Il serait aujourd’hui possible pour des pirates de cloner les tags RFID intégrés aux passeports et aux permis de conduire américains.
Dans un document co-écrit avec des membres de l’Université de Washington et l’entrepise de sécurité internet RSA, l’équipe détaille comment les puces RFID peuvent être clonées sur des distances pouvant aller jusqu’à 50 mètres.
Ces chercheurs ont également découvert qu’une technique anti-clonage recommandée par le Department of Homeland Security, le département de sécurité intérieure, n’avait pas été utilisée dans la conception de ces tags.
Depuis le début de l’année, les Américains traversant la frontière par voie terrestre ou marine (mais pas aérienne) ont pu utiliser le passeport United States Passport Card (également appelée « PASS Card »), qui contient une puce RFID lisible.
Cette carte était censée sécuriser et accélérer le passage de la frontière. Toutefois, les chercheurs ont découvert que les tags RFID utilisés était des modèles Class One Generation Two, qui, bien que moins onéreux (environ 10 cents chacun), ne sont pas sécurisés.
« Les tags Generation Two sont essentiellement des codes barres sans fil, sans provision spécifique relative aux besoins en sécurité et en protection de la vie privée », déclarent les chercheurs. « Tout comme leurs équivalents optiques peuvent être phtocopiés, les tags Generation Two sont vulnérables aux attaques de clonage, durant lesquelles leurs donnés publiquement visibles sont scannées par un pirate, puis transférées sur un périphérique clone ».
De plus, les puces RFID incriminées n’utilisaient pas de codes d’identifiant de tag unique conformes aux recommandations du Département de la sécurité intérieure, mais des codes de fabricant génériques, rendant ainsi le clonage beaucoup plus facile.
« Les leçons que nous avons apprises sur le clonage et l’anti-clonage vont bien au-delà des permi de conduire et des passeports. Nous étudions également le déploiement EPC (Electronic Product Code), dans tous les contextes où les puces RFID présentent un risque de clonage ou de contrefaçon », peut-on lire dans le rapport.
« Par exemple, avec le soutien des organismes de régulation gouvernementaux, l’industrie pharmaceutique commence progressivement à adopter l’EPC pour le suivi et la lutte contre les contrefaçons, à la demande de la FDA (Food and Drug Administration) américaine », est-il stipulé. « Ce qui annonce la généralisation de l’utilisation des RFID comme outils de sécurité. La contrefaçon de produits de consommation est un risque encouru par toutes les industries ».
Adaptation d’un article Vnunet.com en date du 24 octobre 2008 et intitulé Researchers kack US RFID passports
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…