Aspects techniques et sécurité

Transcription

1 Passeport biométrique suisse Aspects techniques et sécurité JS, février 2009, V3.1 Projet soumis en votation: avec centralisation des données Avec le nouveau passeport («passeport 10»), les données biométriques sont enregistrées dans une puce RFID intégrée au document; il s'agit des données personnelles (nom, date de naissance, taille, numéro du passeport, etc...), ainsi qu'une photo numérique et deux empreintes digitales (les deux index) du propriétaire du passeport. L'authenticité de ces données est théoriquement garantie par l'utilisation d'une signature électronique. En plus d'être stockées sur le passeport, ces données sont également intégrées à une base de donnée centralisée, appelée système d'information relatif aux documents d'identité (ISA). La puce RFID permet la lecture à distance des informations, sans contact physique avec le passeport. Alors que les autorités parlent d'une distance de lecture maximale de 20cm, un rapport du Joint Information Systems Committee (JISC) publié par Matt Ward de l'université de Londres parle d'une distance de 1.5m 1. La société française DAG SYSTEMS propose une technologie RFID HF (13.56MHz, la même fréquence que la puce RFID intégrée dans le passeport) permettant d'atteindre une distance de 10m 2 Afin que l'accès à ces données soit interdit aux personnes non autorisées (par ex, lecture en passant à proximité d'un passeport), le passeport est doté d'une procédure de contrôle d'accès appelée Basic Access Control (BAC) (pages 10)

2 La BAC prévoit que la lecture de la puce RFID n'est possible qu'après lecture d'une zone optique, située à l'intérieur du passeport, la Machine Readable Zone, (MRZ). Théoriquement, il serait impossible d'accéder au contenu de la puce RFID sans avoir au préalable effectué une lecture «visuelle». Une fois cette zone lue, une clé est calculée à partir de la date de naissance, de la date d'échéance et du n de passeport, qui permet la lecture de la puce RFID. Or cette procédure, pourtant présentée comme ultra-sécurisée, ne l'est pas. En 2006, l'expert en informatique Adam Laurie a «craqué» le nouveau passeport biométrique anglais 3, lequel utilise la même technologie que le nouveau passeport suisse. Le point faible du dispositif réside dans le fait que la clé «secrète» est calculée à partir d'informations non-secrètes, disponibles sur la zone MRZ du passeport. Selon lui, cela revient à installer une porte blindée à sa maison, et à laisser la clé sous le paillasson. Il a ainsi pu avoir accès au contenu de la puce RFID (données biométriques, image numérisée), et a pu ainsi «cloner» ces données sur une puce vierge, ouvrant la voie à la fabrication d'un faux passeport. L'accès à la MRZ est possible par exemple à chaque fois qu'un passeport est photocopié (réception d'hôtel, location de voiture, etc...). Certes, il n'est pas (encore?) possible de modifier les données ainsi copiées et donc, par exemple, de remplacer une image par une autre; mais rien ne garantit que cette protection ne sautera pas également un jour. Dès lors qu'on a pu avoir accès la MRZ du passeport, la possibilité d'un «vol d'identité» peut être envisagée. Imaginons qu'un terroriste ayant pu copier le contenu de la puce RFID de votre passeport souhaite se faire passer pour vous: il suffit d'une vague ressemblance physique, et la personne pourrait se présenter avec un faux passeport, contenant votre identité «clonée». Comme votre passeport n'a pas été volé (vous l'avez encore), mais uniquement «cloné» à distance, vous n'avez pas annoncé le problème aux autorités, qui n'ont donc aucun moyen de savoir qu'il y a eu «vol d'identité». Dès lors, le terroriste peut voyager avec votre identité. Insistons sur une différence entre passeport «traditionnel» et passeport électronique: a la différence du passeport traditionnel qui peut être photocopié avec une perte de qualité (la photocopie n'est pas parfaitement identique et ne peut être présentée comme une preuve, la photocopie de la photo a une qualité trop faible pour être réutilisable), le passeport électronique peut être copié sans aucune perte de qualité. Les photos obtenues peuvent être incluses dans des document comme étant des photos de très bonne qualité. On peut faire des copies des copies de la copie sans aucune limite ni contrôle de la personne concernée. Une autre différence est la dépendance dans la technologie. Avec le passeport traditionnel, on peut toujours faire un contrôle d'identité quasiment sans perte de qualité du service (blackout, panne informatique, etc)) si les systèmes ne fonctionnent plus. Avec le nouveau passeport, les infrastructures pour le contrôle visuels seront inévitablement réduites (s'il faut 1 minute en moyenne pour vérifier un passeport traditionnel et qu'il y a 10 guichets et si maintenant cela ne prend plus que 30" avec le passeport électronique, pourquoi maintenir les 10 guichets?) et les contrôles deviendront inadaptés aux situations de pannes. A l'epfl, l'équipe du Prof. Vaudenay, à partir des travaux de Adam Laurie, a démontré que même sans avoir accès à la MRZ, il ne fallait que quatre heures en présence d'un passeport biométrique suisse pour avoir accès au contenu de la puce RFID 4 (méthode dite en «brute-force», par une série d'essais-erreurs, jusqu'à la bonne clé). Enfin, le passeport biométrique présente un risque supplémentaire par rapport au passeport traditionnel: il est présenté et perçu comme nettement plus sécurisé que ce dernier. Dès lors, il y a de fortes chances pour qu'il soit accepté sans question lors des embarquements, le personnel faisant trop fortement confiance en la technologie et négligeant le contrôle visuel de la personne, pourtant seul à même de déceler par exemple une différence trop grande entre un visage et une photogaphie. Pour ce qui concerne les empreintes digitales, une procédure théoriquement plus sécurisée est mise Emission «Temps présent» de la TSR, 9 octobre 2008

