réponse ()
Transcription
réponse ()
La position d’IBM sur la « Déclaration de Budapest sur les Documents de Voyage à Lecture Automatique (MRTD – Machine Readable Travel Documents) » 19 décembre 2006 Résumé Le 6 novembre 2006, un collège de scientifiques publiait un document – depuis connu sous le nom de « Déclaration de Budapest » - critiquant la sécurité et la confidentialité des nouveaux Documents de Voyage à Lecture Automatique (DVLA) internationaux. Cette déclaration a été publiée sur le site Web du projet européen FIDIS. La « Déclaration de Budapest » résume les conclusions techniques disponibles sur les documents d’identification électronique, émises par le réseau FIDIS et documentées dans le Rapport D3.6, d’une manière qu’IBM juge pour le moins excessivement simpliste, et sous certains aspects trompeuse pour le lecteur. Omettant de mentionner un certain nombre de mécanismes clés de « poids et contrepoids » et caractéristiques techniques intégrées aux systèmes d’identification électronique correctement conçus (par ex. le renforcement de la sécurité assuré par le Contrôle d’accès étendu -EAC), l’image globale qui y est dépeinte ne reflète pas notre opinion. Nous estimons au contraire qu’il est tout à fait possible, avec la technologie actuelle, de concevoir des systèmes d’identification électronique (e-ID) qui soient à la fois sûrs et conformes à la législation, améliorant la protection des voyageurs. Comme dans tous les autres domaines, il est toujours possible - et même souhaitable - de chercher à faire progresser la gestion des processus et des technologies. Toutefois, étant donné les capacités offertes par les technologies et standards actuels, rien ne justifie de mettre un terme au développement des documents d’identification électronique suivant toutes les directives dictées par les organismes de normalisation internationaux, la Commission de l’Union Européenne et la législation de chaque pays. Ce document se propose de vous expliquer plus en détail certains concepts techniques qui, selon nous, n’ont pas été correctement exposés dans la « Déclaration de Budapest ». -1- (1) La « Déclaration de Budapest » La « Déclaration de Budapest » a été publiée par un groupe de chercheurs dans le cadre du projet de l’UE baptisé FIDIS. Elle avance que : (1) Les DVLA européens peuvent être lus et interceptés jusqu’à une distance de 10 mètres [...] de manière transparente et sans contrôle interactif [...] faiblesse encore aggravée par un contrôle d’accès susceptible d’être contourné ou attaqué... (2) Les informations biométriques des documents d’identité peuvent être utilisées à d’autres fins par les secteurs public et privé et [...] des erreurs d’authentification positives et négatives – sont inévitables [...]. Les auteurs de ce document avancent qu’aucun concept de sécurité cohérent et intégré pour les DVLA n’a été présenté qui permettrait de contrer ces menaces. Le document parle en outre d’un « certain nombre de menaces théoriques démontrées scientifiquement et de faiblesses conceptuelles des DVLA » et conclut sur une série de recommandations concernant leur utilisation. Notre point de vue Cette Déclaration procède de plusieurs « simplifications » débouchant sur des conclusions erronées et, dans certains cas, des recommandations inadaptées. - L’écoute passive (« snooping ») et la lecture active de passeports sont des problématiques bien différentes ; or la déclaration ne fait pas la distinction entre les deux et se contente d’affirmer qu’il est possible de lire des passeports jusqu’à une distance de 10 mètres. Même si des chercheurs ont pu intercepter de manière passive une interaction correcte entre un DVLA et un lecteur (par exemple à un point de contrôle des passeports) à une distance de 2 à 10 mètres, aucun cas d’attaque active réussie n’a été reporté, i.e. lorsque le passeport est a priori inactif dans la poche de son porteur. La menace d’une écoute passive réussie, i.e. inaperçue, est d’autant moins probable qu’elle requiert l’installation d’équipements plutôt difficiles à dissimuler (par