|
|
Passeports - Radio frequency identification-chip - Possibilité de copier illégalement les données - Mesures
passeport
données personnelles
protection des données
piratage informatique
États-Unis
| 13/2/2009 | Envoi question (Fin du délai de réponse: 19/3/2009) |
| 20/3/2009 | Réponse |
Aussi posée à : question écrite 4-2984
Aux États-Unis comme, notamment en Belgique, les passeports modernes sont pourvus d'une puce contenant les données personnelles du propriétaire. Cela doit permettre de dépister les falsifications. Il ressort des critiques que la technologie utilisée est toutefois peu sûre : les informations présentes sur la Radio frequency identification-chip (RFID) peuvent être lues à distance.
Selon The Register, le pirate Chris Paget circulait avec un lecteur de carte à puce de fabrication artisanale dans le centre-ville de San Francisco et réussissait, en vingt minutes, à copier le code unique de deux passeports à puce de passants sans que ceux-ci ne remarquent quoi que ce soit. Paget voulait ainsi démontrer aux partisans des passeports à puce qu'ils avaient tort. Ceux-ci prétendent souvent que l'utilisation de la puce ne présenterait aucun danger réel parce qu'il ne serait possible de copier que dans des circonstances bien contrôlées.
Étant donné ce qui précède, je voudrais obtenir une réponse aux questions suivantes :
1. Comment le ministre réagit-il au fait que les puces des documents d'identité soient clonées aux États-Unis sans que le propriétaire ne remarque quoi que ce soit?
2. Peut-il indiquer les inconvénients et les risques qu'entraîne le clonage?
3. Exclut-il que la puce présente dans les documents de voyage belges peut également être clonée de cette manière, donc sans que le propriétaire ne le remarque? Dans l'affirmative, peut-il l'expliquer? Dans la négative, pourquoi pas?
4. Quelles mesures peuvent-elles être prises pour combattre ce type de clonage?
5. Partage-t-il le point de vue selon lequel l'application de cette technologie ne sera finalement qu'une course entre les pirates et les pouvoirs publics? Dans l'affirmative, estime-t-il indiqué d'intégrer des informations biométriques dans cette puce? Dans la négative, pourquoi pas?
Je commence par rappeler que le passeport belge et ses composants électroniques sont en tous points conformes aux spécifications techniques de l’Union européenne:
Règlement (CE) 2252/2004 du Conseil du 13 décembre 2004
Décision de la Commission du 28 février 2005
Décision de la Commission du 28 juin 2006
Ces spécifications font elles-mêmes référence aux recommandations de l’Organisation de l’Aviation Civile Internationale (OACI) et aux normes ISO (notamment les normes 14443 et 7816) qui en découlent.
La manière dont les informations sont structurées dans la mémoire de la puce du passeport, le type de signal qu'elle doit recevoir et la réponse qu'elle doit formuler sont clairement définis par la norme ISO 7816. Cette norme garantit l'interopérabilité de tous les passeports électroniques dans le monde.
Il est difficile de faire mieux que de se conformer à ces normes.
Il est évident que la puce sans contact de type Radio Frequency IDentification (RFID) est par définition conçue pour émettre des informations vers un lecteur. Je crois cependant opportun de rappeler certains principes de base :
Les informations contenues dans la puce bénéficient de plusieurs niveaux de protection :
Le Basic Access Control qui impose la lecture optique de la zone lisible machine de la page 2 du passeport pour avoir accès aux données électroniques. En d’autres termes, le passeport doit être physiquement ouvert et posé sur le lecteur pour « communiquer » ses données.
L’Active Authentication qui protège contre le clonage.
Dans un futur proche, l’Extended Access Control sera mis en œuvre, à partir du moment où les empreintes digitales seront également stockées dans la puce.
Le principe du RFID appliqué aux passeports consiste non seulement à identifier mais aussi à authentifier. Les États disposent pour ce faire de la structure public key infrastructure (PKI) qui par le jeu d’un double système de clés (publique et privée) permet d’authentifier les données.
Il faut par ailleurs éviter de faire des amalgames entre les divers usages possibles de la technologie RFID. Les « passeports » auxquels le hacker Chris Paget s’est attaqué n’ont strictement rien à voir avec les passeports tels que décrits ci-dessus. Dans son cas, il s’agit de « US passport cards » délivrés et utilisés pour les voyages dans la zone USA-Canada-Mexique-Caraïbes-Bermudes dans le cadre du Western Hemisphere Travel Initiative (WHTI). Ces documents ne bénéficient pas des mêmes protections et font en outre usage d’une capacité d’émission bien supérieure car telle était précisément la finalité recherchée par les US Customs and Border Protection, à la différence de ce qui est le cas dans nos passeports. Je souligne également que l’équipement nécessaire pour la démonstration devait être embarqué à bord d’un véhicule et n’était donc pas particulièrement miniaturisé.
Les instances internationales précitées (OACI, ISO, Union européenne) sont attentives à l’évolution de la technologie. Les normes seront adaptées si le besoin s’en fait sentir et nos passeports suivront naturellement ces évolutions.