La puce RFID: qu`est-ce ? comment fonctionne-t

Passeport biométrique suisse
Aspects techniques et sécurité
JS, février 2009, V3.1
Projet soumis en votation: avec centralisation des données
Avec le nouveau passeport (« passeport 10 »), les données biométriques sont enregistrées dans une
puce RFID intégrée au document; il s'agit des données personnelles (nom, date de naissance, taille,
numéro du passeport, etc...), ainsi qu'une photo numérique et deux empreintes digitales (les deux
index) du propriétaire du passeport. L'authenticité de ces données est théoriquement garantie par
l'utilisation d'une signature électronique. En plus d'être stockées sur le passeport, ces données sont
également intégrées à une base de donnée centralisée, appelée système d'information relatif aux
documents d'identité (ISA).
La puce RFID permet la lecture à distance des informations, sans contact physique avec le
passeport. Alors que les autorités parlent d'une distance de lecture maximale de 20cm, un rapport du
Joint Information Systems Committee (JISC) publié par Matt Ward de l'université de Londres parle
d'une distance de 1.5m1. La société française DAG SYSTEMS propose une technologie RFID HF
(13.56MHz, la même fréquence que la puce RFID intégrée dans le passeport) permettant d'atteindre
une distance de 10m2
Afin que l'accès à ces données soit interdit aux personnes non autorisées (par ex, lecture en passant
à proximité d'un passeport), le passeport est doté d'une procédure de contrôle d'accès appelée Basic
Access Control (BAC)
1
2
http://www.rfidconsultation.eu/docs/ficheiros/TSW0602.pdf (pages 10)
http://www.dag-system.fr/article-34-oem-long-range-reader-en.html
La BAC prévoit que la lecture de la puce RFID n'est possible qu'après lecture d'une zone optique,
située à l'intérieur du passeport, la Machine Readable Zone, (MRZ). Théoriquement, il serait
impossible d'accéder au contenu de la puce RFID sans avoir au préalable effectué une lecture
« visuelle ». Une fois cette zone lue, une clé est calculée à partir de la date de naissance, de la date
d'échéance et du n° de passeport, qui permet la lecture de la puce RFID.
Or cette procédure, pourtant présentée comme ultra-sécurisée, ne l'est pas. En 2006, l'expert en
informatique Adam Laurie a « craqué » le nouveau passeport biométrique anglais3, lequel utilise la
même technologie que le nouveau passeport suisse. Le point faible du dispositif réside dans le fait
que la clé « secrète » est calculée à partir d'informations non-secrètes, disponibles sur la zone MRZ
du passeport. Selon lui, cela revient à installer une porte blindée à sa maison, et à laisser la clé sous
le paillasson. Il a ainsi pu avoir accès au contenu de la puce RFID (données biométriques, image
numérisée), et a pu ainsi « cloner » ces données sur une puce vierge, ouvrant la voie à la fabrication
d'un faux passeport. L'accès à la MRZ est possible par exemple à chaque fois qu'un passeport est
photocopié (réception d'hôtel, location de voiture, etc...). Certes, il n'est pas (encore ?) possible de
modifier les données ainsi copiées et donc, par exemple, de remplacer une image par une autre;
mais rien ne garantit que cette protection ne sautera pas également un jour.
Dès lors qu'on a pu avoir accès la MRZ du passeport, la possibilité d'un « vol d'identité » peut être
envisagée. Imaginons qu'un terroriste ayant pu copier le contenu de la puce RFID de votre passeport
souhaite se faire passer pour vous: il suffit d'une vague ressemblance physique, et la personne
pourrait se présenter avec un faux passeport, contenant votre identité « clonée ». Comme votre
passeport n'a pas été volé (vous l'avez encore), mais uniquement « cloné » à distance, vous n'avez
pas annoncé le problème aux autorités, qui n'ont donc aucun moyen de savoir qu'il y a eu « vol
d'identité ». Dès lors, le terroriste peut voyager avec votre identité. Insistons sur une différence entre
passeport « traditionnel » et passeport électronique: a la différence du passeport traditionnel qui
peut être photocopié avec une perte de qualité (la photocopie n'est pas parfaitement identique et ne
peut être présentée comme une preuve, la photocopie de la photo a une qualité trop faible pour être
réutilisable), le passeport électronique peut être copié sans aucune perte de qualité. Les photos
obtenues peuvent être incluses dans des document comme étant des photos de très bonne qualité.