exemple une grosse antenne) dans un périmètre proche d’une zone généralement extrêmement protégée et surveillée - comme peut l’être une zone de vérification des passeports. - Depuis la mi-2006, le contrôle d’accès étendu (EAC) est parfaitement spécifié sur le plan technique et son utilisation imposée par la Commission européenne [cf. référence plus loin] dans les Etats membres à compter de 2009 ; la seule chose qu’on puisse regretter est l’absence de descriptions de procédés (valables au niveau international) pour son utilisation ; mais c’est aussi le cas pour tous les passeports : il incombe à chaque pays de définir comment gérer les données des passeports ou traiter les cas de faux passeports. L’EAC s’appuie sur des standards éprouvés (par ex. PKI, infrastructure à clé publique) pour protéger les données biométriques des passeports européens. Grâce à cette technologie, chaque pays contrôle totalement quels autres pays peuvent lire les données biométriques de ses citoyens enregistrées sur leurs passeports électroniques. Outre cette propriété (rendue possible par la signature numérique de tous les dispositifs capables de -2- lire un passeport donné), l’EAC renforce le protocole de sécurité utilisé entre le DVLA et le lecteur à un niveau jugé impossible à déjouer (clés de session à chiffrement fort). Les arguments que nous venons d’énoncer replacent la Déclaration dans une nouvelle perspective et réfutent la plupart des allégations avancées. -3- (2) La position d’IBM sur les affirmations de la « Déclaration de Budapest » Affirmation de la Déclaration : Les données biométriques des DVLA ne peuvent actuellement être révoquées. Position d’IBM : Premièrement, toute personne ayant accès à un objet quelconque touché par une autre entre en possession de ses empreintes digitales, y compris, par exemple, dans le cas d’un passeport traditionnel. Il s’agit là de la nature même de la biométrie et les contraintes sont donc les mêmes qu’avec la précédente « technologie » de passeport. Deuxièmement, avec l’EAC, un pays peut contrôler quelles sont les autres entités, y compris les entités étrangères, qui peuvent accéder aux empreintes digitales de ses citoyens enregistrées sur leurs passeports. En ne renouvelant pas régulièrement les certificats numériques requis pour les pays autorisés à lire les passeports, il est possible de désactiver l’accès aux données d’empreintes digitales des passeports biométriques dans une courte période de temps, i.e. de révoquer efficacement l’accès à ces passeports. Bien entendu, les empreintes récupérées et stockées – en violation de la loi – avant une telle révocation resteront en possession du pays contrevenant. Mais là encore, cela ne change pas par rapport aux pratiques actuelles où certains pays recueillent les empreintes de leurs visiteurs consentants. Affirmation de la Déclaration : Etant donné que les caractéristiques biométriques de l’utilisateur telles qu’empreintes digitales et traits faciaux ne peuvent être modifiées, des données biométriques « volées » pourront être utilisées abusivement pendant longtemps. Position d’IBM : Toutes les données protégées (uniquement) par un Contrôle d’accès de base (BAC) sont également visibles sur le passeport et peuvent donc être copiées par quiconque a physiquement accès audit passeport. Ainsi, cela ne change rien par rapport aux passeports traditionnels. L’accès aux empreintes digitales n’est possible qu’avec un lecteur certifié par le pays émetteur du passeport. Il appartient au législateur d’autoriser ou non les hôtels à avoir ce type de lecteurs certifiés. A l’heure actuelle, nous n’avons pas connaissance de l’existence de telles lois. Ainsi, cette menace est en fait inexistante grâce à la technologie EAC. Affirmation de la Déclaration : Gestion insuffisante de la clé d’accès avec le BAC. Position d’IBM : Les clés BAC sont connues pour leurs « faiblesses cryptographiques » dues à l’utilisation convenue au niveau international de numéros de passeport à faible entropie comme données de dérivation des clés. Toutefois, le BAC se