« Des fenêtres vraiment ouvertes | Main | 20 ans d'écrans "multi-touch" »

Le scandale du passeport RFID

785186-665619-thumbnail.jpgOu plutôt : « le scandale du non-scandale du passeport RFID ». Le vrai scandale, c’est le silence médiatique assourdissant sur cet état de fait : après les USA, l’Europe impose à ses citoyens un e-passeport doté d’une puce RFID qui ne demande qu’à bavarder. Qui facilite le vol d’identité, qui donne un coup de pouce au banditisme, au terrorisme. Et tout cela au nom de la sécurité nationale.
Dès le départ, les experts avaient prévenu. Non, une puce RFID n’est pas un moyen de sécuriser un passeport mais bien plutôt de lui coller un gros problème de sécurité supplémentaire. En octobre 2004, le pape de la sécurité informatique Bruce Schneier dénonçait : « …les porteurs d’un [tel] passeport diffuseront en permanence leurs nom, nationalité, age, adresse et tout ce qu’il y a sur la puce RFID. » C’était le premier volet du scandale : les politiques décident contre l’avis des compétents.
Acte deux. Les preuves s’accumulent. En Allemagne, début 2006, le consultant en sécurité Lukas Grunwald, clone la puce de son propre passeport, avec du matériel du commerce. Puis, Kevin Mahaffey, spécialiste du RFID de Los Angeles, montre que le passeport de l’administration Bush permet d’envisager une mine qui se déclencherait au passage d’un citoyen des États-unis. Sa démo fait un tabac sur YouTube. Enfin, un article du Guardian annonce que des spécialistes savent lire le contenu d’un e-passeport. À distance.
Mais nous avons atteint un troisième stade : le scandale est désormais officiel mais chut, n’en parlons pas. Et ne faisons rien. Aux États-Unis, des gurus de la sécurité informatique appointés par un sous-comité ad hoc du Department of Homeland Security, expliquaient, en mai, dans un rapport (« L’usage de la RFID pour l’identification humaine ») que la RFID « …augmente les risques pour la sphère privée et la sécurité personnelle, sans bénéfice proportionné pour l’efficacité ou la sécurité nationale. » Réaction : néant.
Ce n’est pas tout. « En omettant de mettre en place un concept et un système de sécurité appropriés, les gouvernements européens obligent leurs citoyens à adopter des pièces d’identité […] qui diminuent leur sécurité et la protection de leur sphère privée tout en accroissant les risques liés aux vols d’identité. » Quel groupuscule gauchiste parle ainsi ? Un comité d’experts auprès de l’UE, le Fidis (Futur de l’identité dans la société de l’information), qui a voté à l’unanimité et publié en novembre dernier la Déclaration de Budapest. C’est donc la crème de la crème de nos experts européens officiels en sécurité informatique qui interpelle nos gouvernements et leur dit : « vous avez déconné à plein tube ». Où sont les réactions ? Où sont les gros titres ?
Autopromo. On trouvera des précisions dans un article sur la technologie RFID que je signe dans le dernier numéro spécial de La Recherche, sur les Sciences à risque (Les Dossiers de La Recherche, N° 26, p. 64).

Posted on mar. 6 févr. 2007 by Registered CommenterPierre Vandeginste in | Comments49 Comments

PrintView Printer Friendly Version

EmailEmail Article to Friend

Reader Comments (49)

