Le passeport biométrique se met le doigt dans l’oeil
par Pierre Vandeginste, le 12 mai pour bakchich.info
Le passeport avec empreinte digitale arrive. Mais à quoi servent ces empreintes digitales dans la puce du passeport si un enfant peut se bricoler une fausse empreinte et un faux doigt ? La recette est sur le Net. Les experts en sécurité avaient prévenu : la biométrie, c’est pratique, mais pas magique.
C’est officiel, puisque le décret d’application est paru le 4 mai au journal du même métal, les passeports délivrés en France seront biométriques. Dès octobre dans cinq départements, dans toute la France à la fin juin 2009. Concrètement, cela signifie que les empreintes digitales du titulaire seront relevées au moment de la demande de passeport, et qu’une description numérique de ces empreintes rejoindra les éléments habituels (dont la photo) dans la puce sans contact (dite RFID) déjà dans nos passeports. Pour quoi faire, ces empreintes ? Suis-je bête, tout le monde sait cela, la « biométrie », c’est-à-dire la sécurisation à l’aide de paramètres biologiques, c’est l’avenir ! Elle est toujours au rendez-vous dans les films de sciences-fiction. On a tous vu au cinéma James Bond pénétrer dans les lieux les plus secrets en présentant son pouce (ou son iris).
Tout le monde sait que la biométrie, c’est absolument imparable, infaillible et que donc notre tranquillité est à ce prix. Tout le monde « sait » cela, y compris nos politiques, qui savent surtout que nous le savons et qu’en décidant d’y avoir recours, ils donnent l’impression de faire quelque chose pour notre « sécurité ». Leur tranquillité est à ce prix. À propos de prix, ce sera 100 millions d’euros. Pour les 2 000 machines à relever les empreintes (et la photo) qui seront installées dans les mairies où le passeport dernier cri sera délivré. Cent millions pour le consortium qui emportera cette petite commande publique : Thalès-Accenture, Atos-Sagem, Cap Gemini-Sopra ou Bull-Zeltes. Comme on est dans une démocratie, il va de soi que l’on ne va pas dépenser cent millions d’euros pour une technologie qui n’aurait pas réellement les qualités annoncées. Il doit donc être amplement démontré que grâce à ces empreintes digitales, il sera désormais rigoureusement IM-POS-SI-BLE de passer une frontière avec un passeport qui ne serait pas le sien, obtenu légalement.
Il faut rappeler que la France ne fait qu’appliquer une directive européenne. Laquelle résulte d’une demande, pressante, de Washington. C’est donc d’abord à l’arrivée sur le territoire US que les citoyens européens mettront bientôt leur doigt sur un bidule qui lira leur empreinte, qui sera comparée au modèle contenu dans leur passeport tout neuf.
Bref, c’est à cause du 11 septembre. On en déduit que l’empreinte digitale doit être un formidable moyen d’empêcher les successeurs de Mohammed Atta de pénétrer sur le territoire des États-Unis.
Recette de la manoeuvre sur « you tube »
Seulement voilà, il y a des gens qui doutent. Pas seulement des agitateurs hirsutes qui ne croient en rien, mais aussi des experts en sécurité. Première raison de douter : c’est un jeu d’enfant que d’emprunter l’empreinte d’un copain, pour rire, et de la porter sur son propre doigt. Le plus dur est d’obtenir une belle empreinte du bon doigt de la victime, par exemple sur un verre. La suite est simple comme bonjour. Il faut des ingrédients aussi sophistiqués que de la colle et des outils aussi inaccessibles qu’une imprimante laser (à partir de 79 euros de nos jours). Compter 10 euros de fournitures pour une vingtaine d’empreintes.
La recette est sur Internet, et même sur YouTube. Il y a le choix. Essayez par exemple celle du célèbre Chaos Computer Club, une association allemande qui vulgarise les faux-semblants de la sécurité informatique, disponible depuis 2004 (vidéo Arte, en français ici) :
Ou bien celle proposée au public états-unien en 2006 par l’émission « MythBusters » sur Discovery Channel :
On trouve bien d’autres documents, plus académiques, sur le sujet, comme le papier historique de Jeroen Keuning présenté à un congrès IFIP en 2000 et celui de Tsutomu Matsumoto de la conférence SPIE de 2002.
