ACBM - Le Virus Informatique qui vous défend !Retour à l'accueilLes brèvesLe magasinContacts Ecrire dans le virusListe de diffusionPetites annoncesLes concours



2017-10-03 14:26

Une faille de sécurité concernant des milliards de cartes à puce ?


Début septembre, les autorités estoniennes ont indiqué avoir été alertées par des chercheurs en sécurité d’un problème avec les cartes d’identité nationales et d’e-résidence. Ces cartes à puce permettent, insérée dans un ordinateur grâce à un lecteur, de se connecter à des services en ligne (grâce à un premier code PIN), de signer numériquement des documents (avec un second code PIN) ou de les chiffrer. La quasi-totalité des services publics et de nombreux services privés sont utilisables ainsi. Dans notre premier article sur l’e-résidence, nous avions expliqué que si un tel système en ligne avait bien des avantages, tout pourrait s’effrondrer en cas de faille de sécurité. S’il est à relativiser, le problème de sécurité découvert cette fois pourrait, en réalité, concerner bien d’autres cartes à puce que les seules cartes estoniennes.

Les autorités estoniennes admettent que la faille permettrait de s’identifier ou de signer numériquement des documents sans avoir la carte en main, ni ses codes PIN. Elles se veulent toutefois rassurantes : à leur connaissance, aucune des cartes en question n’a été « crackée », les chercheurs auraient seulement démontré la possibilité théorique de le faire, plus rapidement qu’estimé jusqu’à présent, à la fois grâce à de nouvelles méthodes de calculs mathématiques et parce que la puissance des ordinateurs va grandissante.
Immédiatement, l’annuaire des clés publiques a été désactivé par précaution. Désormais, si on veut envoyer un message chiffré à une personne, il faut au préalable la contacter pour obtenir sa clé publique. Les autorités ont décidé de ne pas remplacer les 750 000 cartes concernées en circulation depuis le 17 octobre 2014, date d’arrivée de la génération actuelle de puces sur les cartes. Ni de bloquer la délivrance de nouvelles cartes (une nouvelle génération était déjà prévue pour fin 2018). Ni d’empêcher le vote en ligne à l’élection locale imminente, dans un pays où plus d’un tiers des voix sont habituellement exprimées par ce moyen. La police invite les utilisateurs à migrer vers Mobile-ID, une solution payante basée sur un smartphone. Compte tenu des problèmes de sécurité sous Android, nous, nous la déconseillons. Début novembre, un logiciel devrait permettre de changer les certificats dans les cartes d’identité à puce. Aucun calendrier spécifique aux e-résidents n’a été communiqué.

L’Estonie se veut transparente
Kersti Kaljulaid, la présidente de la République d’Estonie, a d’elle-même abordé le sujet lors d’un entretien, auquel nous étions présents, avec des journalistes à qui elle présentait l’usage des nouvelles technologies dans son pays. Expliquant que l’Estonie est un petit pays où tout se sait, qu’il y a une grande confiance entre les autorités et les citoyens qu’elle tient à conserver, la présidence a déclaré que la meilleure chose à faire était d’être transparent sur le problème de sécurité découvert. Nous aurions aimé un tel comportement des autorités françaises, au lieu de punir notre rédaction, lorsque nous avions alerté des problèmes de sécurité de la carte Vitale !
Kersti Kaljulaid ajoute que « ce problème ne concerne pas seulement les cartes d’identité estoniennes. Il pourrait y avoir des milliards de cartes concernées. » Y aurait-il d’autres pays ou entreprises concernées par la faille qui n’auraient pas communiqué ?
La présidente n’étant peut-être pas la mieux placée pour des explications techniques, nous avons tenté d’en savoir plus auprès de Taimar Peterkop, le directeur de l’Information System Authority (RIA), en charge de la sécurité informatique dans le pays. Il tient avant tout à contextualiser : « cette affaire est pour nous un exercice. Le problème aurait pu être plus grave, il nous permet de nous améliorer pour savoir comment gérer une telle situation et communiquer dessus. » Questionné sur la présence de la faille ailleurs que dans les cartes estoniennes, il reste vague : « Le problème ressort avec l’utilisation du logiciel embarqué que nous en faisons. » Quand on insiste pour savoir si le problème pourrait être aussi ailleurs, il évoque des « cartes d’accès à des parkings ». Nous imaginons, pour notre part, qu’un système prétendu hyper-sécurisé pourrait servir ailleurs que dans des parkings… Si elles se veulent transparentes, les autorités estoniennes évitent de citer les noms des sociétés impliquées, se bornant à rappeler que le produit a été certifié par les autorités allemandes et françaises. Bien sûr, en consultant les communiqués publics de l’époque, on retrouve les noms des sociétés en question.