Bien vu, Pierre! Un silence médiatique assourdissant, effectivement. Un sujet pourtant "explosif" et vachement télégénique... qui sortira peut-être au moment des grandes transhumances estivales. Ou lorsqu'un terroriste aura appliqué la recette de Flexilis exposée sur YouTube...
mar. 6/02/07 18:04 | Unregistered CommenterDavid L.
@David L.
Tu as raison. On en parlera quand la "cata" sera là. Difficile de prédire à quoi elle pourrait ressembler tant l'éventail des possibles est vaste.
mar. 6/02/07 18:57 | Registered CommenterPierre Vandeginste
Pierre, cela fait des mois -- sinon des années -- qu'avec l'EFF, BoingBoing ou Smart mobs et beaucoup d'autres -- que nous avons essayé de limiter les dégâts. Peine perdue. Peut-être aurait-il fallu donner des cours de technologie aux hommes (et plus rarement aux femmes) qui "régissent" nos vies.
Merci pour ton rappel. Roland.
mar. 6/02/07 20:45 | Unregistered CommenterRoland Piquepaille
@Roland
Des cours de techno pour les politiques, une idée à creuser… Obligatoires ?
Le pire, c'est qu'ils doivent souvent être persuadés qu'ils sont dans le coup, qu'ils décident en connaissance de cause. Il suffit qu'un copain de promo, qui vend telle ou telle techno, leur fasse le topo (à peine orienté), le temps d'une bonne bouffe. Et hop, c'est vendu.
mar. 6/02/07 21:08 | Registered CommenterPierre Vandeginste
J'ai bien peur que ce soit effectivement souvent comme ça que les choses se passent... Et plus prosaïquement, il manque cruellement de journalistes avec un background scientifique dans les rédactions des médias mainstream. Entre le silence complet et les propagandistes comme Jérôme Bonaldi (tabagisme passif, champs électromagnétiques: circulez, y a rien à voir), il ne reste guère de place pour autre chose.
Les politiques eux-mêmes manquent de curiosité scientifique. De leur propre aveu, ils ne savent pas s'entourer de conseillers compétents alors même qu'ils reconnaissent que la recherche médicale, la technologie et les sciences naturelles sont les domaines scientifiques qui influent le plus sur l'évolution de la société:
http://www.euractiv.com/fr/science/hommes-politiques-tiennent-resultats-scientifiques/article-160989
mar. 6/02/07 21:35 | Unregistered CommenterDavid L.
Et ça devient de plus en plus grave, car nous vivons dans une société où une proportion croissante de décision politiques dépendent de considérations scientifiques. Énergie, transports, agriculture, médecine, sécurité, armée (championne pour acheter des trucs de ouf, genre guerre des étoiles) et j'en passe… Et les gens qui votent là-dessus, que savent-ils au juste ?
Mais je crois qu'on doit poser le problème encore plus à la base : aujourd'hui, le citoyen doit acquérir une culture scientifique minimale pour être un acteur politique. A fortiori, l'élu…
mar. 6/02/07 23:27 | Registered CommenterPierre Vandeginste
"aujourd'hui, le citoyen doit acquérir une culture scientifique minimale pour être un acteur politique" : 100% d'accord avec toi. C'est vraiment le fond du problème. Mais c'est aussi l'histoire de la poule et de l'oeuf: ce sont les politiques qui votent les réformes des programmes scolaires... programmes qui formeront ensuite la prochaine génération de politiques. On n'est pas sortis de l'auberge ;-)
mar. 6/02/07 23:42 | Unregistered CommenterDavid L.
Dans le même esprit, le vote électronique progresse inexorablement, poussé par nos politiques, alors que les experts en informatiques tentent de les avertirs... à quand un vote électronique sous contrôle du passeport RFID ? On s'en réjouit d'avance.
mer. 7/02/07 17:40 | Unregistered Commenternojhan
Excellent article :) ce que vous dites là est très bonne à savoir, on viens tout juste de nous mettre au passeport biométrique justement à Mada :) merci pour l'info !
mer. 7/02/07 18:07 | Unregistered Commenterharinjaka
C'est, comme le disent ici d'autres de tes lecteurs, la suite du vote électronique… Qui prend de telles décisions…? Est-ce que ces gens, hormis écouter les conseils des lobbyistes, réfléchissent un minimum…?
Comme tu le dis, il nous faut, nous, être plus pointu pour éviter de telles conneries…
J'ai reçu le supplément de la recherche mais pas eu le temps de le lire…
A bientôt autour d'une table :-)
mer. 7/02/07 20:46 | Unregistered CommenterJean-Christophe Courte
hé bien,voila qui est edifiant sur la situation hautement paradoxale de notre société dont l'obsetion sécuritaire n'aboutie qu'à multiplier les menaces ! Mais quel bonheur pour les marchands , car c'est bien dans la conivence avec eux plus que dans leur incurie que les décideurs politiques sont... dangereux! - merci pour votre site -
jeu. 8/02/07 11:46 | Unregistered Commenterjoel boujassy
@David L.
On pourrait imaginer que les programmes scolaires incluent explicitement, un peu comme un rab d'éducation civique, les bases scientifiques sans lesquelles un citoyen ne peut pas correctement prendre position dans les débats de société actuels : énergie, pollution, sécurité, génétique, épidémiologie…
La liste est de plus en plus longue.
Ce qui me renforce dans mon idée que dans un pays comme la France de 2007, l'école doit d'abord et avant tout former des citoyens. La question des "métiers" est pour moi secondaire, voire extérieure à l'école. Mais c'est un autre débat.
jeu. 8/02/07 12:12 | Registered CommenterPierre Vandeginste
@nojhan
Issy-les-Moulinettes, le bled qui a toujours une techno d'avance, se met au vote électronique. Au moment où il est sévèrement remis en cause aux USA. Bravo ! Encore un exemple qui nous montre que la technologie sert souvent aux politiciens de "signe extérieur de branchitude". Ils n'en ont rien à foutre que le vote électronique réponde à un réel besoin. Il répond à leur besoin de parader et de faire "moderne" aux yeux de ceux qu'impressionne tout ce qui brille.
jeu. 8/02/07 12:17 | Registered CommenterPierre Vandeginste
@harinjaka
Salut !
Un passeport à puce à Madagascar ! On ne se refuse rien ;-)
Il semble évident que c'est exactement ce qui manquait le plus aux Malgaches.
jeu. 8/02/07 12:20 | Registered CommenterPierre Vandeginste
@Jean-Christophe Courte
Même si c'est évidemment un peu plus compliqué, bien sûr que les pressions des lobbies est une donnée majeure. Alors qu'en France, traditionnellement, le lobby est un tryuc affreux que l'on cache, à Bruxelles ils ont pignon sur rue, ils sont chez eux plus que toi ou moi.
Mais je crois que dans ce cas précis, leur baratin est aussi entré dans la tête des décideurs (et de presque tout le monde) d'une façon particulière. Effectuons un sondage : presque tout le monde croit que RFID=sécurité. Il y a un véritable effet d'intoxication collective, sur ce coup là. Le système médiatique au sens large non seulement vulgarise très mal la technologie, mais encore fabrique souvent des images mentales fausses. Là il a fait fort. Il ne le fait pas forcément méchamment, souvent aussi par flemme.
Et puis il y a aussi une chronologie complice : le RFID a d'abord servi pour le paiement (autoroute) et l'accès (voiture, parking, garage…). Ce qui a aidé à faire croire que le RFID était "bon" pour la sécurité. Ce qui est totalement faux. Le RFID est avant tout "pratique" (on ne descend pas de voiture), dans ce cas.
jeu. 8/02/07 12:37 | Registered CommenterPierre Vandeginste
@joel
Disons plus simplement que c'est le "marché" qui, de plus en plus, explique aux politiques ce qui est bon pour le pays, pour le peuple.
jeu. 8/02/07 12:40 | Registered CommenterPierre Vandeginste
Très bon article, bien écris et concis, du beau travail.