3 en place. Nommée «Extended Access Control (EAC)», elle introduit l'usage de certificats. Pour qu'un appareil de lecture puisse accéder aux empreintes digitales, il faut qu'il dispose d'un certificat électronique délivré par la Suisse. Le passeport contrôle ce certificat et ne transmet les données sécurisées qu'il contient si et uniquement si le certificat est valable. Les certificats des appareils de lecture ont une durée de validité très restreinte (seulement quelques jours) et il faut régulièrement les renouveler au moyen de l infrastructure à clé publique (Public Key Infrastructure). Contrairement à la technologie BAC, l'eac ne permet pas de clonage de la puce. Bien que plus sécurisée que la BAC, l'eac n'est pas sans problèmes: à l'epfl, l'équipe du Prof. Vaudenay a pu démontrer qu'il y avait une fuite d'information: si l'on n'est pas autorise a passer le EAC et que l'on a des indices sur une partie des données protégées, on peut reconstituer les parties manquantes (sous réserve que l'incertitude sur cette partie ne soit pas trop élevée). Il est possible que l'on découvre d'autres vulnérabilités dans le futur. Pour illustrer les enjeux autour des empreintes digitales, le Chaos Computer Club allemand a publié les empreintes digitales de nombreux politiciens, dont le ministre de l'intérieur Wolfgang Schäuble. Les empreintes ont pu être récupérées sur un verre utilisé lors d'une conférence donnée par ce dernier. Une fois en possession d'une empreinte de quelqu'un, il est extrêmement facile de créer un moulage permettant de tromper les détecteurs automatiques et ainsi de «voler» une identité. Des «marches à suivre» permettant de modifier ses propres empreintes digitales et de les remplacer par celles d'autrui, à l'aide d'articles facilement disponibles dans le commerce (colle, appareil photo numérique, imprimante), sont disponibles publiquement sur la toile5. Dans un article paru dans «Uniscope» (journal de l'université de Lausanne) no. 536, l'experte de la police scientifique Marcela Espinoza relève que réaliser un moulage d'une empreinte digitale à l'aide de gélatine est possible: «il suffit ensuite de coller cette fine couche de gélatine sous l'index, par dessus ses propres empreintes. Tous les capteurs que nous avons testés, même ceux munis d'un dispositif antifraude, se font piéger». En Allemagne, les révélations du chaos computer club sur cette possibilité de «vol d'identité» ont aboutit à ce que la prise des empreintes digitale soit rendue facultative lors de l'établissement d'un passeport. Notons enfin un dernier élément très important: nos empreintes digitales nous accompagneront 5 ainsi qu'une vidéo sur

