réponse ()

La position d’IBM sur la « Déclaration de Budapest sur
les Documents de Voyage à Lecture Automatique (MRTD
– Machine Readable Travel Documents) »
19 décembre 2006
Résumé
Le 6 novembre 2006, un collège de scientifiques publiait un document – depuis connu
sous le nom de « Déclaration de Budapest » - critiquant la sécurité et la confidentialité
des nouveaux Documents de Voyage à Lecture Automatique (DVLA) internationaux.
Cette déclaration a été publiée sur le site Web du projet européen FIDIS.
La « Déclaration de Budapest » résume les conclusions techniques disponibles sur les
documents d’identification électronique, émises par le réseau FIDIS et documentées dans
le Rapport D3.6, d’une manière qu’IBM juge pour le moins excessivement simpliste, et
sous certains aspects trompeuse pour le lecteur. Omettant de mentionner un certain
nombre de mécanismes clés de « poids et contrepoids » et caractéristiques techniques
intégrées aux systèmes d’identification électronique correctement conçus (par ex. le
renforcement de la sécurité assuré par le Contrôle d’accès étendu -EAC), l’image globale
qui y est dépeinte ne reflète pas notre opinion. Nous estimons au contraire qu’il est tout à
fait possible, avec la technologie actuelle, de concevoir des systèmes d’identification
électronique (e-ID) qui soient à la fois sûrs et conformes à la législation, améliorant la
protection des voyageurs.
Comme dans tous les autres domaines, il est toujours possible - et même souhaitable - de
chercher à faire progresser la gestion des processus et des technologies. Toutefois, étant
donné les capacités offertes par les technologies et standards actuels, rien ne justifie de
mettre un terme au développement des documents d’identification électronique suivant
toutes les directives dictées par les organismes de normalisation internationaux, la
Commission de l’Union Européenne et la législation de chaque pays.
Ce document se propose de vous expliquer plus en détail certains concepts techniques
qui, selon nous, n’ont pas été correctement exposés dans la « Déclaration de Budapest ».
-1-
(1) La « Déclaration de Budapest »
La « Déclaration de Budapest » a été publiée par un groupe de chercheurs dans le cadre
du projet de l’UE baptisé FIDIS. Elle avance que :
(1) Les DVLA européens peuvent être lus et interceptés jusqu’à une distance de
10 mètres [...] de manière transparente et sans contrôle interactif [...] faiblesse encore
aggravée par un contrôle d’accès susceptible d’être contourné ou attaqué...
(2) Les informations biométriques des documents d’identité peuvent être utilisées à
d’autres fins par les secteurs public et privé et [...] des erreurs d’authentification positives et négatives – sont inévitables [...].
Les auteurs de ce document avancent qu’aucun concept de sécurité cohérent et intégré
pour les DVLA n’a été présenté qui permettrait de contrer ces menaces. Le document
parle en outre d’un « certain nombre de menaces théoriques démontrées scientifiquement
et de faiblesses conceptuelles des DVLA » et conclut sur une série de recommandations
concernant leur utilisation.
Notre point de vue
Cette Déclaration procède de plusieurs « simplifications » débouchant sur des
conclusions erronées et, dans certains cas, des recommandations inadaptées.
- L’écoute passive (« snooping ») et la lecture active de passeports sont des
problématiques bien différentes ; or la déclaration ne fait pas la distinction entre les deux
et se contente d’affirmer qu’il est possible de lire des passeports jusqu’à une distance de
10 mètres. Même si des chercheurs ont pu intercepter de manière passive une interaction
correcte entre un DVLA et un lecteur (par exemple à un point de contrôle des passeports)
à une distance de 2 à 10 mètres, aucun cas d’attaque active réussie n’a été reporté, i.e.
lorsque le passeport est a priori inactif dans la poche de son porteur. La menace d’une
écoute passive réussie, i.e. inaperçue, est d’autant moins probable qu’elle requiert
l’installation d’équipements plutôt difficiles à dissimuler (par exemple une grosse
antenne) dans un périmètre proche d’une zone généralement extrêmement protégée et
surveillée - comme peut l’être une zone de vérification des passeports.
