- Date : 22 Septembre 2010

- Gravité : Moyenne

- Description : Les Allemands seraient-ils précurseurs ? Ou simplement trop pressés ?
En effectuant des recherches sur la carte d’identité électronique allemande, appelée couramment "eID" ; le CCC a découvert la triste réalité : la carte et son écosystème serait de façon inhérente insuffisamment sécurisée...

Celle-ci contient une puce RFID, permettant théoriquement une identification simplifiée. Le lancement officiel de cette nouvelle génération de carte étant attendue pour le mois de novembre.

Malheureusement, et comme cela avait été démontré dans le cadre d’une émission télévisée au cours du mois d’août, il est facile d’accéder au code PIN attribué au détenteur de la carte électronique en "sniffant" simplement les échanges entre la carte et le lecteur utilisé par le citoyen. En effet, le lecteur de cartes ne contient pas de clavier permettant à un utilisateur d’y entrer directement son code PIN, et le dialogue entre la carte, le lecteur et le système d’exploitation n’est pas suffisamment protégé...

Dans une seconde présentation à la télévision allemande qui se tenait hier soir, les membres du CCC ont proposé une nouvelle démonstration allant encore plus loin. À partir du code PIN dérobé, ils ont démontré la faisabilité de contrôler à distance une eID grâce à des logiciels disponibles librement et gratuitement sur Internet... La seule contrainte étant bien sûr que la carte d’identité soit insérée dans le lecteur. Il serait ainsi possible de s’authentifier à distance avec une carte ne vous appartenant pas, de réaliser des transactions au nom du détenteur de la carte, ou encore d’aller jusqu’à changer le code PIN à l’insu de son propriétaire.

D’après le CCC, le système possède de nombreuses vulnérabilités, et l’utilisation d’un clavier virtuel, ou encore d’un clavier lié physiquement au lecteur ne serait pas suffisant pour sécuriser complètement le système.

Le BSI, l’équivalent de l’ANSSI française (Agence nationale de la sécurité des systèmes d’information), a bien noté ces remarques, mais pense que le système est suffisamment sécurisé tel qu’il est actuellement. En effet, la signature de document n’est pas réalisable sans la connaissance d’un second PIN, ainsi que l’utilisation d’un lecteur comprenant un clavier pour y entrer les informations. L’organisme note aussi que les informations personnelles ne sont jamais accessibles aux pirates, puisqu’elles sont échangées de façon chiffrée. Il recommande enfin de ne jamais laisser la carte plus longtemps que nécessaire dans son lecteur. Pour finir, d’après le BSI, les failles décrites seraient liées à l’utilisation de lecteurs bas de gamme. Certains lecteurs plus évolués permettraient de se protéger contre ce type d’attaque... Par ailleurs, et toujours selon la BSI, cette solution serait, dans tous les cas, nettement plus sécurisée que l’ancienne qui était basée sur un couple identifiant/mot de passe...

- Référence :
http://www.h-online.com/security/news/item/CCC-reveals-security-problems-with-German-electronic-IDs-1094577.html

- Lien extranet XMCO Partners :
http://xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-1250