Sécurité du passeport RFID

Date : 07 Mai 2007

Les premiers passeports RFID (passeports électroniques) ont été diffusés en France il y a un an (le 13 avril 2006), mais cette technique soulève de nombreuses polémiques, d'une part du fait des possibilités d'atteinte à la vie personnelle, et d'autre par la fiabilité (sécurité) de la solution technique. Nous présentons donc un point technique sur ce sujet.

Nota : les principes de la RFID (indépendamment de son application aux passeports) ont déjà été présentés dans un article précédent du Cert-IST.

Principes du passeport RFID

Le passeport RFID est identique au passeport conventionnel, mais il contient en plus, inséré à l'intérieur d'une de ses pages, une puce RFID. On reconnaît un passeport RFID parce qu'un logo graphique spécifique est présent sur la page de couverture (cf. [1]).

Dans sa version actuelle cette puce RFID contient les informations générales sur l'identité du porteur (nom, prénom, etc…), ainsi qu'une photo d'identité numérisée (image JPEG). Il est prévu qu'en 2009 il soit ajouté aussi une copie numérique des empreintes digitales du porteur. Le fonctionnement de cette puce (ainsi que celui de tous les passeports émis par les différents pays du monde) est compatible avec les spécifications définies par l'Organisation de l'Aviation Civile Internationale (OACI). Ces spécifications (cf. [2]) prévoient que la puce puisse également stocker une empreinte de l'iris de l'œil.

Dans sa version actuelle, la photo est donc la seule donnée "biométrique" incluse dans le passeport. Le Ministère de l'Intérieur utilise d'ailleurs pour désigner cette première génération de passeports RFID le terme de "passeport électronique" (plutôt que "biométrique").

De notre point de vue, cette première génération ne change pas vraiment les aspects suivants :

Le risque de "traçage" des voyageurs. Le passeport électronique semble faciliter l'enregistrement systématique de tous les voyageurs (puisque le passeport est informatisé), et donc son "suivi". Mais en fait, ce risque existe déjà avec le passeport traditionnel, car celui-ci est équipé depuis plusieurs années d'une zone "lisible par une machine" : la MRZ ("Machine Readable Zone"). La MRZ est une zone présente en bas de la page "identité" du passeport, qui est lisible lorsque l'on passe le passeport dans un lecteur optique, et qui permet de transmettre à un ordinateur les informations d'identité du porteur.
L'efficacité des contrôles. Tant que les postes de contrôle ne sont pas équipés de systèmes de reconnaissance faciale (qui permettrait de vérifier que la photo stockée dans le passeport correspond bien à la personne contrôlée), le passeport RFID n'aide pas à vérifier l'identité du porteur.

Principaux mécanismes de protection

Tout d'abord le passeport électronique est difficile à falsifier car les informations stockées sur la puce RFID sont signées numériquement. Chaque pays émetteur dispose d'une Autorité de Certification racine (AC). Il est donc possible de vérifier que la signature du passeport est valide et a été apposée par une entité approuvée par l'autorité du pays émetteur.

Les données stockées sur la puce RFID sont protégées par un mécanisme de sécurité appelé le BAC ("Basic Access Control"). Le principe du BAC est que la puce RFID n'accepte de transmettre les données qu'elle contient qu'à un lecteur RFID qui est capable de lui donner une clé secrète. Cette clé est calculée par le lecteur RFID au moyen des informations lues sur le passeport via la "MRZ". Pour lire le contenu de la puce RFID, il faut donc tout d'abord ouvrir le passeport et placer la MRZ devant un lecteur optique. Cette procédure "garantie", en principe, que le contenu de la puce ne peut pas être lu à l'insu du propriétaire du passeport.

Nota : il a été proposé en août 2006 un mécanisme de protection renforcé (EAC : "Extended Access Control") qui remplace la BAC pour protéger les données biométriques les plus sensibles (empreintes digitales par exemple). Ce mécanisme EAC n'est cependant pas inclus aux spécifications de l'ICAO et n'a pas été adopté par tous les pays du monde. Son usage ne pourra donc pas être généralisé.

