Des chercheurs de l'Université du Luxembourg ont découvert une faille dans la norme de sécurité des passeports électroniques biométriques utilisée dans le monde entier depuis 2004. Cette norme, OACI 9303, permet aux lecteurs de passeports électroniques dans les aéroports de scanner la puce à l'intérieur d'un passeport et d'identifier le titulaire.

La plupart des passeports utilisent aujourd'hui la norme ICAO 9303, délivré par l'Organisation de l'aviation civile internationale (OACI). La norme est conçue pour garantir que la confidentialité et la dissociation du titulaire du passeport sont protégées au plus haut degré. La dissociation garantit qu'un attaquant ne peut pas distinguer si deux éléments sont étroitement liés.

Dr Ross Horne, Pr Sjouke Mauw, doctorat le candidat Zach Smith et l'étudiant à la maîtrise Ihor Filimonov ont testé la norme. Ils ont découvert une faille qui permet à des équipements spécifiques non autorisés d'accéder aux données du passeport. "Avec le bon appareil, vous pouvez scanner les passeports à proximité et ré-identifier les détenteurs de passeports précédemment observés, suivre leurs déplacements, " explique le Dr Horne. " Ainsi, les titulaires de passeports ne sont pas protégés contre le suivi de leurs déplacements par un observateur non autorisé. »

Limites et implications de la faille

Un appareil non autorisé scannant un passeport dans un rayon de plusieurs mètres peut identifier et suivre ce passeport, même s'il ne peut pas lire le passeport. Ainsi, la vie privée du titulaire du passeport sont vulnérables aux attaques potentielles, même si la faille ne permet pas aux attaquants de lire toutes les informations d'un passeport donné ou de compromettre les informations biométriques stockées dans une puce à l'intérieur du passeport.

"Comme la plupart des passeports utilisent aujourd'hui la même norme, cette faille de sécurité a potentiellement un impact global, " poursuit le Dr Horne. En Europe, une telle violation de la sécurité viole probablement les exigences du cadre de protection des données de l'UE. Les gouvernements ont la responsabilité de protéger la vie privée des individus et de s'assurer que les documents officiels sont à l'épreuve des balles contre de telles attaques.

L'équipe de chercheurs a partagé ses résultats de test avec l'OACI en juin 2019. Ils ont également décrit plusieurs approches pour restaurer la protection de la vie privée, sur la base de l'hypothèse que les fabricants de lecteurs de passeports électroniques doivent assumer la responsabilité d'assurer la protection de la vie privée des titulaires de passeports.

Les résultats de l'étude, « Briser la dissociation de la norme OACI 9303 pour les passeports électroniques utilisant la bisimilarité, " ont été présentés le mardi 24 septembre à ESORICS 2019, une conférence de haut niveau sur la sécurité des systèmes en Europe.