Les RFID : attention, danger !
Le FIDIS (Futur de l'Identité dans la Société de l'Information), groupe d'intérêt supporté par l'Union Européenne, vient de publier un manifeste intitulé « Déclaration de Budapest » dénonçant les nombreuses inepties du « passeport biométrique à RFID ». Les documents à lecture distante, estime le comité d'étude, sont aisément piratables, et peuvent faire l'objet d'une multitude d'attaques : man in the middle, vol de clef, système de contrôle d'accès « de base » vulnérable à une attaque en force brute, clonage aisé des RFID contenus dans les documents de voyage... Mais le plus grand risque, précise document, concerne la permanence du danger en cas de vulnérabilité exploitée. Le Comité fait clairement entendre qu'il est impossible, contrairement à un simple mot de passe, de changer de visage ou d'empreinte digitale en cas de vol de d'informations biométrique. Or, cette donnée d'identification, du fait de son caractère permanent, laisse craindre que les données contenues dans ces pièces d'identité puissent être exploitées des années après leur vol. Mais les passeports biométriques ont déjà été adoptés tant par les instances Européennes que par les Ministères de l'Intérieur des principaux pays de la Communauté. Cette myopie technologique des Administrations contraint les signataires de la déclaration de Budapest à n'émettre que des demi-mesures de protection. En conseillant notamment aux gouvernements d'interdire la lecture de ces passeports biométriques par des organismes civils -les hôteliers, par exemple- et d'informer les usagers des dangers que font courir l'emploi desdits documents. On imagine très mal les préfectures françaises vendre -car l'obtention d'un passeport « nouvelle formule » n'est pas gratuite- un document de voyage, en prévenant les citoyens que l'Administration n'est pas responsable des vols et escroqueries qui pourraient résulter de l'usage de ces pièces d'identité. A plus longue échéance, le Manifeste de Budapest invite les politiques à envisager le remplacement des RFID par d'autres solutions plus éprouvées -cartes à puce notamment-, à renforcer le niveau de protection des données biométriques, et à « reconsidérer » la conception toute entière des documents de voyage.