On peut faire des copies des copies de la copie sans aucune limite ni contrôle de la personne
concernée. Une autre différence est la dépendance dans la technologie. Avec le passeport
traditionnel, on peut toujours faire un contrôle d'identité quasiment sans perte de qualité du service
(blackout, panne informatique, etc)) si les systèmes ne fonctionnent plus. Avec le nouveau
passeport, les infrastructures pour le contrôle visuels seront inévitablement réduites (s'il faut 1
minute en moyenne pour vérifier un passeport traditionnel et qu'il y a 10 guichets et si maintenant
cela ne prend plus que 30" avec le passeport électronique, pourquoi maintenir les 10 guichets?) et
les contrôles deviendront inadaptés aux situations de pannes.
A l'EPFL, l'équipe du Prof. Vaudenay, à partir des travaux de Adam Laurie, a démontré que même
sans avoir accès à la MRZ, il ne fallait que quatre heures en présence d'un passeport biométrique
suisse pour avoir accès au contenu de la puce RFID4 (méthode dite en « brute-force », par une série
d'essais-erreurs, jusqu'à la bonne clé).
Enfin, le passeport biométrique présente un risque supplémentaire par rapport au passeport
traditionnel: il est présenté et perçu comme nettement plus sécurisé que ce dernier. Dès lors, il y a
de fortes chances pour qu'il soit accepté sans question lors des embarquements, le personnel faisant
trop fortement confiance en la technologie et négligeant le contrôle visuel de la personne, pourtant
seul à même de déceler par exemple une différence trop grande entre un visage et une photogaphie.
Pour ce qui concerne les empreintes digitales, une procédure théoriquement plus sécurisée est mise
3
4
http://www.guardian.co.uk/technology/2006/nov/17/news.homeaffairs
Emission « Temps présent » de la TSR, 9 octobre 2008
en place. Nommée « Extended Access Control (EAC) », elle introduit l'usage de certificats.
Pour qu'un appareil de lecture puisse accéder aux empreintes digitales, il faut qu'il dispose d'un
certificat électronique délivré par la Suisse. Le passeport contrôle ce certificat et ne transmet les
données sécurisées qu'il contient si et uniquement si le certificat est valable. Les certificats des
appareils de lecture ont une durée de validité très restreinte (seulement quelques jours) et il faut
régulièrement les renouveler au moyen de l’infrastructure à clé publique (Public Key
Infrastructure). Contrairement à la technologie BAC, l'EAC ne permet pas de clonage de la puce.
Bien que plus sécurisée que la BAC, l'EAC n'est pas sans problèmes: à l'EPFL, l'équipe du Prof.
Vaudenay a pu démontrer qu'il y avait une fuite d'information: si l'on n'est pas autorise a passer le
EAC et que l'on a des indices sur une partie des données protégées, on peut reconstituer les parties
manquantes (sous réserve que l'incertitude sur cette partie ne soit pas trop élevée). Il est possible
que l'on découvre d'autres vulnérabilités dans le futur.
Pour illustrer les enjeux autour des empreintes digitales, le Chaos Computer Club allemand a publié
les empreintes digitales de nombreux politiciens, dont le ministre de l'intérieur Wolfgang Schäuble.
Les empreintes ont pu être récupérées sur un verre utilisé lors d'une conférence donnée par ce
dernier.
Une fois en possession d'une empreinte de quelqu'un, il est extrêmement facile de créer un moulage
permettant de tromper les détecteurs automatiques et ainsi de « voler » une identité. Des « marches
à suivre » permettant de modifier ses propres empreintes digitales et de les remplacer par celles
d'autrui, à l'aide d'articles facilement disponibles dans le commerce (colle, appareil photo
numérique, imprimante), sont disponibles publiquement sur la toile5. Dans un article paru dans
« Uniscope » (journal de l'Université de Lausanne) no. 536, l'experte de la police scientifique
Marcela Espinoza relève que réaliser un moulage d'une empreinte digitale à l'aide de gélatine est
possible: « il suffit ensuite de coller cette fine couche de gélatine sous l'index, par dessus ses
propres empreintes. Tous les capteurs que nous avons testés, même ceux munis d'un dispositif
antifraude, se font piéger ». En Allemagne, les révélations du chaos computer club sur cette
possibilité de « vol d'identité » ont aboutit à ce que la prise des empreintes digitale soit rendue
facultative lors de l'établissement d'un passeport.