4 jusqu'à notre mort, et il n'est pas possible d'en changer. Dès lors, si nous nous faisons «voler» celles-ci, il s'agit d'un vol «définitif», et il sera dès lors extrêmement compliqué, voire impossible, d'empêcher leur utilisation future par autrui. Avec ou sans base de donnée centrale? Question de l'architecture du système L'Union européenne n'impose pas le stockage des données biométriques dans une base de donnée centrale: il s'agit d'un choix du Conseil fédéral, qui est allé plus loin que les exigences de l'ue. L'utilisation de la biométrie dans le passeport remplit deux fonctions distinctes, que voici présentées: a) La biométrie pour authentifier (n'est PAS le modèle soumis en votation) Traditionnellement, un titre d'identité associe une photographie et un nom. Il permet au porteur du titre de prouver son identité. On parle alors d'«authentification», c'est-à-dire d'une recherche dite «un contre un». Avec un titre classique ou un titre électronique sans biométrie, il existe deux niveaux de vérifications : examen visuel et contrôle des sécurités du titre puis, si nécessaire, consultation du fichier de gestion de la carte nationale d'identité pour s'assurer que ce titre a bien été délivré par les autorités habilitées. Trois solutions intégrant la biométrie permettent d'améliorer la qualité de l'authentification. Une carte à puce biométrique sans fichier central Les données biométriques ne figurent que sur la puce. Cela permet un troisième niveau de sécurité en authentifiant le porteur par comparaison avec les données biométriques contenues dans la puce. Si seule la photographie est dans la puce, le gain en sécurité est assez faible par rapport à ce que permet un titre classique ou un titre électronique sans biométrie sur lequel figure déjà la photographie. Si les empreintes digitales ou une autre donnée biométrique performante figurent sur la puce, le gain en sécurité est meilleur. A la différence de la photographie, le «look like» c'est-àdire l'utilisation de la carte d'un tiers, complice ou non, ressemblant physiquement à la personne usurpant l'identité, devient plus difficile. Toutefois, cette utilisation de la biométrie ne permet pas d'assurer l'unicité de l'identité lors de la délivrance du titre. Une carte à puce biométrique avec un fichier central unidirectionnel dans le sens identité vers biométrie Avec ce modèle, il est possible, à partir de l'identité d'une personne, de retrouver ses données biométriques. Toutefois, l'inverse n'est pas possible. Ainsi, la connaissance de l'identité d'une personne permet d'accéder à sa donnée biométrique et de procéder, si nécessaire, à son authentification. Par rapport au modèle précédent sans fichier, ce modèle présente un triple avantage : - si la carte à puce est muette (titre imité ou altéré), on peut vérifier l'identité du porteur en sélectionnant son identité dans la base, puis en comparant ses données biométriques avec celles contenues dans la base biométrique correspondant à l'identité affichée ; - le renouvellement d'une carte est simplifié et sécurisé. On sélectionne par l'identité pour obtenir une caractéristique biométrique que l'on compare à celle du porteur ; - l'unicité de l'identité est assurée à l'occasion de la délivrance du titre. En effet, si l'individu a un titre sous une autre identité, ses données biométriques auront déjà été enregistrées dans la base de données et le système s'en apercevra. Certes, il n'est pas possible de savoir quelle est cette autre identité. Mais, cela suffit à détecter une tentative d'usurpation d'identité. Une carte à puce biométrique avec un fichier central dit à «liens faibles» Dans la situation précédente, les liens entre les deux bases étaient construits de telle sorte qu'à

