Le scandale du passeport RFID
Ou plutôt : « le scandale du non-scandale du passeport RFID ». Le vrai scandale, c’est le silence médiatique assourdissant sur cet état de fait : après les USA, l’Europe impose à ses citoyens un e-passeport doté d’une puce RFID qui ne demande qu’à bavarder. Qui facilite le vol d’identité, qui donne un coup de pouce au banditisme, au terrorisme. Et tout cela au nom de la sécurité nationale.
Dès le départ, les experts avaient prévenu. Non, une puce RFID n’est pas un moyen de sécuriser un passeport mais bien plutôt de lui coller un gros problème de sécurité supplémentaire. En octobre 2004, le pape de la sécurité informatique Bruce Schneier dénonçait : « …les porteurs d’un [tel] passeport diffuseront en permanence leurs nom, nationalité, age, adresse et tout ce qu’il y a sur la puce RFID. » C’était le premier volet du scandale : les politiques décident contre l’avis des compétents.
Acte deux. Les preuves s’accumulent. En Allemagne, début 2006, le consultant en sécurité Lukas Grunwald, clone la puce de son propre passeport, avec du matériel du commerce. Puis, Kevin Mahaffey, spécialiste du RFID de Los Angeles, montre que le passeport de l’administration Bush permet d’envisager une mine qui se déclencherait au passage d’un citoyen des États-unis. Sa démo fait un tabac sur YouTube. Enfin, un article du Guardian annonce que des spécialistes savent lire le contenu d’un e-passeport. À distance.
Mais nous avons atteint un troisième stade : le scandale est désormais officiel mais chut, n’en parlons pas. Et ne faisons rien. Aux États-Unis, des gurus de la sécurité informatique appointés par un sous-comité ad hoc du Department of Homeland Security, expliquaient, en mai, dans un rapport (« L’usage de la RFID pour l’identification humaine ») que la RFID « …augmente les risques pour la sphère privée et la sécurité personnelle, sans bénéfice proportionné pour l’efficacité ou la sécurité nationale. » Réaction : néant.
Ce n’est pas tout. « En omettant de mettre en place un concept et un système de sécurité appropriés, les gouvernements européens obligent leurs citoyens à adopter des pièces d’identité […] qui diminuent leur sécurité et la protection de leur sphère privée tout en accroissant les risques liés aux vols d’identité. » Quel groupuscule gauchiste parle ainsi ? Un comité d’experts auprès de l’UE, le Fidis (Futur de l’identité dans la société de l’information), qui a voté à l’unanimité et publié en novembre dernier la Déclaration de Budapest. C’est donc la crème de la crème de nos experts européens officiels en sécurité informatique qui interpelle nos gouvernements et leur dit : « vous avez déconné à plein tube ». Où sont les réactions ? Où sont les gros titres ?
Autopromo. On trouvera des précisions dans un article sur la technologie RFID que je signe dans le dernier numéro spécial de La Recherche, sur les Sciences à risque (Les Dossiers de La Recherche, N° 26, p. 64).
Pierre Vandeginste
48 Comments
View Printer Friendly Version
Email Article to Friend
Reader Comments (48)
Tu as raison. On en parlera quand la "cata" sera là. Difficile de prédire à quoi elle pourrait ressembler tant l'éventail des possibles est vaste.
Merci pour ton rappel. Roland.
Des cours de techno pour les politiques, une idée à creuser… Obligatoires ?
Le pire, c'est qu'ils doivent souvent être persuadés qu'ils sont dans le coup, qu'ils décident en connaissance de cause. Il suffit qu'un copain de promo, qui vend telle ou telle techno, leur fasse le topo (à peine orienté), le temps d'une bonne bouffe. Et hop, c'est vendu.
Les politiques eux-mêmes manquent de curiosité scientifique. De leur propre aveu, ils ne savent pas s'entourer de conseillers compétents alors même qu'ils reconnaissent que la recherche médicale, la technologie et les sciences naturelles sont les domaines scientifiques qui influent le plus sur l'évolution de la société:
http://www.euractiv.com/fr/science/hommes-politiques-tiennent-resultats-scientifiques/article-160989
Mais je crois qu'on doit poser le problème encore plus à la base : aujourd'hui, le citoyen doit acquérir une culture scientifique minimale pour être un acteur politique. A fortiori, l'élu…
Comme tu le dis, il nous faut, nous, être plus pointu pour éviter de telles conneries…
J'ai reçu le supplément de la recherche mais pas eu le temps de le lire…
A bientôt autour d'une table :-)
On pourrait imaginer que les programmes scolaires incluent explicitement, un peu comme un rab d'éducation civique, les bases scientifiques sans lesquelles un citoyen ne peut pas correctement prendre position dans les débats de société actuels : énergie, pollution, sécurité, génétique, épidémiologie…
La liste est de plus en plus longue.
