Passeport RFID hacké en 4 heures

Le cerveau de cet exploit est Adam Laurie, cet expert en sécurité qui a déjà permis au Guardian de titrer « Cracked it ! » en novembre 2006. À l’époque, la performance consistait à mimer la procédure officielle d’accès à la puce, telle qu’elle est effectuée aux frontières. Le policier présente devant un lecteur optique la page du passeport contenant la photo, et l’ordinateur lit la « clé MRZ », dans la « zone à lecture optique » (Machine Readable Zone). Le dialogue radio avec la puce RFID démarre. Un dialogue crypté, que le guichet décode grâce à la clé MRZ.

Avec du matériel acheté légalement pour 400 €, et un logiciel fait main, Adam Laurie savait à l’époque faire parler la puce d’un passeport, à l’aide de cette clé. Celle-ci étant inscrite dans le passeport, l’épreuve suivante devenait : peut-on obtenir le même résultat sans ouvrir le passeport ? L’expert expliquait déjà que cette clé est facile à deviner, du moins à cerner. C’est une séquence de données triviales, comme la date de naissance du titulaire, la date d’expiration du passeport et un numéro de série beaucoup moins aléatoire qu’il en a l’air. Adam Laurie avait mis au point une méthode d’attaque en « force brute », c’est-à-dire en essayant toutes les combinaisons possibles. Il estimait alors qu’un passeport pourrait être craqué en 24h. Sidérant : votre carte de crédit se bloque après trois essais infructueux, mais le passeport RFID européen encaisse sans broncher des milliers de tentatives d’effraction.
L’enquête du Daily Mail pulvérise l’hypothèse des 24h. Il s’agit du vol, concret, en quatre heures, du contenu de la puce d’un passeport enfermé dans une enveloppe, portant seulement le nom et l’adresse de son titulaire. En situation réaliste. Mais avec un avantage : le passeport étant neuf, sa date d’expiration se situe dans dix ans, moins quelques jours. Le logiciel d’Adam Laurie a testé un grand nombre de valeurs possibles pour le numéro de série et les dates plausibles pour l’expiration. La date de naissance du titulaire, dont on ne connait que le nom, écrit sur l’enveloppe ? Trouvée sur Internet... quelque part. En deux heures. Des milliers de hackers savent où chercher.
Donc, un filou capable d’approcher pendant quatre heures un passeport neuf dont il connaît le nom du titulaire devrait pouvoir voler une identité numérique complète. Quatre heures, c’est encore long pour celui qui rêve de chiper en série des identités numériques à distance, dans la poche de voyageurs croisés dans un hôtel. Mais quatre heures, c’est déjà six fois moins que l’estimation hasardée il n’y a pas quatre mois. Combien de minutes dans un an ?
Après le Guardian, le Daily Mail. Que fait notre presse ? Comment s’appelle le ministre qui a instauré en France ce passeport qui roule pour les voyous ? Les Démocrates libéraux britanniques se sont prononcés pour l’arrêt de cette folie, que disent nos candidats à la présidence ?