Notons enfin un dernier élément très important: nos empreintes digitales nous accompagneront
5
http://www.ccc.de/biometrie/fingerabdruck_kopieren?language=de, ainsi qu'une vidéo sur
http://www.youtube.com/watch?v=y_rNWFCcVqM
jusqu'à notre mort, et il n'est pas possible d'en changer. Dès lors, si nous nous faisons « voler »
celles-ci, il s'agit d'un vol « définitif », et il sera dès lors extrêmement compliqué, voire impossible,
d'empêcher leur utilisation future par autrui.
Avec ou sans base de donnée centrale ? Question de l'architecture du système
L'Union européenne n'impose pas le stockage des données biométriques dans une base de donnée
centrale: il s'agit d'un choix du Conseil fédéral, qui est allé plus loin que les exigences de l'UE.
L'utilisation de la biométrie dans le passeport remplit deux fonctions distinctes, que voici
présentées:
a) La biométrie pour authentifier (n'est PAS le modèle soumis en votation)
Traditionnellement, un titre d'identité associe une photographie et un nom. Il permet au porteur du
titre de prouver son identité. On parle alors d'« authentification », c'est-à-dire d'une recherche dite
« un contre un ».
Avec un titre classique ou un titre électronique sans biométrie, il existe deux niveaux de
vérifications : examen visuel et contrôle des sécurités du titre puis, si nécessaire, consultation du
fichier de gestion de la carte nationale d'identité pour s'assurer que ce titre a bien été délivré par les
autorités habilitées.
Trois solutions intégrant la biométrie permettent d'améliorer la qualité de l'authentification.
Une carte à puce biométrique sans fichier central
Les données biométriques ne figurent que sur la puce. Cela permet un troisième niveau de sécurité
en authentifiant le porteur par comparaison avec les données biométriques contenues dans la puce.
Si seule la photographie est dans la puce, le gain en sécurité est assez faible par rapport à ce que
permet un titre classique ou un titre électronique sans biométrie sur lequel figure déjà la
photographie. Si les empreintes digitales ou une autre donnée biométrique performante figurent sur
la puce, le gain en sécurité est meilleur. A la différence de la photographie, le « look like » c'est-àdire l'utilisation de la carte d'un tiers, complice ou non, ressemblant physiquement à la personne
usurpant l'identité, devient plus difficile. Toutefois, cette utilisation de la biométrie ne permet pas
d'assurer l'unicité de l'identité lors de la délivrance du titre.
Une carte à puce biométrique avec un fichier central unidirectionnel dans le sens identité vers
biométrie
Avec ce modèle, il est possible, à partir de l'identité d'une personne, de retrouver ses données
biométriques. Toutefois, l'inverse n'est pas possible. Ainsi, la connaissance de l'identité d'une
personne permet d'accéder à sa donnée biométrique et de procéder, si nécessaire, à son
authentification.
Par rapport au modèle précédent sans fichier, ce modèle présente un triple avantage :
- si la carte à puce est muette (titre imité ou altéré), on peut vérifier l'identité du porteur en
sélectionnant son identité dans la base, puis en comparant ses données biométriques avec celles
contenues dans la base biométrique correspondant à l'identité affichée ;
- le renouvellement d'une carte est simplifié et sécurisé. On sélectionne par l'identité pour obtenir
une caractéristique biométrique que l'on compare à celle du porteur ;
- l'unicité de l'identité est assurée à l'occasion de la délivrance du titre. En effet, si l'individu a un
titre sous une autre identité, ses données biométriques auront déjà été enregistrées dans la base de
données et le système s'en apercevra. Certes, il n'est pas possible de savoir quelle est cette autre
identité. Mais, cela suffit à détecter une tentative d'usurpation d'identité.
Une carte à puce biométrique avec un fichier central dit à « liens faibles »
Dans la situation précédente, les liens entre les deux bases étaient construits de telle sorte qu'à
chaque enregistrement d'identité ne correspondait qu'une seule donnée biométrique. Le nombre de
liens est équivalent au nombre de personnes que l'on souhaite gérer. Par exemple, si le système gère
dix millions de personnes, il faut dix millions de liens de valeurs différentes, composés de huit
chiffres, entre la biométrie et l'identité.