Problèmes identifiés

Un passeport RFID peut être détecté à distance.

S'il n'est pas possible de lire le contenu de la puce RFID sans avoir accès aux informations de la MRZ, il est par contre toujours possible de détecter à distance si quelqu'un porte sur lui un passeport RFID. Il est probablement aussi possible de reconnaître le type de passeport (la nationalité du porteur) en fonction du type de puce RFID et de sa façon de répondre aux sollicitations. Théoriquement, la puce RFID d'un passeport n'est interrogeable qu'à une dizaine de centimètres. Cependant, en amplifiant le lecteur, certaine sources indiquent que cette distance pourrait être portée à plusieurs mètres. Ainsi, il pourrait être possible de réaliser des attentats où une bombe se déclencherait à l'approche d'une victime portant un passeport d'une nationalité donnée.

L'algorithme BAC peut être cassé par "force brute"

La protection BAC est connue pour être insuffisamment robuste. Il peut donc être possible de lire illégalement le contenu de la puce RFID sans avoir lu les données MRZ. En particulier, si l'on devine certaines des données MRZ (par exemple le nom du porteur, sa date de naissance, etc…), il devient possible de réaliser des attaques par "force brute" en essayant toutes les valeurs possibles de la MRZ. Cette attaque a été largement commentée en mars 2007 suite à un article sur ce sujet dans le journal anglais "The Daily Mail" (cf. [4]). La dangerosité de ce type d'attaque doit cependant être relativisée puisqu'il a fallu plusieurs heures aux attaquants pour réaliser l'attaque par force brute.

Un passeport peut être cloné

Plusieurs sources ont indiqué qu'elles pouvaient facilement cloner la puce RFID d'un passeport. Le principe du clonage est simple. Il suffit "d'emprunter" le passeport, de lire le contenu de la puce RFID après avoir pris connaissance du MRZ, puis d'inscrire les données lues sur une seconde puce RFID (le clone). Il n'est cependant pas possible de modifier les données qui seront inscrites sur le clone, car la signature électronique de la puce deviendrait alors invalide.

Cette possibilité de cloner la puce n'a jamais été formellement démentie. Il est cependant étonnant que cette attaque soit possible. En effet, il suffirait que la puce RFID porte un numéro de série, et que ce numéro soit inclus dans les données scellées au moyen de la signature électronique, pour que l'attaque ne soit plus possible (la puce clone ayant un numéro de série différent de la puce d'origine).

Recommandation

Le passeport électronique suscite de nombreuses inquiétudes et a été dénoncé comme dangereux par plusieurs organismes (comme par exemple le FIDIS, au travers de la "Déclaration de Budapest" – cf. [3]).

Afin de limiter la possibilité d'une lecture à distance du passeport, certains états ont inséré dans une des pages de la couverture du passeport une trame métallique qui empêche la lecture si le passeport n'est pas ouvert (la trame métallique fait écran et empêche la lecture). C'est le cas du passeport américain, mais cette protection n'est pas généralisée (par exemple le passeport anglais ne bénéficie pas de cette protection). Afin de généraliser cette protection, il est recommandé d'insérer son passeport RFID dans une enveloppe de protection spécifique (enveloppe contenant des tramages métalliques).

Pour plus d'information :

[1] - Logo des passeports RFID (article Wikipedia) : http://en.wikipedia.org/wiki/Biometric_passport
[2] - Spécifications de OACI pour le passeport électronique : www.icao.int/mrtd
[3] - Rapport du FIDIS sur les passeports électroniques et Déclaration de Budapest :

[4] - Article de "The Daily Mail" sur le cassage des passeports électronique : http://www.dailymail.co.uk/pages/live/articles/news/news.html?in_article_id=440069&in_page_id=1770
[5] - Communiqué du Ministère de l'Intérieur à propos de l'article de "The Daily Mail" : http://www.interieur.gouv.fr/misill/sections/a_la_une/toute_l_actualite/ministere/securite-passeport/view