Ce qui me renforce dans mon idée que dans un pays comme la France de 2007, l'école doit d'abord et avant tout former des citoyens. La question des "métiers" est pour moi secondaire, voire extérieure à l'école. Mais c'est un autre débat.
Issy-les-Moulinettes, le bled qui a toujours une techno d'avance, se met au vote électronique. Au moment où il est sévèrement remis en cause aux USA. Bravo ! Encore un exemple qui nous montre que la technologie sert souvent aux politiciens de "signe extérieur de branchitude". Ils n'en ont rien à foutre que le vote électronique réponde à un réel besoin. Il répond à leur besoin de parader et de faire "moderne" aux yeux de ceux qu'impressionne tout ce qui brille.
Salut !
Un passeport à puce à Madagascar ! On ne se refuse rien ;-)
Il semble évident que c'est exactement ce qui manquait le plus aux Malgaches.
Même si c'est évidemment un peu plus compliqué, bien sûr que les pressions des lobbies est une donnée majeure. Alors qu'en France, traditionnellement, le lobby est un tryuc affreux que l'on cache, à Bruxelles ils ont pignon sur rue, ils sont chez eux plus que toi ou moi.
Mais je crois que dans ce cas précis, leur baratin est aussi entré dans la tête des décideurs (et de presque tout le monde) d'une façon particulière. Effectuons un sondage : presque tout le monde croit que RFID=sécurité. Il y a un véritable effet d'intoxication collective, sur ce coup là. Le système médiatique au sens large non seulement vulgarise très mal la technologie, mais encore fabrique souvent des images mentales fausses. Là il a fait fort. Il ne le fait pas forcément méchamment, souvent aussi par flemme.
Et puis il y a aussi une chronologie complice : le RFID a d'abord servi pour le paiement (autoroute) et l'accès (voiture, parking, garage…). Ce qui a aidé à faire croire que le RFID était "bon" pour la sécurité. Ce qui est totalement faux. Le RFID est avant tout "pratique" (on ne descend pas de voiture), dans ce cas.
Disons plus simplement que c'est le "marché" qui, de plus en plus, explique aux politiques ce qui est bon pour le pays, pour le peuple.
Mais savez vous que tout le monde y compris le SDF à la technologie qu'il faut pour se protéger efficacement de ces dérivent?
Il suffit de faire appel au principe de la cage de Faradey, en emballant simplement votre passport dans de l'aluminium ménagé.
Cela marche avec n'importe quel matériaux conducteur magnétique.
De cette manière vous empèchez les courants électromagnétique d'ateindre la puce RFID et ainsi de l'alimenter, elle ne peux donc plus parlé et si elle tente de le faire ces ondes électromagnétiques sont bloqués également.
Donc vous êtes tranquille, plus personne ne peut vous voler votre identité RFID sans prendre votre titre d'identité et le sortir de son blindage.
Il me semble que vermeille t'a répondu pour l'essentiel. Quelques précisions. Le passeport US comporte sa propre "cage de Faraday" incorporée : une sorte de grille métallisée dans la couverture du passeport. Donc, en théorie, il ne peut pas parler quand il est fermé. Sauf que Kevin Mahaffey a montré (voir mon billet, cliquer pour voir la vidéo) qu'il suffit qu'il s'ouvre d'un centimètre (ce qui peut arriver à tout moment dans une poche, un sac à main) pour être à nouveau accessible.
Cage de Faraday, encore : on voit arriver effectivement un marché du "porte passeport" étanche aux ondes électromagnétqiues.
MAIS. Comme le dit vermeille, un passeport, on doit l'ouvrir de temps à autre. Chaque jour, des millions de touristes dans le monde présentent leur passeport à des employés dans des milliers d'hôtels, d'agences diverses, de boites de location. Sans parler de ces boutiques qui n'acceptent une carte de crédit que si on leur montre un passeport avec. Tous ces endroits deviennent des lieux potentiels de vol massif d'identités numériques. Il suffit d'être là, à dix mètres, avec l'électronique ad hoc.
Le passeport britannique est déjà lisible à distance, moins d'un an après sa sortie. Alors dans dix ans…
Tu mets le doigt sur une question importante : notre gouvernement n'est pas supposé nous délivrer, en plus à un prix exorbitant un truc qui met en danger notre vie privée et la sécurité du pays. Or c'est ce qu'il fait. La Déclaration de Budapest le dit clairement. Du coup, elle demande aux gouvernement de sortir fissa un nouveau passeport non-désécurisé et propose des mesures provisoires pour les pauvres gens qui ont déjà un passeport RFID. Entre autres :
"Les citoyens doivent être informés des risques inhérents à la possession des nouveaux DVLA et des mesures de sécurité qu’ils peuvent prendre, par exemple éviter de remettre les documents à des privés (des hôtels par exemple)."