Services
Pendant vingt minutes, Chris Paget a roulé dans San Francisco à bord d'une voiture équipée d'une antenne et d'un lecteur d'identification par radiofréquence (RFID). Et pendant ces vingt minutes, il a pu accumuler assez d'informations sur deux passeports américains munis de puces émettrices de radiofréquence pour pouvoir les dupliquer.
Les deux passeports piratés sont des versions allégées du passeport traditionnel. La carte, munie d'une puce d'identification par radiofréquence, substitue le passeport américain lors de voyages au Canada, au Mexique et dans les Caraïbes.
«Je crois que l'identification par radiofréquence n'est pas convenable pour l'identification,» expliquait le pirate. Il soutient qu'aucun document d'identification ne devrait contenir de puce émettrice de radiofréquence. «Mon rêve est de voir le projet Western Hemisphere Travel Initiative [le projet à l'origine de la carte] abandonné.»
Jusqu'à maintenant, près d'un million de cartes passeport ont été émises. Paget soutient que ses recherches sont tout à fait légales, étant donné qu'il n'a pas dupliqué les cartes, ni utilisé les informations.
Rappelons que le Québec proposera bientôt le permis de conduire Plus, initialement prévu pour décembre 2008, qui contient une puce RFID, et qui peut servir de document de voyage.
(source: ARS Technica)
par Gabriel Rodrigue
c ici le début de la fin
Le piratage ne peut aller bien loin. Il est connu que les informations contenu sur la puce d'un passeport peuvent être récupéré et dupliqué. Néanmoins cela ne pose pas un gros problème de sécurité. En effet, même si le pirate est capable de dupliquer un passeport il ne pourra pas s'en servir. En effet, le passeport ne sera qu'une copie. Il sera donc au nom de la personne propriétaire du passeport piraté et contiendra la photographie et les empreintes de cette personne. On peut ainsi dire qu'il aura créer un passeport valide. Pour utiliser cette copie le pirate devra donc à la fois se maquiller pour ressembler à la personne piratée et dans le même temps réussir à changer ses empreintes digitales. Ce qui reviendrait au même que d'utiliser un passeport volé sans le risque de se faire agresser dans la rue pour se faire voler notre passeport. Je sais bien qu'en cas de vol et après avoir porté plainte le passeport ne peut plus servir, ce qui n'est pas le cas du passeport dupliqué qui peut servir tant qu'on ne se rend pas compte de la fraude. Mais de toute façon le passeport a été validé en connaissant cette éventualité. Il n'y a donc pas à proprement parlé de découverte majeur.
Le piratage ne peut aller bien loin. Il est connu que les informations contenu sur la puce d'un passeport peuvent être récupéré et dupliqué. Néanmoins cela ne pose pas un gros problème de sécurité. En effet, même si le pirate est capable de dupliquer un passeport il ne pourra pas s'en servir. En effet, le passeport ne sera qu'une copie. Il sera donc au nom de la personne propriétaire du passeport piraté et contiendra la photographie et les empreintes de cette personne. On peut ainsi dire qu'il aura créer un passeport valide. Pour utiliser cette copie le pirate devra donc à la fois se maquiller pour ressembler à la personne piratée et dans le même temps réussir à changer ses empreintes digitales. Ce qui reviendrait au même que d'utiliser un passeport volé sans le risque de se faire agresser dans la rue pour se faire voler notre passeport. Je sais bien qu'en cas de vol et après avoir porté plainte le passeport ne peut plus servir, ce qui n'est pas le cas du passeport dupliqué qui peut servir tant qu'on ne se rend pas compte de la fraude. Mais de toute façon le passeport a été validé en connaissant cette éventualité. Il n'y a donc pas à proprement parlé de découverte majeur.
Alex, tu fait fausse route, on peut le copier et modifier les données qui seras egale a la derniere bit (check sum)
donc tu peut même mettre la photo de youpi si tu le désir et pour porté plainte il faut d'abord savoir que notre passport a été sniffer !!!!
@Jo blabla
cest ca blablabla
un bit c'est 1 ou bien 0 je ne crois pas que le checksum des passports soi sur un bit
Joe bla bla> Cela serait étonnant qu'il n'y ai pas de signature numérique.
Je serais curieux de savoir quelle techno d'empreinte numérique ils ont choisi ! Etant donné que MD5 et SHA1 sont compromises (et bien !) mais pourtant toujours autant utilisées.
Quant au checksum, sa force peut aller du ridicule au passable, alors là aussi je suis curieux : un checksum n'est pas fait pour de la sécurité (intégrité + confidentialité), juste pour du contrôle d'integrité.
Pour faire simple : je ne serais pas étonné que ce système de passeport soit un vrai gruyère, maintenant ou l'année prochaine.