contentant de chiffrer strictement les mêmes informations que celles inscrites physiquement sur le passeport, nous ne voyons pas là de détérioration sérieuse de la sécurité induite par les passeports électroniques par rapport aux passeports traditionnels. -4- Affirmation de la Déclaration : Ecoute des communications et attaque par force brute du BAC. Position d’IBM : Il a été démontré que l’attaque par force brute de la clé BAC n’était possible que si une communication dûment autorisée était « écoutée » - avec un appareil situé à une distance de 2 à 10 mètres d’un point de contrôle des passeports. Si un dispositif d’écoute aussi sophistiqué pouvait être installé sans que les autorités concernées en aient connaissance, un système de caméras enregistrant les personnes et leurs passeports (de manière visuelle), peut-être avec des caméras haute résolution au niveau des points de contrôle, serait probablement un moyen plus simple d’obtenir les mêmes informations que celles que l’on pourrait glaner par une attaque par force brute sur le VDLA électronique – d’autant que le « snooping » visuel fonctionnerait avec n’importe quel passeport, et pas seulement ceux dotés de puces. Et comme nous l’avons vu plus haut, l’utilisation de l’EAC renforcera le protocole de chiffrement cryptographique avec des clés « à chiffrement fort » de sorte que la lecture du contenu protégé, et notamment des empreintes digitales, sera techniquement impossible avec les outils informatiques actuels. Affirmation de la Déclaration : Clonage des tags RFID dans les DVLA. Position d’IBM : Le clonage des DVLA électroniques avec un Contrôle d’accès de base (BAC) uniquement est clairement possible, comme l’est d’ailleurs la copie des passeports existants. En revanche, la combinaison des deux techniques rend le document composite avec contrôle BAC plus sûr que les passeports traditionnels puisque les faussaires doivent copier l’ensemble du passeport, se procurer une puce et la programmer correctement. Le clonage des passeports électroniques avec contrôle EAC est rendu impossible d’un point de vue technique par la technologie PKI et l’utilisation d’une clé privée sur le passeport électronique lui-même. Idéalement, la clé est générée sur la puce et, dans tous les cas, signée électroniquement par le pays émetteur du passeport, et ainsi utilisée pour prouver l’authenticité des données électroniques enregistrées sur le passeport. Cloner un passeport électronique avec contrôle EAC est donc aujourd’hui techniquement impossible avec les outils informatiques disponibles. Affirmation de la Déclaration : Abus de lecture à distance des tags RFID des passeports pour faire éclater des « bombes intelligentes », sensibles à l’identité de certaines personnes. Position d’IBM : La lecture à distance de VDLA électroniques telle que décrite dans la « Déclaration de Budapest » à des fins terroristes comme le déclenchement de « bombes intelligentes » est pure fiction. Un tel scénario supposerait un champ RF extrêmement puissant associé à un superordinateur pour ne serait-ce que s’approcher de cette hypothèse fantaisiste qui voudrait qu’on puisse décider (par attaque par force brute de la clé BAC) du déclenchement d’une bombe « personnalisée » en une fraction de seconde -5- lorsqu’une personne porteuse d’un passeport électronique passe à proximité d’un tel dispositif... En fait, les passeports électroniques – contrairement aux tags RFID protégeant les biens de valeur que l’on peut trouver dans les centres commerciaux – disposent de différentes parades technologiques garantissant une protection active contre ces attaques théoriques. Ils utilisent notamment un identifiant d’autorisation de communication entre la puce et le lecteur aléatoire, qui change en permanence (UID aléatoire). Ils utilisent également un chiffrement symétrique pour chiffrer les données transférées (BAC). Enfin, ils utilisent un chiffrement fort/asymétrique pour authentifier le lecteur et la puce et générer des clés symétriques sûres pour une protection optimale des données biométriques (EAC). -6- (3) Questions / Réponses sur le réseau FIDIS Question : Quel est le rôle d’IBM dans le réseau FIDIS ? Réponse : FIDIS est un Réseau d’excellence qui s’inscrit dans le Sixième programmecadre de l’Union Européenne. Ses objectifs : étudier les évolutions du concept d’identité avec l’avènement de la Société de l’Information en Europe, et les solutions et approches permettant une intégration progressive. FIDIS est ainsi un consortium pluridisciplinaire réunissant 24 partenaires de 12 pays européens ; sa coordination est assurée par l’Université Goethe de Francfort (Allemagne). Les partenaires impliqués coopèrent dans la sphère de leurs compétences professionnelles et centres d’intérêt respectifs ; en d’autres termes, ils ne participent pas tous activement à l’ensemble des études, exposés de principe et communiqués de presse. Au regard des ressources fournies, la participation d’IBM au sein du Réseau FIDIS est limitée. Dans le cadre de FIDIS, IBM s’est impliquée dans le projet WP 3, Technologies supportant l’identification et la gestion des identités. Nous avons notamment participé à l’élaboration du Rapport D3.6, Etude des documents d’identification. La version finale de ce document du 31 mars 2006 est un rapport de 156 pages rédigé par M. Meints et M. Hansen (ICPP Allemagne) et révisé par J. Vyskoc (VAF, Slovaquie), R. Leenes (Tillburg University) et M. Gasson (Reading University). Référence Rapport FIDIS D3.6 www.fidis.net/fileadmin/fidis/deliverables/fidis-wp3-del3.6.study_on_id_documents.pdf Question : Quelle est la relation entre IBM et la Déclaration de Budapest ? Réponse : Les auteurs de la « Déclaration de Budapest », chercheurs collaborant dans le cadre de FIDIS, appuient leur argumentation sur le Rapport FIDIS D3.6. Ils résument toutefois les conclusions techniques exposées sur les documents d’identification électronique d’une manière qu’IBM considère pour le moins simpliste, et dans certains cas trompeuse pour le lecteur. IBM n’a ni participé à la rédaction de la « Déclaration de Budapest » ni approuvé sa publication. Ainsi, l’affirmation « appuyés par un vote unanime lors de la réunion du Réseau d’Excellence FIDIS –Futur de l’Identité dans la Société de l’Information– à Budapest, en septembre 2006 [ ... ] » parue dans certains exemplaires de ce document et dans des communiqués de presse est fausse et a été corrigée en conséquence depuis. -7- (4) Questions / Réponses concernant les DVLA Question : Qu’est qu’un Document de Voyage à Lecture Automatique ? Réponse : Tout passeport contenant des données pouvant être lues par un dispositif optique (reconnaissance de caractères) ou par ondes radio (« RFID »). Dans ce dernier cas, un lecteur communique sans fil avec une puce intégrée au passeport. Les DVLA dotés d’une puce sont fréquemment qualifiés de « DVLA électroniques », « passeports électroniques », « passeports biométriques » ou encore « eMRTD » en anglais. Question : Emet-on déjà des eMRTD (DVLA électroniques) ? Réponse : En 1998, les passeports malaisiens ont commencé à intégrer une puce sur laquelle est enregistrée une image de l’empreinte du pouce du titulaire, avant l’introduction du standard de l’OACI. Nombre de pays (Allemagne, Suisse...) émettent déjà des passeports intégrant des puces conformes à la norme internationale des eMRTD (dans la majorité des cas avec un contrôle BAC et sans empreintes digitales). Avec la définition en 2006 du standard EAC [cf. référence plus bas], les pays européens ont désormais pour tâche d’émettre des eMRTD avec empreintes digitales dans les quelques années à venir. Question : Les eMRTD (DVLA électroniques) contiennent-ils les mêmes tags RFID que ceux utilisés sur les palettes, containers et articles pour la gestion de la chaîne logistique ? Réponse : Non. Comme nous l’avons expliqué en détail plus haut, les eMRTD sont capables d’exécuter des fonctions cryptographiques, offrent une inviolabilité renforcée et un mécanisme d’identification de la puce différent ; ils ont en outre été soumis à de nombreuses certifications tierces (comparables