Mais savez vous que tout le monde y compris le SDF à la technologie qu'il faut pour se protéger efficacement de ces dérivent?
Il suffit de faire appel au principe de la cage de Faradey, en emballant simplement votre passport dans de l'aluminium ménagé.
Cela marche avec n'importe quel matériaux conducteur magnétique.
De cette manière vous empèchez les courants électromagnétique d'ateindre la puce RFID et ainsi de l'alimenter, elle ne peux donc plus parlé et si elle tente de le faire ces ondes électromagnétiques sont bloqués également.
Donc vous êtes tranquille, plus personne ne peut vous voler votre identité RFID sans prendre votre titre d'identité et le sortir de son blindage.
jeu. 8/02/07 17:06 | Unregistered Commenterxavier
Oui bon ok la cage de Faradey, mais quand je le sors à l'hotel par exemple ou pour le faire vérifier par un agent de contrôle quelconque ... la marmotte elle le laisse dans l'alu!? Et puis alors c'est officiel faut se protéger des bétises des gens pour qui je (ou les autres) vote !? ;-) .... C'est-à-dire que moi j'aime bien l'idée qu'un truc qui soit obligatoire et payant soit pas en plus source de perte de temps, et d'espoir... J'aime pas la théorie du complot mais éclairez ma lanterne : à qui profites le crime. C'est quoi l'avantage réel de ce truc ??
jeu. 8/02/07 17:32 | Unregistered Commentervermeille
@xavier
Il me semble que vermeille t'a répondu pour l'essentiel. Quelques précisions. Le passeport US comporte sa propre "cage de Faraday" incorporée : une sorte de grille métallisée dans la couverture du passeport. Donc, en théorie, il ne peut pas parler quand il est fermé. Sauf que Kevin Mahaffey a montré (voir mon billet, cliquer pour voir la vidéo) qu'il suffit qu'il s'ouvre d'un centimètre (ce qui peut arriver à tout moment dans une poche, un sac à main) pour être à nouveau accessible.
Cage de Faraday, encore : on voit arriver effectivement un marché du "porte passeport" étanche aux ondes électromagnétqiues.
MAIS. Comme le dit vermeille, un passeport, on doit l'ouvrir de temps à autre. Chaque jour, des millions de touristes dans le monde présentent leur passeport à des employés dans des milliers d'hôtels, d'agences diverses, de boites de location. Sans parler de ces boutiques qui n'acceptent une carte de crédit que si on leur montre un passeport avec. Tous ces endroits deviennent des lieux potentiels de vol massif d'identités numériques. Il suffit d'être là, à dix mètres, avec l'électronique ad hoc.
Le passeport britannique est déjà lisible à distance, moins d'un an après sa sortie. Alors dans dix ans…
ven. 9/02/07 10:16 | Registered CommenterPierre Vandeginste
@vermeille
Tu mets le doigt sur une question importante : notre gouvernement n'est pas supposé nous délivrer, en plus à un prix exorbitant un truc qui met en danger notre vie privée et la sécurité du pays. Or c'est ce qu'il fait. La Déclaration de Budapest le dit clairement. Du coup, elle demande aux gouvernement de sortir fissa un nouveau passeport non-désécurisé et propose des mesures provisoires pour les pauvres gens qui ont déjà un passeport RFID. Entre autres :

"Les citoyens doivent être informés des risques inhérents à la possession des nouveaux DVLA et des mesures de sécurité qu’ils peuvent prendre, par exemple éviter de remettre les documents à des privés (des hôtels par exemple)."
ven. 9/02/07 10:31 | Registered CommenterPierre Vandeginste

PostPost a New Comment

Enter your information below to add a new comment.
Author Email (optional):
Author URL (optional):
Post:
 
Some HTML allowed: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <code> <em> <i> <strike> <strong>