Il serait aujourd’hui possible pour des pirates de cloner les tags RFID intégrés aux passeports et aux permis de conduire américains.
Dans un document co-écrit avec des membres de l’Université de Washington et l’entreprise de sécurité internet RSA, l’équipe détaille comment les puces RFID peuvent être clonées sur des distances pouvant aller jusqu’à 50 mètres.
Ces chercheurs ont également découvert qu’une technique anti-clonage recommandée par le Department of Homeland Security, le département de sécurité intérieure, n’avait pas été utilisée dans la conception de ces tags.
Depuis le début de l’année, les Américains traversant la frontière par voie terrestre ou marine (mais pas aérienne) ont pu utiliser le passeport United States Passport Card (également appelée « PASS Card »), qui contient une puce RFID lisible.
Cette carte était censée sécuriser et accélérer le passage de la frontière. Toutefois, les chercheurs ont découvert que les tags RFID utilisés étaient des modèles Class One Generation Two, qui, bien que moins onéreux (environ 10 cents chacun), ne sont pas sécurisés.
« Les tags Generation Two sont essentiellement des codes barres sans fil, sans provision spécifique relative aux besoins en sécurité et en protection de la vie privée », déclarent les chercheurs. « Tout comme leurs équivalents optiques peuvent être phtocopiés, les tags Generation Two sont vulnérables aux attaques de clonage, durant lesquelles leurs donnés publiquement visibles sont scannées par un pirate, puis transférées sur un périphérique clone ».
De plus, les puces RFID incriminées n’utilisaient pas de codes d’identifiant de tag unique conformes aux recommandations du Département de la sécurité intérieure, mais des codes de fabricant génériques, rendant ainsi le clonage beaucoup plus facile.
« Les leçons que nous avons apprises sur le clonage et l’anti-clonage vont bien au-delà des permis de conduire et des passeports. Nous étudions également le déploiement EPC (Electronic Product Code), dans tous les contextes où les puces RFID présentent un risque de clonage ou de contrefaçon », peut-on lire dans le rapport.
« Par exemple, avec le soutien des organismes de régulation gouvernementaux, l’industrie pharmaceutique commence progressivement à adopter l’EPC pour le suivi et la lutte contre les contrefaçons, à la demande de la FDA (Food and Drug Administration) américaine,est-il stipulé. Ce qui annonce la généralisation de l’utilisation des RFID comme outils de sécurité. La contrefaçon de produits de consommation est un risque encouru par toutes les industries ».
Respectivement DG et CTO de Red Hat France, Rémy Mandon et David Szegedi évoquent le…
Canonical formalise un service de conception de conteneurs minimalistes et y associe des engagements de…
L'Autorité de la concurrence s'apprêterait à inculper NVIDIA pour des pratiques anticoncurrentielles sur le marché…
Le CERT-FR revient sur les failles dans équipements de sécurité présents notamment en bordure de…
Mistral AI formalise ses travaux communs avec l'entreprise finlandaise Silo AI, qui publie elle aussi…
La présidente de Numeum, Véronique Torner, revient sur la genèse de la tribune du collectif…