BFM Business

En Allemagne, des cartes d'identité biométriques vulnérables aux failles

Les cartes d'identité biométriques ont été introduites en Allemagne en 2010.

Les cartes d'identité biométriques ont été introduites en Allemagne en 2010. - Thomas Peter / Reuters

Un chercheur en sécurité est parvenu à tromper les systèmes d'authentification de cartes d'identité biométriques allemandes.

Les cartes d'identité biométriques ont elle aussi leurs failles. Un chercheur en sécurité du SEC Consult Vulnerability Lab est parvenu à déceler "une vulnérabilité permettant à un attaquant de manipuler les données de manière arbitraire, sans invalider la signature", rapporte Bleeping Computer.

Cela signifie qu'un attaquant bien renseigné pouvait exploiter cette faille pour modifier les données provenant d'une carte d'identité, dont la date de naissance, le nom ou le prénom. L'ensemble des détails techniques de cette faille, liée au logiciel d'authentification des cartes et non aux cartes en elles-mêmes, a été rendu disponible par les chercheurs. En l'occurence, le chercheur a pu s'identifier sur un site en tant que Johann Wolfgang von Goethe, du nom du célèbre auteur allemand.

Averties en juillet, les autorités allemandes ont remédié à la faille en août. Les organisations mettant à profit cette technologie d'authentification, dont certains services administratifs, ont été invités à mettre à jour leur version du logiciel utilisé.

Les cartes biométriques se veulent plus sécurisées que la génération précédente. Toutes comprennent des données biométriques dans une puce RFID, pour Radio Frequency IDentification (radio-identification, ndlr). 

Elles ont été introduites en Allemagne depuis 2010, pour prouver son identité et son âge sur des sites en ligne, et s'identifier automatiquement pour peu que l'on dispose d'un lecteur de carte RFID et d'un logiciel compatible sur son ordinateur.

En 2010 déjà, à l'époque de leur mise en circulation, des hackers du Chaos Computer Club étaient parvenus à tirer profit des failles de ces nouvelles cartes. Ils s'étaient alors servis des scanners personnels liés à ces cartes pour les pirater et montrer qu'il était possible de les utiliser pour usurper une identité, relevait Numerama

https://twitter.com/Elsa_Trujillo Elsa Trujillo Journaliste BFM Tech