avec les cartes, qui sont conçues pour bloquer les signaux radio afin que les cartes soient plus difficiles à lire subrepticement. Mais l'étude de Washington a montré que les manchons ne fonctionnaient pas toujours : ils ne bloquaient pas les signaux radio lorsqu'ils étaient froissés, par exemple. Les chercheurs ont également fait valoir qu'il est peu probable que la plupart des gens utilisent les manches, de toute façon. Même certains chercheurs en protection de la vie privée consultés par Juels ont avoué les avoir perdus, dit-il.
Et la confidentialité n'est pas le seul problème ici : les chercheurs affirment qu'une lecture non autorisée menacerait également la sécurité des frontières. S'il est facile d'extraire le numéro d'identification des cartes, il est alors relativement facile de les contrefaire, simplement en chargeant un numéro d'identification volé sur une puce vierge du commerce. Si chaque puce RFID avait également un numéro de série câblé unique, qui devait correspondre au numéro d'identification stocké, il serait plus difficile de contrefaire. Mais ni les licences de Washington ni les cartes de passeport n'ont cette caractéristique de sécurité supplémentaire.
Les cartes Washington sont ouvertes à un type d'attaque supplémentaire : les balises EPC peuvent être désactivées lorsqu'un lecteur émet une commande de suppression. Bien que chaque étiquette soit conçue pour être protégée par un code PIN qui permet uniquement aux utilisateurs autorisés d'émettre la commande, l'État n'a jamais défini le code PIN sur les cartes qu'il a distribuées, permettant à quiconque disposant d'un lecteur RFID de le définir lui-même et de commencer à tuer des cartes. Si un bon nombre de Washingtoniens avec des licences améliorées étaient rassemblés à un poste frontalier, quelqu'un pourrait provoquer une perturbation en tuant un grand nombre de cartes. Un attaquant pourrait également utiliser cette tactique pour harceler des individus particuliers, car une carte tuée est susceptible d'attirer les soupçons.
Juels s'empresse de noter que les cartes ne seront pas la seule chose à protéger la frontière. Si les agents aux frontières font tout ce qu'ils sont censés faire [y compris, par exemple, comparer les photographies stockées dans la base de données avec celles imprimées sur la pièce d'identité], ils devraient être en mesure de détecter les contrefaçons, dit-il. Il ajoute cependant que c'est dans la nature humaine de devenir moins vigilant lorsqu'il y a une technologie sur laquelle s'appuyer.
Lorsque j'ai interrogé le Department of Homeland Security sur ces préoccupations, l'attachée de presse Laura Keehner a répondu par une déclaration qui disait, en partie, bien que les risques décrits dans l'article de l'Université de Washington/RSA puissent être techniquement possibles, nous pensons que beaucoup sont improbables, et même s'il était réalisé, il aurait peu d'impact autre que celui de causer des désagréments mineurs à un voyageur individuel à la frontière. … Au fur et à mesure que nous identifions des stratégies d'atténuation supplémentaires, nous continuerons de renforcer les exigences pour … les documents de voyage transfrontaliers afin d'améliorer à la fois la sécurité à la frontière et la confidentialité du titulaire du document.
La licence de New York et au-delà
Aucun chercheur indépendant n'a encore publié d'évaluation du permis de conduire amélioré de New York, mais la carte évite certaines des inquiétudes soulevées au sujet des cartes fédérales et de Washington. Les puces des licences de New York ont des numéros de série pour les protéger contre la contrefaçon, et leurs banques de mémoire ont été verrouillées pour les protéger contre l'utilisation non autorisée des commandes. Il est admirable que la sécurité intérieure et les États avec lesquels elle travaille soient prêts à utiliser de meilleures technologies que celles qu'ils ont choisies au départ. Mais on ne sait pas si ces efforts iront assez loin.
Les licences de New York présentent les mêmes problèmes de confidentialité que les autres cartes, et comme le suggèrent les commentaires de Keehner, les responsables ont tendance à rejeter ces préoccupations, ce qui pourrait très bien signifier que rien ne sera fait à leur sujet. Pourtant, il est sûrement possible de protéger la vie privée des titulaires de carte sans les obliger à garder une trace des pochettes de confidentialité. Par exemple, explique Avi Rubin, chaque carte pourrait être équipée d'un bouton permettant à l'utilisateur de contrôler quand envoyer des informations. À moins que le bouton n'ait été enfoncé, l'ID ne répondrait pas aux requêtes. De telles cartes coûteraient un peu plus cher, mais elles pourraient offrir plus de sécurité et plus de confidentialité.
Tant que les problèmes restants sont ignorés, cependant, il est peu probable que la technologie devienne assez bonne pour protéger les frontières internationales sans compromettre la vie privée de milliers ou de millions de personnes. Tadayoshi Kohno, pour sa part, dit qu'à ce stade, il n'est pas convaincu que la RFID offre même des avantages de sécurité par rapport aux anciens identifiants. La technologie utilisée à cette échelle, et à des fins aussi importantes, devrait être clairement meilleure que ce qu'elle remplace : l'expérience américaine avec les systèmes de vote électronique montre ce qui peut arriver quand ce n'est pas le cas. Si les responsables continuent de préconiser des pansements tels que des manchons de protection de la vie privée plutôt que de travailler pour répondre à toute l'étendue des préoccupations des critiques, ils finiront par saper la technologie même qu'ils espèrent promouvoir. Bien que la nouvelle technologie d'identification semble susceptible de rester, elle pourrait devenir un fiasco si les responsables ne prêtent pas attention au travail des pirates et des chercheurs en sécurité. Ces personnes essaient d'exposer les faiblesses avant qu'elles ne puissent être exploitées de manière malveillante. C'est beaucoup moins douloureux d'avaler leurs nouvelles que d'attendre qu'un problème devienne embarrassant ou dévastateur.
Erica Naone est une Examen de la technologie rédacteur en chef adjoint.