- Depuis la mi-2006, le contrôle d’accès étendu (EAC) est parfaitement spécifié sur le
plan technique et son utilisation imposée par la Commission européenne [cf. référence
plus loin] dans les Etats membres à compter de 2009 ; la seule chose qu’on puisse
regretter est l’absence de descriptions de procédés (valables au niveau international) pour
son utilisation ; mais c’est aussi le cas pour tous les passeports : il incombe à chaque pays
de définir comment gérer les données des passeports ou traiter les cas de faux passeports.
L’EAC s’appuie sur des standards éprouvés (par ex. PKI, infrastructure à clé publique)
pour protéger les données biométriques des passeports européens. Grâce à cette
technologie, chaque pays contrôle totalement quels autres pays peuvent lire les données
biométriques de ses citoyens enregistrées sur leurs passeports électroniques. Outre cette
propriété (rendue possible par la signature numérique de tous les dispositifs capables de
-2-
lire un passeport donné), l’EAC renforce le protocole de sécurité utilisé entre le DVLA et
le lecteur à un niveau jugé impossible à déjouer (clés de session à chiffrement fort).
Les arguments que nous venons d’énoncer replacent la Déclaration dans une nouvelle
perspective et réfutent la plupart des allégations avancées.
-3-
(2) La position d’IBM sur les affirmations de la « Déclaration de
Budapest »
Affirmation de la Déclaration : Les données biométriques des DVLA ne peuvent
actuellement être révoquées.
Position d’IBM : Premièrement, toute personne ayant accès à un objet quelconque
touché par une autre entre en possession de ses empreintes digitales, y compris, par
exemple, dans le cas d’un passeport traditionnel. Il s’agit là de la nature même de la
biométrie et les contraintes sont donc les mêmes qu’avec la précédente « technologie » de
passeport. Deuxièmement, avec l’EAC, un pays peut contrôler quelles sont les autres
entités, y compris les entités étrangères, qui peuvent accéder aux empreintes digitales de
ses citoyens enregistrées sur leurs passeports. En ne renouvelant pas régulièrement les
certificats numériques requis pour les pays autorisés à lire les passeports, il est possible
de désactiver l’accès aux données d’empreintes digitales des passeports biométriques
dans une courte période de temps, i.e. de révoquer efficacement l’accès à ces passeports.
Bien entendu, les empreintes récupérées et stockées – en violation de la loi – avant une
telle révocation resteront en possession du pays contrevenant. Mais là encore, cela ne
change pas par rapport aux pratiques actuelles où certains pays recueillent les empreintes
de leurs visiteurs consentants.
Affirmation de la Déclaration : Etant donné que les caractéristiques biométriques de
l’utilisateur telles qu’empreintes digitales et traits faciaux ne peuvent être modifiées, des
données biométriques « volées » pourront être utilisées abusivement pendant longtemps.
Position d’IBM : Toutes les données protégées (uniquement) par un Contrôle d’accès de
base (BAC) sont également visibles sur le passeport et peuvent donc être copiées par
quiconque a physiquement accès audit passeport. Ainsi, cela ne change rien par rapport
aux passeports traditionnels. L’accès aux empreintes digitales n’est possible qu’avec un
lecteur certifié par le pays émetteur du passeport. Il appartient au législateur d’autoriser
ou non les hôtels à avoir ce type de lecteurs certifiés. A l’heure actuelle, nous n’avons pas
connaissance de l’existence de telles lois. Ainsi, cette menace est en fait inexistante grâce
à la technologie EAC.
Affirmation de la Déclaration : Gestion insuffisante de la clé d’accès avec le BAC.
Position d’IBM : Les clés BAC sont connues pour leurs « faiblesses cryptographiques »
dues à l’utilisation convenue au niveau international de numéros de passeport à faible
entropie comme données de dérivation des clés. Toutefois, le BAC se contentant de
chiffrer strictement les mêmes informations que celles inscrites physiquement sur le
passeport, nous ne voyons pas là de détérioration sérieuse de la sécurité induite par les
passeports électroniques par rapport aux passeports traditionnels.