aux puces des cartes bancaires/cartes de crédit). Question : Depuis quelle distance peut-on lire un eMRTD ((DVLA électroniques) ? Réponse : Le standard utilisé – ISO14443 – définit une distance de lecture active normale de 5 à 10 cm. En raison de la technologie employée (nécessité d’alimenter la puce de l’eMRTD sur le champ RF), cette distance de lecture active ne peut être étendue qu’en décuplant de manière exponentielle l’énergie dans le champ RF. Toutefois, si une puce est lue de manière active (sur la distance mentionnée ci-dessus, par un lecteur adapté), les informations RF peuvent être tracées passivement (« écoutées ») jusqu’à une distance de 10 m. Notre expérience nous amène à considérer que de telles distances ne peuvent être obtenues qu’en laboratoire, avec un contrôle strict des équipements utilisés et interférences. -8- Question : Les eMRTD (DVLA électroniques) peuvent-ils divulguer des données ? Réponse : Les données biométriques sont protégées par des mécanismes de contrôle des accès. L’accès à l’image est protégé par le protocole de Contrôle d’accès de base (Basic Access Control - BAC) ; les empreintes digitales (« données biométriques de haute qualité ») ne sont accessibles (conformément à la réglementation européenne) qu’après avoir passé le Contrôle d’accès étendu (Extended Access Control - EAC). Pour le BAC, le lecteur calcule la clé de session à partir des informations stockées dans la zone lisible par machine (MRZ). Ainsi, un pirate doit soit avoir eu accès au passeport, soit réaliser une attaque par force brute sur la clé. Pour l’EAC, la puce et le lecteur doivent mettre en œuvre un protocole d’authentification mutuelle utilisant le chiffrement à clé publique. La puce doit prouver qu’elle a bien été émise par le pays émetteur et que ni ses données ni sa clé privée n’ont été modifiées. Le lecteur doit prouver que le pays émetteur du passeport l’a autorisé à lire le passeport. Ces deux fonctions sont facilitées par l’utilisation de certificats numériques tels que ceux utilisés par exemple pour signer ou chiffrer des emails ou des documents légaux (cf. Lois sur les signatures numériques). Question : Est-il possible de déjouer la protection des accès des eMRTD ? Réponse : Les clés BAC sont connues pour leurs « faiblesses cryptographiques » dues à l’utilisation convenue au niveau international de numéros de passeport à faible entropie comme données de dérivation des clés. Toutefois, le BAC se contentant de chiffrer strictement les mêmes informations que celles inscrites physiquement sur le passeport, nous ne voyons pas là de détérioration sérieuse de la sécurité induite par les passeports électroniques par rapport aux passeports traditionnels. L’EAC utilise la clé privée enregistrée sur le passeport électronique lui-même. Cette clé, idéalement générée sur la puce et stockée en zone de mémoire sécurisée, est d’une longueur généralement acceptée comme sûre pour les applications sensibles. Question : Existe-t-il un risque de « hotlisting » avec l’UID RFID ? Réponse : Uniquement si l’eMRTD utilise un UID RFID fixe. Pour garantir la confidentialité des données, il est généralement recommandé d’utiliser des UID aléatoires. Cette technologie existe et un certain nombre de pays l’utilisent déjà ; consultez l’adresse http://www.cs.mu.oz.au/343/a3/39.pdf pour en avoir des exemples. Question : Les eMRTD permettent-ils le déclenchement de « bombes intelligentes » sensibles à l’identité de certaines personnes ? -9- Réponse : Cela est parfaitement inconcevable : d’un point de vue technique, le déclenchement d’une telle « bombe intelligente » nécessiterait l’établissement d’une communication active avec un eMRTD fermé, ce qui n’est possible qu’à une distance extrêmement réduite (5-10 cm). Ensuite, ce dispositif devrait violer par attaque par force brute la clé BAC (puisqu’il ne pourrait pas lire la zone optique MRZ sans le consentement de l’utilisateur) pour accéder aux données personnelles – une procédure qui demanderait des heures sur un ordinateur puissant, même pour décrypter les clés