5 chaque enregistrement d'identité ne correspondait qu'une seule donnée biométrique. Le nombre de liens est équivalent au nombre de personnes que l'on souhaite gérer. Par exemple, si le système gère dix millions de personnes, il faut dix millions de liens de valeurs différentes, composés de huit chiffres, entre la biométrie et l'identité. Supposons, maintenant que l'on réduise, pour cette même population, les valeurs de lien de huit chiffres à deux chiffres en gardant par exemple les deux derniers chiffres. Il y a alors cent mille entrées correspondant à chaque valeur de lien. Il n'est alors plus possible de connaître la donnée biométrique d'une personne à partir de son identité; de même, l'identification d'une personne à partir d'une donnée biométrique n'est pas possible. Ce système permet d'assurer l'unicité de l'identité tout en garantissant l'anonymat. En effet, la vérification biométrique est possible de la façon suivante : il faut sélectionner par l'identité et obtenir une première valeur du lien, puis sélectionner par la biométrie pour obtenir une seconde valeur du lien. Si les deux valeurs sont identiques, la probabilité que l'association identité-biométrie soit correcte est de 99 %. Ce chiffre de 99 % est donné à titre d'exemple. La probabilité pourrait être de 99,9 %, si les valeurs de lien comportaient trois chiffres au lieu de deux. Dans tous les cas, la probabilité est suffisamment grande pour offrir une assurance quasi-complète sur l'unicité de l'identité et pour dissuader les fraudeurs. En effet, un fraudeur qui tenterait d'usurper une identité aurait une chance sur cent ou sur mille que ses données biométriques se soient vues attribuer la même valeur de lien que celle attribuée aux données biométriques de la personne dont il tente d'usurper l'identité. b) la biométrie pour identifier (modèle soumis en votation) Les modèles précédents rendent difficile l'utilisation des données pour d'autres fins que celles pour lesquelles elles ont été collectées. Les exemples de modèle suivants ne présentent pas la même garantie. Ils permettent d'identifier et non plus seulement d'authentifier. A la différence de l'authentification qui consiste à comparer les données biométriques de la personne avec celles contenues sur la puce ou dans la base et supposées être les siennes (recherche dite «un contre un»), l'identification consiste à comparer des données biométriques anonymes avec celles contenues dans la base afin de retrouver l'identité de la personne (recherche dite «un contre n»). Les systèmes d'identification assurent l'unicité de l'identité comme les deux précédents systèmes d'authentification. Mais ils permettent d'autres utilisations, étrangères à la simple gestion de la délivrance d'un titre d'identité. C'est cette solution qui a été retenue par le Conseil fédéral: celui-ci précise en effet que la base de donnée permettra, outre la vérification de l'identité lors des déplacements. «l'identification des victimes de catastrophes naturelles (par ex. le tsunami en 2004), d'accidents et d'actes de violence6». Un exemple de système de ce type est un système où le lien est bidirectionnel entre la base des données d'identité et la base des données biométriques. On peut retrouver l'identité à partir de la biométrie et inversement. Un système d'identification encore plus abouti consiste en une seule base regroupant toutes les données sans lien crypté entre les différentes données. Cette fonctionnalité d'identification peut permettre : - d'identifier un amnésique, un enfant fugueur ou retrouvé, des personnes désorientées (fous, maladie d'alzheimer), des cadavres, notamment en cas de catastrophe naturelle majeure ; - d'identifier une personne ayant commis une infraction et refusant de donner son identité ; - d'identifier une personne à partir de traces retrouvées sur une scène de crime Précisions toutefois que le conseil fédéral affirme que «Les données enregistrées dans ISA ne peuvent pas être utilisées à d'autres fins, comme par exemple des recherches ou d enquêtes». Il n'y a néanmoins aucune garantie sur les utilisations futures des données récoltées. 6

6 Au niveau de la sécurité, précisions encore que la phase de délivrance du premier titre est une phase «critique». A ce stade, les données biométriques du requérant ne sont pas encore dans le fichier. Il pourrait alors usurper l'identité d'une personne qui ne se serait pas vu délivrer, elle aussi, un premier titre biométrique ou créer une identité fictive. Le fraudeur usurperait de la sorte l'identité de la personne et substituerait ses données biométriques.