-4-
Affirmation de la Déclaration : Ecoute des communications et attaque par force brute
du BAC.
Position d’IBM : Il a été démontré que l’attaque par force brute de la clé BAC n’était
possible que si une communication dûment autorisée était « écoutée » - avec un appareil
situé à une distance de 2 à 10 mètres d’un point de contrôle des passeports. Si un
dispositif d’écoute aussi sophistiqué pouvait être installé sans que les autorités
concernées en aient connaissance, un système de caméras enregistrant les personnes et
leurs passeports (de manière visuelle), peut-être avec des caméras haute résolution au
niveau des points de contrôle, serait probablement un moyen plus simple d’obtenir les
mêmes informations que celles que l’on pourrait glaner par une attaque par force brute
sur le VDLA électronique – d’autant que le « snooping » visuel fonctionnerait avec
n’importe quel passeport, et pas seulement ceux dotés de puces. Et comme nous l’avons
vu plus haut, l’utilisation de l’EAC renforcera le protocole de chiffrement
cryptographique avec des clés « à chiffrement fort » de sorte que la lecture du contenu
protégé, et notamment des empreintes digitales, sera techniquement impossible avec les
outils informatiques actuels.
Affirmation de la Déclaration : Clonage des tags RFID dans les DVLA.
Position d’IBM : Le clonage des DVLA électroniques avec un Contrôle d’accès de base
(BAC) uniquement est clairement possible, comme l’est d’ailleurs la copie des passeports
existants. En revanche, la combinaison des deux techniques rend le document composite
avec contrôle BAC plus sûr que les passeports traditionnels puisque les faussaires doivent
copier l’ensemble du passeport, se procurer une puce et la programmer correctement. Le
clonage des passeports électroniques avec contrôle EAC est rendu impossible d’un point
de vue technique par la technologie PKI et l’utilisation d’une clé privée sur le passeport
électronique lui-même. Idéalement, la clé est générée sur la puce et, dans tous les cas,
signée électroniquement par le pays émetteur du passeport, et ainsi utilisée pour prouver
l’authenticité des données électroniques enregistrées sur le passeport. Cloner un passeport
électronique avec contrôle EAC est donc aujourd’hui techniquement impossible avec les
outils informatiques disponibles.
Affirmation de la Déclaration : Abus de lecture à distance des tags RFID des passeports
pour faire éclater des « bombes intelligentes », sensibles à l’identité de certaines
personnes.
Position d’IBM : La lecture à distance de VDLA électroniques telle que décrite dans la
« Déclaration de Budapest » à des fins terroristes comme le déclenchement de « bombes
intelligentes » est pure fiction. Un tel scénario supposerait un champ RF extrêmement
puissant associé à un superordinateur pour ne serait-ce que s’approcher de cette
hypothèse fantaisiste qui voudrait qu’on puisse décider (par attaque par force brute de la
clé BAC) du déclenchement d’une bombe « personnalisée » en une fraction de seconde
-5-
lorsqu’une personne porteuse d’un passeport électronique passe à proximité d’un tel
dispositif... En fait, les passeports électroniques – contrairement aux tags RFID
protégeant les biens de valeur que l’on peut trouver dans les centres commerciaux –
disposent de différentes parades technologiques garantissant une protection active contre
ces attaques théoriques. Ils utilisent notamment un identifiant d’autorisation de
communication entre la puce et le lecteur aléatoire, qui change en permanence (UID
aléatoire). Ils utilisent également un chiffrement symétrique pour chiffrer les données
transférées (BAC). Enfin, ils utilisent un chiffrement fort/asymétrique pour authentifier le
lecteur et la puce et générer des clés symétriques sûres pour une protection optimale des
données biométriques (EAC).
-6-
(3) Questions / Réponses sur le réseau FIDIS
Question : Quel est le rôle d’IBM dans le réseau FIDIS ?