les plus vulnérables reposant sur des plages connues de numéros de passeports. - 10 - (5) Généralités La division IBM Research travaille aux cotés d’un certain nombre d’experts éminents et de grandes organisations sur les questions de sécurité et de protection de la confidentialité afin d’améliorer en permanence la sécurité des documents de voyage et de renforcer la sécurité et la protection de la sphère privée des utilisateurs. Synthèse La « Déclaration de Budapest » dresse un tableau sombre sans accorder une considération suffisante à l’ensemble des aspects (techniques, juridiques et traitement) afférents à l’émission et à l’utilisation des passeports électroniques. Nous estimons pour notre part qu’il est possible de concevoir, avec la technologie actuelle, des systèmes d’identification électronique (e-ID) qui soient à la fois sûrs et conformes à la législation, améliorant la protection des voyageurs. D’une manière générale, il est nécessaire de mettre en place des procédures visant à garantir un traitement correct des données personnelles, tant sur les passeports traditionnels que sur les versions à puce. Cette technologie existe et est améliorée en permanence. Il est justifié de poursuivre les recherches, par exemple sur la reconnaissance biométrique match-on-card, pourvu que de nouvelles lois permettent l’utilisation des données biométriques à d’autres fins que les activités gouvernementales liées aux documents de voyage (électroniques) qui constituent pour l’heure leur seul champ d’application. Références • • • • Rapport technique : PKI Digital Signatures for Machine Readable Travel Documents, Version 4, OACI ; disponible en anglais à l’adresse : http://www.icao.int/mrtd/download/documents/PKI%20Digital%20Signatures.PDF Rapport technique : PKI for Machine Readable Travel Documents offering ICC Read-Only Access, Version 1.1, OACI ; disponible en anglais à l’adresse : http://www.icao.int/mrtd/download/documents/TR-PKI%20mrtds%20ICC%20readonly%20access%20v1_1.pdf Rapport technique : Development of a Logical Data Structure - LDS for optional capacity expansion technologies. Version 1.7, OACI ; disponible en anglais à l’adresse : http://www.icao.int/mrtd/download/documents/LDS-technical%20report%202004.pdf Décision de la Commission Européenne établissant les spécifications techniques afférentes aux normes pour les dispositifs de sécurité et les éléments biométriques intégrés dans les passeports et les documents de voyage délivrés par les États membres ; 28.06.2006 [Note : Il n’existe pas de traduction officielle de cette décision en anglais, seules les versions en langues allemande, estonienne, finnoise, française, grecque, italienne, lettone, lituanienne, maltaise, néerlandaise, polonaise, portugaise, - 11 - • • suédoise, slovaque, slovène, espagnole, tchèque et hongroise font foi) ; la version allemande est disponible à l’adresse : http://ec.europa.eu/justice_home/doc_centre/freetravel/documents/doc/c_2006_2909_de.pdf REGLEMENT (CE) n°2252/2004 DU CONSEIL du 13 décembre 2004 établissant des normes pour les éléments de sécurité et les éléments biométriques intégrés dans les passeports et les documents de voyage délivrés par les États membres ; disponible en ligne à l’adresse : http://europa.eu.int/eurlex/lex/LexUriServ/site/en/oj/2004/l_385/l_38520041229en00010006.pdf Déclaration de Budapest sur les Documents de Voyage à Lecture Automatique (MRTD – Machine Readable Travel Documents) ; disponible en ligne à l’adresse : http://www.fidis.net/ pressevents/press-releases/budapest-declaration - 12 - Glossaire BAC EAC e-ID UE OACI MRTD = DVLA MRZ PKI RF RFID UID Basic Access Control – Contrôle d’accès de base Extended Access Control – Contrôle d’accès étendu Identité électronique Union Européenne Organisation de l'aviation civile internationale Machine Readable Travel Document – Document de Voyage à Lecture Automatique Machine-Readable Zone – Zone lisible par machine Public Key Infrastructure – Infrastructure à clé publique Radiofréquence Identification par radiofréquence Identifiant unique - 13 -