Ces documents le montrent, même le petit chaperon rouge saura réaliser une fausse empreinte digitale, alors que dire du grand méchant loup ? Question : comment peut-on avoir eu l’idée de « sécuriser » nos passeports au moyen d’une telle passoire ?
Les scénarios d’exploitation de cette faille sont nombreux, mais pour fixer les idées, imaginons que X se présente à une frontière avec le passeport biométrique de Y, qui lui ressemble beaucoup, surtout la barbe : il ne sera pas inquiété s’il présente sur le capteur d’empreinte digitale celle qu’il aura emprunté à Y et collé sur son doigt.
On s’attendrait à des arguments musclés de la part des défenseurs du passeport biométrique. Comme par exemple : « Nous avons pensé à tout, et la police des frontières passera au papier de verre les doigts de tous les passagers arrivant dans nos aéroports, même aux heures de pointe. » Ben non. On parle plutôt d’une technologie miracle qui va dégonfler les files d’attente.
Des failles dans tous les dispositifs envisagés
En fait, l’argument qui revient le plus souvent, c’est que l’on a des tas d’idées pour agrémenter les lecteurs d’empreintes de dispositifs techniques additionnels capables de distinguer les fausses des vraies. Le problème, c’est qu’à chacune de ces approches on peut opposer une contre-mesure. Et qu’en conséquence, on passe de la fiction de la « technologie géniale qui apporte une sécurité absolue » à la classique guéguerre de la cuirasse toujours plus épaisse face au canon de plus en plus gros. On devine la suite de l’histoire : dès que le premier cas de passage frauduleux à la frontière grâce à une fausse empreinte passera au « vingt heures », parions que les industriels de la chose nous assurerons que la prochaine génération est prête. Pour eux, la biométrie sera toujours une technique infaillible pour assurer leur sécurité… financière.
Comme si le « faux doigt » ne suffisait pas, des experts réputés en sécurité ont des raisons plus fondamentales, théoriques, de se méfier de la biométrie en général et de l’empreinte digitale en particulier. Voir par exemple ce qu’en dit (en anglais) Bruce Schneier, un pape de la sécurité informatique.
La première va de soi : l’empreinte (comme le visage et même l’iris) est tout le contraire d’un code secret. On laisse ses empreintes sur les poignées de porte, sur le papier glacé… partout. N’est-il pas un tout petit peu étrange, voire paradoxal, d’utiliser une information quasiment publique pour démontrer qui l’on est ?
Seconde raison, énorme : l’empreinte digitale n’est pas « révocable ». En clair, si on peut changer un mot de passe éventé, bloquer et remplacer une carte à puce volée, que ferez-vous le jour où un vilain se fera passer pour vous grâce à votre empreinte digitale ? Vous changerez de doigt ?
Et tout ça pour nous prouver que le meilleur moyen de nous identifier sera de nous implanter une puce électronique. Et que feront nous ce jour-là ???
ouai la prochaine etape sera la puce electronique integré dans chacun de nous (des citoyens americains testent deja le truc)
Ils veulent nous ficher et tout savoir sur nous comme ça dès qu on sort un peu de leur chemin ils nous tombent dessus.
ça devient grave et tout ceci vise a nous priver de nos libertés
Voila une pensée judicieuse…
Alalala, et tout cela à cause de l’événement 11/09 : il faudrait vraiment une explication officielle crédible pour en arriver là.
A ce propos voici ce qui se passe en Suisse:
Grâce au droit de référendum, les opposants à l’introduction du passeport biométrique ont réussi à obliger le gouvernement à faire voter le peuple sur l’introduction de ce passeport. On votera le 17 mai.
Voici l’adresse du site des référendaires:
http://www.referendumcontrelespasseportsbiometriques.ch/
Maintenant il faut faire campagne! Tous les grands partis sont pour l’introduction du passeport biométrique (évidemment).
Je suis assez pessimiste sur le résultat du vote car les Suisses sont très soucieux de « s’aligner » sur les décisions des dirigeants des USA et de l’UE. En gros: « ils » décident et on suit.