Réponse : FIDIS est un Réseau d’excellence qui s’inscrit dans le Sixième programmecadre de l’Union Européenne. Ses objectifs : étudier les évolutions du concept d’identité
avec l’avènement de la Société de l’Information en Europe, et les solutions et approches
permettant une intégration progressive. FIDIS est ainsi un consortium pluridisciplinaire
réunissant 24 partenaires de 12 pays européens ; sa coordination est assurée par
l’Université Goethe de Francfort (Allemagne). Les partenaires impliqués coopèrent dans
la sphère de leurs compétences professionnelles et centres d’intérêt respectifs ; en
d’autres termes, ils ne participent pas tous activement à l’ensemble des études, exposés
de principe et communiqués de presse. Au regard des ressources fournies, la participation
d’IBM au sein du Réseau FIDIS est limitée.
Dans le cadre de FIDIS, IBM s’est impliquée dans le projet WP 3, Technologies
supportant l’identification et la gestion des identités. Nous avons notamment participé à
l’élaboration du Rapport D3.6, Etude des documents d’identification. La version finale de
ce document du 31 mars 2006 est un rapport de 156 pages rédigé par M. Meints et M.
Hansen (ICPP Allemagne) et révisé par J. Vyskoc (VAF, Slovaquie), R. Leenes (Tillburg
University) et M. Gasson (Reading University).
Référence
Rapport FIDIS D3.6
www.fidis.net/fileadmin/fidis/deliverables/fidis-wp3-del3.6.study_on_id_documents.pdf
Question : Quelle est la relation entre IBM et la Déclaration de Budapest ?
Réponse : Les auteurs de la « Déclaration de Budapest », chercheurs collaborant dans le
cadre de FIDIS, appuient leur argumentation sur le Rapport FIDIS D3.6. Ils résument
toutefois les conclusions techniques exposées sur les documents d’identification
électronique d’une manière qu’IBM considère pour le moins simpliste, et dans certains
cas trompeuse pour le lecteur. IBM n’a ni participé à la rédaction de la « Déclaration de
Budapest » ni approuvé sa publication. Ainsi, l’affirmation « appuyés par un vote
unanime lors de la réunion du Réseau d’Excellence FIDIS –Futur de l’Identité dans la
Société de l’Information– à Budapest, en septembre 2006 [ ... ] » parue dans certains
exemplaires de ce document et dans des communiqués de presse est fausse et a été
corrigée en conséquence depuis.
-7-
(4) Questions / Réponses concernant les DVLA
Question : Qu’est qu’un Document de Voyage à Lecture Automatique ?
Réponse : Tout passeport contenant des données pouvant être lues par un dispositif
optique (reconnaissance de caractères) ou par ondes radio (« RFID »). Dans ce dernier
cas, un lecteur communique sans fil avec une puce intégrée au passeport. Les DVLA
dotés d’une puce sont fréquemment qualifiés de « DVLA électroniques », « passeports
électroniques », « passeports biométriques » ou encore « eMRTD » en anglais.
Question : Emet-on déjà des eMRTD (DVLA électroniques) ?
Réponse : En 1998, les passeports malaisiens ont commencé à intégrer une puce sur
laquelle est enregistrée une image de l’empreinte du pouce du titulaire, avant
l’introduction du standard de l’OACI. Nombre de pays (Allemagne, Suisse...) émettent
déjà des passeports intégrant des puces conformes à la norme internationale des eMRTD
(dans la majorité des cas avec un contrôle BAC et sans empreintes digitales). Avec la
définition en 2006 du standard EAC [cf. référence plus bas], les pays européens ont
désormais pour tâche d’émettre des eMRTD avec empreintes digitales dans les quelques
années à venir.
Question : Les eMRTD (DVLA électroniques) contiennent-ils les mêmes tags RFID que
ceux utilisés sur les palettes, containers et articles pour la gestion de la chaîne logistique ?
Réponse : Non. Comme nous l’avons expliqué en détail plus haut, les eMRTD sont
capables d’exécuter des fonctions cryptographiques, offrent une inviolabilité renforcée et
un mécanisme d’identification de la puce différent ; ils ont en outre été soumis à de
nombreuses certifications tierces (comparables aux puces des cartes bancaires/cartes de
crédit).
Question : Depuis quelle distance peut-on lire un eMRTD ((DVLA électroniques) ?
