2 posts tagged “techno”
... pour téléphoner gratuitement !
Bon, une oreille de plus sur nos conversations, que dire ? C'est à peut près le même système que Goggle Analytics, et ils indiquent bien que rien n'est conservé, mais bon ... on peut ne pas aimer l'idée.
De plus, l'arrivée de la pub pendant les conversations avait déjà été essayée (je ne sais plus par qui ...), mais quand même, ça devient un peu envahissant !
Bon de toute façon le service ne marche que pour l'Amérique du Nord (USA, Canada, ...) ^^
Une équipe belge de recherche en cryptographie a découvert qu'un certain nombre de passeports belges (720 000 tout de même !) pourvus de puces RFID sont tout simplement dépourvus de crypatage ! On peut donc les lire avec n'importe quel lecteur de puce RFID du commerce (à 10 cm de distance tout de même ...).
Sachant que sur ces puces RFID on trouve un certain nombre d'informations: nom, prénom, photos d'identité ... et signature ! Il faut préciser que les belges sont plus zélés que nous dans ce domaine: chez nous point de signature.
Plusieurs spécialistes ont mis en avant les problèmes de sécurité liés à cette techno, mais c'est quand même la première fois qu'ils sont mis en avant avec autant de clarté ...
L'équipe à l'origine de cette découverte cherchait à craquer le cryptage des puces qui équipent l'ensemble des passeports européens (suite à l'insistance américaine et avec beaucoup de critiques dans plusieurs pays membres) et bloquait sur tout une série de puces ... avant de se rendre compte qu'elles étaient tout simplement dépourvues de cryptage !
De plus la même équipe a travaillé sur les autres passeports belges (ceux avec un cryptage, si vous suivez ...) et leur solidité n'est pas à tout épreuve, encore moins que la version britannique où la procédure normale de dialogue crypté avec la puce RFID est protégée par une clé construite à partir des dates de naissance et d’expiration du passeport et de son numéro de série. Or ces informations, que l’on peut bien sûr lire dans le passeport à condition de l’ouvrir, sont susceptibles d’être obtenues par divers moyens et/ou plus ou moins « devinées ».
Dans le cas belge, les clefs sont purement séquentielles et directement issues de l'ordre de fabrication. Le seul bémol, c’est que l’imprimerie réalise alternativement des séries de passeports en Français, en Néerlandais et en Allemand. Les chercheurs ont eu vite fait, en consultant les passeports de quelques proches, de mettre en relation des séquences de numéros avec des intervalles de dates. Un travail à la portée du premier faussaire venu.
Au final, après une étude sommaire de ces numéros de série, les chercheurs ont constaté que pour un passeport émis à une date donnée, ils parvenaient déjà à ramener à 24 000 le nombre de valeurs possibles pour le numéro de série. Alors que ce dernier comporte deux lettres et 6 chiffres.
Du coup, dans le cas d’un passeport dont les dates de naissance et d’expiration sont connues, il faut une heure au maximum pour tester ces 24 000 numéros de série, à raison de 400 tentatives par minute. Or dans les scénarios plausibles d’attaques organisées par des faussaires organisés, les dates de naissance et d’expiration sont les deux éléments les plus accessibles.
On fera remarquer qu’il suffirait de voler le passeport, voire un sac à main pour obtenir toues les informations voulues. Mais ce serait oublier que tout le charme (et le danger) du vol d’identité via la puce RFID est précisément qu’il peut être effectué sans que sa cible ne se doute de quoi que ce soit, à distance et avec beaucoup de discrétion !
Comment donner envie de devenir "sans-papier" ...
