samedi 22 novembre 2014

Accueil du site > Technologie > Empreintes numérisées sur le passeport biométrique devons-nous avoir peur (...)

Empreintes numérisées sur le passeport biométrique devons-nous avoir peur ?

Muriel Jarp

mardi 5 mai 2009, sélectionné par Spyworld

logo

Alors que la votation sur le nouveau passeport approche, des spécialistes mettent en doute sa protection infaillible et craignent pour la sphère privée

La sécurité du passeport biométrique est-elle vraiment au point ? Hier encore, le Tages-Anzeiger révélait que les appareils de lecture des passeports biométriques utilisés par les gardes-frontière pouvaient être piratés. Selon des tests effectués par l’Office fédéral de la communication (OFCOM), les données sont susceptibles d’être interceptées lors du scan du passeport. Durant cette opération, lorsqu’ils sont connectés à un ordinateur, les appareils de lecture envoient les données dans l’atmosphère et dans le réseau électrique. Résultat : on peut récolter les données jusqu’à une distance de... 500 mètres.

Face à cette alerte, la police fédérale garde son calme : « Même si on peut recevoir ces données, on ne peut absolument pas les lire. L’encryptage est totalement suffisant », rassure Guido Balmer, porte-parole du Département fédéral de justice et police. Il n’empêche, les autorités planchent sur une meilleure sécurisation des appareils de lecture.

Cet épisode montre que la sécurité du passeport biométrique comporte encore un certain nombre de failles. Si la nécessité de ce nouveau document n’est généralement pas contestée, et qu’il est clair qu’il améliorera la sécurité nationale, des voix s’élèvent pour demander une meilleure protection des données et donc de la sphère privée. D’une part, certaines des informations présentes sur la puce électronique sont facilement piratables, d’autre part, une intrusion dans la base de données n’est pas à exclure. « Rien n’est sécurisable à l’extrême, mais on peut rendre les choses très complexes », résume Lorin Voutat, spécialisée dans le hacking et la gestion des risques informatiques. « La question est de savoir si Berne a tout mis en oeuvre pour protéger la base de données. »

Mais finalement, même si les empreintes digitales et autres données peuvent être obtenues par des personnes ou groupes malintentionnés, faut-il céder à la psychose ? Que risque-t-on vraiment ?

Mes accès pourront être piratés

Actuellement, les empreintes digitales sont de plus en plus utilisées pour sécuriser des accès. Que ce soit pour entrer dans un bâtiment, payer ses courses dans un supermarché ou accéder à son téléphone portable, la reconnaissance par le bout des doigts a le vent en poupe. « Contrairement à une photo, l’empreinte digitale permet d’identifier à 100% une personne, précise Hanspeter Thür, préposé fédéral à la protection des données. Dans le futur, s’identifier grâce à nos empreintes digitales sera certainement la méthode la plus courante. » Raison pour laquelle, même s’il n’est pas contre le passeport biométrique en lui-même, il est en revanche formellement opposé à l’enregistrement des empreintes dans une base de données. « C’est un perfectionnisme de l’Etat » ! lance-t-il « Les Accords de Schengen n’exigent pas cette base de données, nous n’en avons donc pas besoin à tout prix », explique-t-il, avant de mettre en garde : « A notre avis, il est plus facile d’entrer dans une banque de données que dans une puce. Elle est cryptée de manière assez complexe et ça prend beaucoup d’énergie pour ne récolter les informations que d’une seule personne. Par contre, poursuit-il, pour une banque des données centralisée, beaucoup des personnes malintentionnées seront prêtes à dépenser beaucoup de temps et d’argent pour la pirater. »

Mes empreintes pourront se retrouver sur le lieu d’un crime

Selon Serge Vaudenay, professeur de cryptographie à l’EPFL, apposer des empreintes digitales volées pour brouiller les pistes ne relève pas forcément du film de science-fiction. « Même s’il y a des moyens plus faciles, comme prendre l’empreinte sur un objet, un verre par exemple. » Il y a quelques mois, Marcela Espinoza, de l’Institut de police scientifique, révélait dans Uniscope que mouler les empreintes digitales de quelqu’un, puis réaliser un contre-moulage à l’aide de gélatine, était tout à fait possible. Il suffit ensuite de coller cette fine couche de gélatine sur son doigt et le tour est joué ! Ce procédé permettrait en outre de piéger les capteurs à empreintes.

Mon identité pourra être percée à distance

« On accède aux puces présentes dans le passeport biométrique par des ondes radio », explique Serge Vaudenay. Même si elles ne vont pas immédiatement révéler les données qui y sont inscrites, il est assez facile de les faire « parler » (voir infographie). « On peut envoyer une requête aux puces qui sont dans les alentours et elles vont toutes nous répondre, poursuit le spécialiste. De cette manière, on pourra identifier la nationalité d’un passeport à distance. » La porte ouverte à des dérives ? « Oui, absolument ! Ça permettra de savoir qui est Israélien ou qui est Iranien dans une assemblée par exemple. Ça peut être très sensible pour certaines personnes. » Quant à la distance nécessaire pour faire parler la puce, elle est visiblement plus importante que les 20 cm avancés par la police fédérale. « J’ai des collègues qui affirment qu’en respectant la puissance de rayonnement légal, ils peuvent aller jusqu’à une distance de 12 mètres. Alors une personne malintentionnée peut certainement aller beaucoup plus loin... »

D’autre part, accéder à la photo, la date de naissance, le sexe et la signature est un jeu d’enfant, ou presque. « Elles sont très faiblement protégées. » Les empreintes digitales, elles, sont heureusement protégées par un autre mécanisme, plus fiable. Reste que le contrôle d’accès qui protège les données de base aurait pu être bien meilleur, selon le spécialiste.

Ainsi, si la sécurité laisse encore à désirer, il n’en reste pas moins qu’elle peut tout à fait être améliorée. « Le standard international est sorti en 2004. Il a commencé à être développé en 1997, mais après les attentats de 2001, tout s’est accéléré », précise le chercheur de l’EPFL. En voulant à tout prix assurer une protection maximale dans les plus brefs délais, on a peut-être négligé d’autres aspects sécuritaires. Selon lui, le contrôle d’accès qui protège les données de base devrait et pourrait être bien meilleur. On l’aura compris, selon les spécialistes, l’enjeu n’est pas aujourd’hui de se priver des technologies de pointe. En revanche, il s’agit bel et bien d’assurer la protection de ces données, et de pouvoir être convaincu que Berne mettra tout en oeuvre pour éviter des piratages.

Technologie du passeport

Une puce RFID, pour « radio frequency identity », fera partie intégrante du document. Elle est constituée d’un microprocesseur sur lequel seront stockées les données ainsi que d’une mini-antenne. Comme son nom l’indique, on accède aux informations qu’elle renferme par ondes radio, donc à distance.

Deux empreintes digitales seront intégrées dans la puce, en plus des informations figurant actuellement dans le passeport, telles que photo, signature, nom, prénom, etc.

Une base de données recensant toutes les informations présentes sur les puces de la totalité des passeports existe à Berne depuis 2003. Avec l’introduction du passeport biométrique, cette base de données renfermera en plus les empreintes digitales.

Si 60 Etats délivrent déjà des passeports biométriques, tous n’ont pas de banque de données centrale, à l’instar de l’Allemagne.


Envoyer : Newsletter Imprimer : Imprimer Format PDF : Enregistrer au format PDF PartagerPartager :