Réponse : Le standard utilisé – ISO14443 – définit une distance de lecture active
normale de 5 à 10 cm. En raison de la technologie employée (nécessité d’alimenter la
puce de l’eMRTD sur le champ RF), cette distance de lecture active ne peut être étendue
qu’en décuplant de manière exponentielle l’énergie dans le champ RF. Toutefois, si une
puce est lue de manière active (sur la distance mentionnée ci-dessus, par un lecteur
adapté), les informations RF peuvent être tracées passivement (« écoutées ») jusqu’à une
distance de 10 m. Notre expérience nous amène à considérer que de telles distances ne
peuvent être obtenues qu’en laboratoire, avec un contrôle strict des équipements utilisés
et interférences.
-8-
Question : Les eMRTD (DVLA électroniques) peuvent-ils divulguer des données ?
Réponse : Les données biométriques sont protégées par des mécanismes de contrôle des
accès. L’accès à l’image est protégé par le protocole de Contrôle d’accès de base (Basic
Access Control - BAC) ; les empreintes digitales (« données biométriques de haute
qualité ») ne sont accessibles (conformément à la réglementation européenne) qu’après
avoir passé le Contrôle d’accès étendu (Extended Access Control - EAC).
Pour le BAC, le lecteur calcule la clé de session à partir des informations stockées dans la
zone lisible par machine (MRZ). Ainsi, un pirate doit soit avoir eu accès au passeport,
soit réaliser une attaque par force brute sur la clé.
Pour l’EAC, la puce et le lecteur doivent mettre en œuvre un protocole d’authentification
mutuelle utilisant le chiffrement à clé publique. La puce doit prouver qu’elle a bien été
émise par le pays émetteur et que ni ses données ni sa clé privée n’ont été modifiées. Le
lecteur doit prouver que le pays émetteur du passeport l’a autorisé à lire le passeport. Ces
deux fonctions sont facilitées par l’utilisation de certificats numériques tels que ceux
utilisés par exemple pour signer ou chiffrer des emails ou des documents légaux (cf. Lois
sur les signatures numériques).
Question : Est-il possible de déjouer la protection des accès des eMRTD ?
Réponse : Les clés BAC sont connues pour leurs « faiblesses cryptographiques » dues à
l’utilisation convenue au niveau international de numéros de passeport à faible entropie
comme données de dérivation des clés. Toutefois, le BAC se contentant de chiffrer
strictement les mêmes informations que celles inscrites physiquement sur le passeport,
nous ne voyons pas là de détérioration sérieuse de la sécurité induite par les passeports
électroniques par rapport aux passeports traditionnels.
L’EAC utilise la clé privée enregistrée sur le passeport électronique lui-même. Cette clé,
idéalement générée sur la puce et stockée en zone de mémoire sécurisée, est d’une
longueur généralement acceptée comme sûre pour les applications sensibles.
Question : Existe-t-il un risque de « hotlisting » avec l’UID RFID ?
Réponse : Uniquement si l’eMRTD utilise un UID RFID fixe. Pour garantir la
confidentialité des données, il est généralement recommandé d’utiliser des UID
aléatoires. Cette technologie existe et un certain nombre de pays l’utilisent déjà ;
consultez l’adresse http://www.cs.mu.oz.au/343/a3/39.pdf pour en avoir des exemples.
Question : Les eMRTD permettent-ils le déclenchement de « bombes intelligentes »
sensibles à l’identité de certaines personnes ?
-9-
Réponse : Cela est parfaitement inconcevable : d’un point de vue technique, le
déclenchement d’une telle « bombe intelligente » nécessiterait l’établissement d’une
communication active avec un eMRTD fermé, ce qui n’est possible qu’à une distance
extrêmement réduite (5-10 cm). Ensuite, ce dispositif devrait violer par attaque par force
brute la clé BAC (puisqu’il ne pourrait pas lire la zone optique MRZ sans le
consentement de l’utilisateur) pour accéder aux données personnelles – une procédure qui
demanderait des heures sur un ordinateur puissant, même pour décrypter les clés les plus
vulnérables reposant sur des plages connues de numéros de passeports.
