Il serait aujourd’hui possible pour des pirates de cloner les tags RFID intégrés aux passeports et aux permis de conduire américains.
Dans un document co-écrit avec des membres de l’Université de Washington et l’entrepise de sécurité internet RSA, l’équipe détaille comment les puces RFID peuvent être clonées sur des distances pouvant aller jusqu’à 50 mètres.
Ces chercheurs ont également découvert qu’une technique anti-clonage recommandée par le Department of Homeland Security, le département de sécurité intérieure, n’avait pas été utilisée dans la conception de ces tags.
Depuis le début de l’année, les Américains traversant la frontière par voie terrestre ou marine (mais pas aérienne) ont pu utiliser le passeport United States Passport Card (également appelée « PASS Card »), qui contient une puce RFID lisible.
Cette carte était censée sécuriser et accélérer le passage de la frontière. Toutefois, les chercheurs ont découvert que les tags RFID utilisés était des modèles Class One Generation Two, qui, bien que moins onéreux (environ 10 cents chacun), ne sont pas sécurisés.
« Les tags Generation Two sont essentiellement des codes barres sans fil, sans provision spécifique relative aux besoins en sécurité et en protection de la vie privée », déclarent les chercheurs. « Tout comme leurs équivalents optiques peuvent être phtocopiés, les tags Generation Two sont vulnérables aux attaques de clonage, durant lesquelles leurs donnés publiquement visibles sont scannées par un pirate, puis transférées sur un périphérique clone ».
De plus, les puces RFID incriminées n’utilisaient pas de codes d’identifiant de tag unique conformes aux recommandations du Département de la sécurité intérieure, mais des codes de fabricant génériques, rendant ainsi le clonage beaucoup plus facile.
« Les leçons que nous avons apprises sur le clonage et l’anti-clonage vont bien au-delà des permi de conduire et des passeports. Nous étudions également le déploiement EPC (Electronic Product Code), dans tous les contextes où les puces RFID présentent un risque de clonage ou de contrefaçon », peut-on lire dans le rapport.
« Par exemple, avec le soutien des organismes de régulation gouvernementaux, l’industrie pharmaceutique commence progressivement à adopter l’EPC pour le suivi et la lutte contre les contrefaçons, à la demande de la FDA (Food and Drug Administration) américaine », est-il stipulé. « Ce qui annonce la généralisation de l’utilisation des RFID comme outils de sécurité. La contrefaçon de produits de consommation est un risque encouru par toutes les industries ».
Adaptation d’un article Vnunet.com en date du 24 octobre 2008 et intitulé Researchers kack US RFID passports
Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…
Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…
Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…