Des chercheurs de lUniversité du Luxembourg ont découvert une faille dans la norme de sécurité appliquée dans les passeports électroniques dans le monde entier depuis 2004. Cette norme, ICAO 9303, permet aux lecteurs de passeports électroniques dans les aéroports de scanner la puce dun passeport et didentifier son titulaire.
La plupart des passeports utilisent aujourdhui la norme ICAO 9303, qui est délivrée par lOrganisation de laviation civile internationale (OACI). Cette norme a été conçue pour protéger la vie privée du titulaire du passeport au plus haut niveau et et garantir la dissociation. La dissociation assure quun attaquant ne peut pas distinguer si deux éléments sont étroitement liés
Le Dr Ross Horne, le Prof. Sjouke Mauw, le doctorant Zach Smith, et létudiant Ihor Filimonov ont testé cette norme. Ils ont découvert une faille qui permet daccéder aux données des passeports grâce à de léquipement spécifique non autorisé. « Avec un appareil spécifique, vous pouvez scanner des passeports à proximité immédiate et ré-identifier les titulaires de passeports précédemment examinés, en surveillant leurs déplacements », explique le Dr Horne. « Ainsi, un observateur non autorisé peut enregistrer les mouvements dun titulaire de passeport. »
Limites et implications de la faille
Un appareil non autorisé qui scanne un passeport dans un rayon de plusieurs mètres permet didentifier et de conserver la trace de ce passeport, bien quil ne puisse pas lire le passeport. Par conséquent, le titulaire du passeport peut être la cible dattaques potentielles, même si la faille ne permet pas aux attaquants daltérer les informations biométriques stockées dans la puce du passeport ou de lire les informations contenues dans ce passeport.
« Comme la plupart des passeports utilisent aujourdhui la même norme, cette violation de la sécurité est globalement efficace », poursuit le Dr Horne. En Europe une telle infraction de la sécurité viole probablement les exigences du cadre de protection des données de l'UE. Les gouvernements ont la responsabilité de protéger la vie privée des personnes et devraient veiller à ce que les documents officiels soient à lépreuve de telles attaques.
Léquipe de chercheurs de la Computer Science and Communications Research Unit a informé lOACI en juin des résultats de leurs tests. Ils ont également proposé plusieurs approches pour rétablir la protection de la vie privée, suggérant que les fabricants de lecteurs de passeports électroniques devraient assurer la protection de la vie privée des titulaires de passeports.
Les résultats de létude « Breaking Unlinkability of the ICAO 9303 Standard for e-Passports Using Bisimilarity » ont été présentés le mardi 24 septembre lors de la conférence ESORICS 2019, la plus importante conférence européenne sur la sécurité des systèmes. La 24e édition dESORICS est organisée par lInterdisciplinary Centre for Security, Reliability and Trust (SnT) de lUniversité du Luxembourg, du 23 au 27 septembre.
###