La réponse de Gemalto
Le fabricant des cartes estoniennes est, depuis 2002, Gemalto qui en assure, à Tallinn, la personnalisation. Pierre Thepault, son vice-président Programmes Gouvernementaux pour l’Europe de l’Ouest, nous a déclaré : « la vulnérabilité potentielle de la carte d’identité porte sur la bibliothèque cryptographique de l’Allemand Infineon, qui avait été choisie par le client. La librairie cryptographique de Gemalto, qui elle n’est pas intégrée dans la carte Estonienne actuelle, n’est donc pas en cause et est d’ailleurs immune à ce type d’attaques. Cette fragilité de la bibliothèque rend le champ des clés possibles beaucoup plus restreint, avec des attaques en force dont la durée est estimée à 140 ans de processus de calcul. Qui plus est, ces efforts ne porteraient que sur le hacking de la signature électronique d’une seule carte et donc d’un seul citoyen. » La puissance de calcul utilisée n’est pas évoquée, la durée de 140 ans est donc à relativiser, d’autant plus qu’une clé peut être trouvée avant d’avoir tenté toutes les possibilités.
Le responsable de Gemalto ajoute : « Les questions que l’on peut alors se poser sont les suivantes : Pourquoi un cybercriminel dépenserait de telles sommes et une telle énergie pour hacker une seule carte ? Y a-t-il un risque pour les 200 millions de contrats qui ont été signés en Estonie depuis plus de 15 ans en utilisant la signature électronique ? Non, car les documents sont également, et en plus de la signature électronique requise, horodatés avec un autre système de cryptage. » Certes, mais que se passerait-il si le citoyen piraté était le premier ministre estonien, par exemple ? Gemalto conclut en annonçant que les cartes d’identité estoniennes seront mises à jour avec un nouveau système qui repose sur les courbes elliptiques, une technologie de chiffrement plus moderne.

Les détails techniques restent rares
Les chercheurs à l’origine de la découverte sont Tchèques, selon nos informations. Nous les avons contactés, sans résultat. Sans doute, attendent-ils la mise en place d’une solution avant la diffusion publique de leurs travaux, visiblement prévues en novembre. On se contentera donc d’une hypothèse : il serait possible, par de gros calculs (à disposition de certains États), de retrouver la clé privée d’une personne à partir de sa clé publique. La dépublication de l’annuaire des clés publiques ne règlerait rien si une personne en particulier est ciblée et qu’un pirate possède déjà sa clé publique, ni si toutes les clés publiques auraient déjà été recopiées par le(s) pirate(s) potentiels. Quoi qu’il en soit une personne pourrait affirmer qu’une signature électronique n’a pas été faite par elle, mais par des pirates, même si les autorités prétendent le contraire.

[MAJ 05/10/17] Infineon nous a répondu tardivement compte tenu d’un jour férié en Allemagne où la société est basée : « Les solutions de sécurité, par exemple les cartes à puce, existent en tant que combinaison de matériel et de logiciel. Le logiciel, en particulier, concerne le contrôle des fonctionnalités et comporte généralement différentes configurations facultatives. En ce qui concerne la vulnérabilité potentielle, Infineon a été en contact avec ses clients et a offert des solutions d’atténuation. En parallèle, la fonction logicielle affectée a été mise à jour en étroite collaboration avec l’équipe de chercheurs et les clients. La nouvelle fonction logicielle est disponible et actuellement en cours de déploiement, y compris pour la production de nouveaux appareils utilisant la nouvelle fonction logicielle. Sur la base des commentaires de nos clients, et à notre connaissance, cette fonction logicielle est utilisée pour une très faible proportion de solutions de sécurité qui utilisent nos produits. Nos puces de sécurité elles-mêmes ne sont pas affectées. » La société ajoute : « La faiblesse potentielle apparait seulement lorsqu’un ensemble spécifique de conditions est rempli. La configuration spécifique de l’application est choisie par nos clients. » Mais, malgré notre insistance, Infineon ne nous a pas communiqué ni la liste des utilisateurs, ni le nombre de cartes en circulation concernés par cette affaire.

Nous ne dépendons ni de la publicité, ni de subvention. Si vous voulez nous aider à financer de nouvelles enquêtes de ce genre, achetez le magazine Le Virus Informatique !



Vous aimez cette page ? Partagez-en le lien sur les réseaux sociaux !

Facebook
Twitter
Google+
LinkedIn

Vous pouvez aussi recopier librement son contenu ailleurs (en indiquant le lien de cette page), mais sans le modifier ni en faire un usage commercial. Ce contenu est sous licence Creative Commons Attribution-NonCommercial-NoDerivatives 4.0 International License.
Creative Commons License

Retour aux archives
Retour à l'accueil
[RSS]
Legal & cookies