News

Faille en matière de protection de la vie privée dans les e-passeports

  • Faculté des Sciences, des Technologies et de Médecine (FSTM)
    Interdisciplinary Centre for Security, Reliability and Trust (SnT)
    Université / Administration centrale et Rectorat
    25 septembre 2019
  • Catégorie
    Recherche, Université

Conférence ESORICS 2019 : Des chercheurs de l’Université du Luxembourg ont découvert une faille dans la norme de sécurité appliquée dans les passeports électroniques dans le monde entier depuis 2004. Cette norme, ICAO 9303, permet aux lecteurs de passeports électroniques dans les aéroports de scanner la puce d’un passeport et d’identifier son titulaire.

La plupart des passeports utilisent aujourd’hui la norme ICAO 9303, qui est délivrée par l’Organisation de l’aviation civile internationale (OACI). Cette norme a été conçue pour protéger la vie privée du titulaire du passeport au plus haut niveau et garantir la dissociation. La dissociation assure qu’un attaquant ne peut pas distinguer si deux éléments sont étroitement liés

Le Dr Ross Horne, le Prof. Sjouke Mauw, le doctorant Zach Smith, et l’étudiant Ihor Filimonov ont testé cette norme. Ils ont découvert une faille qui permet d’accéder aux données des passeports grâce à de l’équipement spécifique non autorisé. « Avec un appareil spécifique, vous pouvez scanner des passeports à proximité immédiate et ré-identifier les titulaires de passeports précédemment examinés, en surveillant leurs déplacements », explique le Dr Horne. « Ainsi, un observateur non autorisé peut enregistrer les mouvements d’un titulaire de passeport. »

Limites et implications de la faille

Un appareil non autorisé qui scanne un passeport dans un rayon de plusieurs mètres permet d’identifier et de conserver la trace de ce passeport, bien qu’il ne puisse pas lire le passeport. Par conséquent, le titulaire du passeport peut être la cible d’attaques potentielles, même si la faille ne permet pas aux attaquants d’altérer les informations biométriques stockées dans la puce du passeport ou de lire les informations contenues dans ce passeport.

« Comme la plupart des passeports utilisent aujourd’hui la même norme, cette violation de la sécurité est globalement efficace », poursuit le Dr Horne. En Europe une telle infraction de la sécurité viole probablement les exigences du cadre de protection des données de l’UE. Les gouvernements ont la responsabilité de protéger la vie privée des personnes et devraient veiller à ce que les documents officiels soient à l’épreuve de telles attaques.

L’équipe de chercheurs de la Computer Science and Communications Research Unit a informé l’OACI en juin des résultats de leurs tests. Ils ont également proposé plusieurs approches pour rétablir la protection de la vie privée, suggérant que les fabricants de lecteurs de passeports électroniques devraient assurer la protection de la vie privée des titulaires de passeports.

Les résultats de l’étude « Breaking Unlinkability of the ICAO 9303 Standard for e-Passports Using Bisimilarity » ont été présentés le mardi 24 septembre lors de la conférence ESORICS 2019, la plus importante conférence européenne sur la sécurité des systèmes. La 24e édition d’ESORICS est organisée par l’Interdisciplinary Centre for Security, Reliability and Trust (SnT) de l’Université du Luxembourg, du 23 au 27 septembre.