- 10 -
(5) Généralités
La division IBM Research travaille aux cotés d’un certain nombre d’experts éminents et
de grandes organisations sur les questions de sécurité et de protection de la confidentialité
afin d’améliorer en permanence la sécurité des documents de voyage et de renforcer la
sécurité et la protection de la sphère privée des utilisateurs.
Synthèse
La « Déclaration de Budapest » dresse un tableau sombre sans accorder une considération
suffisante à l’ensemble des aspects (techniques, juridiques et traitement) afférents à
l’émission et à l’utilisation des passeports électroniques. Nous estimons pour notre part
qu’il est possible de concevoir, avec la technologie actuelle, des systèmes d’identification
électronique (e-ID) qui soient à la fois sûrs et conformes à la législation, améliorant la
protection des voyageurs.
D’une manière générale, il est nécessaire de mettre en place des procédures visant à
garantir un traitement correct des données personnelles, tant sur les passeports
traditionnels que sur les versions à puce. Cette technologie existe et est améliorée en
permanence. Il est justifié de poursuivre les recherches, par exemple sur la
reconnaissance biométrique match-on-card, pourvu que de nouvelles lois permettent
l’utilisation des données biométriques à d’autres fins que les activités gouvernementales
liées aux documents de voyage (électroniques) qui constituent pour l’heure leur seul
champ d’application.
Références
•
•
•
•
Rapport technique : PKI Digital Signatures for Machine Readable Travel Documents, Version 4,
OACI ; disponible en anglais à l’adresse :
http://www.icao.int/mrtd/download/documents/PKI%20Digital%20Signatures.PDF
Rapport technique : PKI for Machine Readable Travel Documents offering ICC Read-Only Access,
Version 1.1, OACI ; disponible en anglais à l’adresse :
http://www.icao.int/mrtd/download/documents/TR-PKI%20mrtds%20ICC%20readonly%20access%20v1_1.pdf
Rapport technique : Development of a Logical Data Structure - LDS for optional capacity expansion
technologies. Version 1.7, OACI ; disponible en anglais à l’adresse :
http://www.icao.int/mrtd/download/documents/LDS-technical%20report%202004.pdf
Décision de la Commission Européenne établissant les spécifications techniques afférentes aux normes
pour les dispositifs de sécurité et les éléments biométriques intégrés dans les passeports et les
documents de voyage délivrés par les États membres ; 28.06.2006 [Note : Il n’existe pas de traduction
officielle de cette décision en anglais, seules les versions en langues allemande, estonienne, finnoise,
française, grecque, italienne, lettone, lituanienne, maltaise, néerlandaise, polonaise, portugaise,
- 11 -
•
•
suédoise, slovaque, slovène, espagnole, tchèque et hongroise font foi) ; la version allemande est
disponible à l’adresse :
http://ec.europa.eu/justice_home/doc_centre/freetravel/documents/doc/c_2006_2909_de.pdf
REGLEMENT (CE) n°2252/2004 DU CONSEIL du 13 décembre 2004 établissant des normes pour
les éléments de sécurité et les éléments biométriques intégrés dans les passeports et les documents de
voyage délivrés par les États membres ; disponible en ligne à l’adresse : http://europa.eu.int/eurlex/lex/LexUriServ/site/en/oj/2004/l_385/l_38520041229en00010006.pdf
Déclaration de Budapest sur les Documents de Voyage à Lecture Automatique (MRTD – Machine
Readable Travel Documents) ; disponible en ligne à l’adresse : http://www.fidis.net/ pressevents/press-releases/budapest-declaration
- 12 -
Glossaire
BAC
EAC
e-ID
UE
OACI
MRTD = DVLA
MRZ
PKI
RF
RFID
UID
Basic Access Control – Contrôle d’accès de base
Extended Access Control – Contrôle d’accès étendu
Identité électronique
Union Européenne
Organisation de l'aviation civile internationale
Machine Readable Travel Document – Document de Voyage à
Lecture Automatique
Machine-Readable Zone – Zone lisible par machine
Public Key Infrastructure – Infrastructure à clé publique
Radiofréquence
Identification par radiofréquence
Identifiant unique
- 13 -