Supposons, maintenant que l'on réduise, pour cette même population, les valeurs de lien de huit
chiffres à deux chiffres en gardant par exemple les deux derniers chiffres. Il y a alors cent mille
entrées correspondant à chaque valeur de lien. Il n'est alors plus possible de connaître la donnée
biométrique d'une personne à partir de son identité; de même, l'identification d'une personne à partir
d'une donnée biométrique n'est pas possible.
Ce système permet d'assurer l'unicité de l'identité tout en garantissant l'anonymat. En effet, la
vérification biométrique est possible de la façon suivante : il faut sélectionner par l'identité et
obtenir une première valeur du lien, puis sélectionner par la biométrie pour obtenir une seconde
valeur du lien. Si les deux valeurs sont identiques, la probabilité que l'association identité-biométrie
soit correcte est de 99 %. Ce chiffre de 99 % est donné à titre d'exemple. La probabilité pourrait être
de 99,9 %, si les valeurs de lien comportaient trois chiffres au lieu de deux. Dans tous les cas, la
probabilité est suffisamment grande pour offrir une assurance quasi-complète sur l'unicité de
l'identité et pour dissuader les fraudeurs. En effet, un fraudeur qui tenterait d'usurper une identité
aurait une chance sur cent ou sur mille que ses données biométriques se soient vues attribuer la
même valeur de lien que celle attribuée aux données biométriques de la personne dont il tente
d'usurper l'identité.
b) la biométrie pour identifier (modèle soumis en votation)
Les modèles précédents rendent difficile l'utilisation des données pour d'autres fins que celles pour
lesquelles elles ont été collectées. Les exemples de modèle suivants ne présentent pas la même
garantie. Ils permettent d'identifier et non plus seulement d'authentifier. A la différence de
l'authentification qui consiste à comparer les données biométriques de la personne avec celles
contenues sur la puce ou dans la base et supposées être les siennes (recherche dite « un contre un »),
l'identification consiste à comparer des données biométriques anonymes avec celles contenues dans
la base afin de retrouver l'identité de la personne (recherche dite « un contre n »). Les systèmes
d'identification assurent l'unicité de l'identité comme les deux précédents systèmes
d'authentification. Mais ils permettent d'autres utilisations, étrangères à la simple gestion de la
délivrance d'un titre d'identité. C'est cette solution qui a été retenue par le Conseil fédéral: celui-ci
précise en effet que la base de donnée permettra, outre la vérification de l'identité lors des
déplacements. « l'identification des victimes de catastrophes naturelles (par ex. le tsunami en 2004),
d'accidents et d'actes de violence6 ». Un exemple de système de ce type est un système où le lien est
bidirectionnel entre la base des données d'identité et la base des données biométriques. On peut
retrouver l'identité à partir de la biométrie et inversement. Un système d'identification encore plus
abouti consiste en une seule base regroupant toutes les données sans lien crypté entre les différentes
données.
Cette fonctionnalité d'identification peut permettre :
- d'identifier un amnésique, un enfant fugueur ou retrouvé, des personnes désorientées (fous,
maladie d'Alzheimer), des cadavres, notamment en cas de catastrophe naturelle majeure ;
- d'identifier une personne ayant commis une infraction et refusant de donner son identité ;
- d'identifier une personne à partir de traces retrouvées sur une scène de crime
Précisions toutefois que le conseil fédéral affirme que « Les données enregistrées dans ISA ne
peuvent pas être utilisées à d'autres fins, comme par exemple des recherches ou d’enquêtes ». Il n'y
a néanmoins aucune garantie sur les utilisations futures des données récoltées.
6
http://www.schweizerpass.admin.ch/pass/fr/home/ausweise/pass_10/faq.0004.html#a_0004
Au niveau de la sécurité, précisions encore que la phase de délivrance du premier titre est une phase
« critique ». A ce stade, les données biométriques du requérant ne sont pas encore dans le fichier.
Il pourrait alors usurper l'identité d'une personne qui ne se serait pas vu délivrer, elle aussi, un
premier titre biométrique ou créer une identité fictive. Le fraudeur usurperait de la sorte l'identité de
la personne et substituerait ses données biométriques.