les carnets de clarisse

Le blog Enjeux-les Échos rapporte qu’une Sud-Coréenne de 51 ans a réussi à déjouer le contrôle d’immigration  par reconnaissance d’empreintes digitales mis en place dans les aéroports japonais en utilisant un adhésif spécial acheté à Séoul auprès d’un trafiquant.
.

L’histoire

« Une Sud-Coréenne interdite d’entrée sur le territoire japonais depuis l’an dernier a déjoué le système de reconnaissance par empreintes digitales récemment mis en place à l’aéroport de Tokyo en mettant du ruban adhésif sur ses doigts.

La femme a expliqué aux enquêteurs qu’elle avait mis un adhésif spécial sur ses doigts pour passer la frontière. Elle avait été interdite de séjour au Japon en juillet 2007 après avoir travaillé illégalement dans un bar de Nagano, selon le journal Yomiuri Shimbun.

Le Japon a dépensé plus de 44 millions de yen afin d’installer des lecteurs d’empreintes digitales, en invoquant la lutte contre terrorisme.

Selon le quotidien, un Sud-Coréen aurait fourni les adhésifs à la femme, avec un faux passeport. Des officiels ont expliqué que ce cas leur faisait craindre que beaucoup d’autres étrangers aient pénétré sur le territoire en utilisant les mêmes méthodes. » 

.

L’interview de la Sud-Coréenne

Quelques extraits de l’interview parue dans le quotidien japonais daily Yomiuri Shimbun :

« How did you reenter Japan?
In mid-April 2008, I met a male broker at a cafe in Seoul after I asked a South Korean woman, whom I got to know at a Tokyo Regional Immigration Bureau facility [in 2007] when I was deported for the first time.
I was told the man had helped many South Koreans enter Japan using the method, in which people put special tape containing imitation fingerprints on their fingers to cheat the fingerprint scanner at immigration.
I saw the broker answering his cell phone and speaking with people who said they had « successfully entered Japan. I’d heard that one of them entered Japan three days before me by using the [fingerprint] trick.

How much did you pay to the broker?
I paid 13 million won [1.3 million yen at the exchange rate at that time].
On the day in late April when I was scheduled to depart South Korea, I received a forged passport in exchange for the money at a cafe. There, I had the tape affixed to my index fingers, and then took a flight to Aomori from [South Korea's] Yingcheng Airport.

What did the special tape [to cheat the biometric fingerprint scanner] look like?
It had a floppy-rubberlike touch and was flesh colored. Nobody could tell at a glance [that the tape was affixed to my fingers], including the immigration officers.
I crumpled it into a ball and disposed of it after I left the airport.» 

.

Un exemple : contrôle biométrique à l’aéroport de Miami

Présentation officielle du système de contrôle d’empreintes mis en place à l’aéroport de Miami.

.

Un exercice : déjouer un contrôle d’empreintes digitales

Une vidéo fort instructive sur le système peut-être utilisé par la Sud-Coréenne.

.

La réaction du ministère de la justice japonais

Le principe japonais : tous les étrangers doivent accepter que leurs empreintes digitales soient scannées par les services de contrôle d’immigration lors de leur entrée dans le pays.

Le ministre de la Justice Eisuke Mori a déclaré lundi que le ministère allait ré-étudier son système de contrôle d’immigration pour les étrangers, pourtant à la pointe du contrôle biométrique.

.

En 2006 déjà, des questions sur la fiabilité du passeport …

Quelques interrogations sur le passeport biométrique, présenté comme LA solution aux problématiques du contrôle de l’identité pour l’entrée sur un territoire national, avaient déjà été soulevées en 2006 par plusieurs experts comme Lukas Grunwald.
Cet ingénieur allemand a proposé lors de la Black Hat Conference de 2006 une méthode de clonage des informations contenues dans le passeport biométrique. Le long article de Wired fait le point sur ces expériences, rapportées par de nombreux sites et blogs :

RFID, lecture à distance (reseaux-telecoms.net)
« Le problème posé par les RFID, rappelons-le, ne réside pas tant dans les données contenues dans le composant lui -même -après tout, il remplit les fonctions que l’on attend d’une pièce d’identité-, mais dans les risques évidents de mésusage liés à la lecture à distance : usurpation d’identité par attaque man in the midddle, falsification par modification des données ou duplication de contenu, usage abusif par exploitation des informations numériques sans la présence du porteur (confusion entre « identification » de la personne et « preuve numérique » de présence de la personne en question) etc.» 

Comment éviter l’utilisation illégale de son propre passeport ? (Yves Roumazeilles)
»  Comment le porteur du passeport peut-il se protéger contre les utilisations illégales de son propre passeport? N’oublions pas que vous n’avez pas besoin de le sortir de votre poche pour qu’il soit consulté par une machine de petite taille. Cela suggère le deuxième point (et le plus inquiétant) : n’importe qui pourrait “voler” le contenu de votre ePasseport, ou encore pire, un terroriste pourrait choisir de déclencher une bombe au passage d’un passeport d’un certain type. On n’est pas loin de voir la bombe déclenchée spécialement par un passeport américain. Cela pourrait tenter certains terroristes, n’est-ce pas ?

Il est vrai que de rouler son passeport dans une feuille de papier aluminium devrait le protéger. Mais vous voyez-vous obligé de défaire l’emballage de votre passeport avant de l’utiliser à l’aéroport, simplement pour vous protéger contre ces utilisations ? On nous annonce un passeport avec une couverture métallisée, mais qui ne sera alors pas lisible à distance (et alors où l’avantage par rapport à la lecture optique ?)» 

.

… des réponses…

Une mise au point de Philippe Frémy (Inseal), sur la faisabilité du clonage de passeports RFID en situation de contrôle réel :

« La spécification ICAO dite e-passeport utilisée par les Etats-Unis prévoit trois niveaux de sécurité: « authentification passive» , « contrôle d’accès simple»  et « authentification active» .

Les États-Unis ont fait le choix de n’exiger que le niveau de sécurité « authentification passive»  qui comme l’explique la spécification ICAO, protège l’intégrité des données (on a la preuve qu’elles ne sont pas altérées) mais n’empêche pas de les reproduire. C’est ce qu’a trouvé le chercheur mais une simple lecture des spécifications publiques suffit à faire cette « découverte» .

Tous les pays européens travaillant sur des passeports électronique ont fait le choix de la sécurité maximale qui protège non seulement contre la reproduction mais aussi contre l’espionnage de la communication et garantit l’authenticité du passeport de façon beaucoup plus fiable (signature basée sur l’algorithme RSA ou ECC).

En conclusion, on peut regretter que les États-Unis aient fait le choix de la sécurité la plus faible, mais ce n’est pas un argument suffisant pour critiquer tous les projets tournant autour de la spécification e-passeport car celle-ci prévoit des mécanismes de sécurité extrêmement fiables et robustes.» 

.

… et de nouvelles failles exposées en 2007

En juillet 2007, Lukas Grunwald poursuit sa quête et expose deux nouvelles vulnérabilités des passeports biométriques et du lecteur RFID.

Piratage de la puce RFID
- lire et copier l’image de l’empreinte digitale stockée dans le passeport biométrique
- créer une puce spécialement codée qui attaque le lecteur qui essaie de la scanner
- il devient possible d’exécuter ses propres instructions sur l’ordinateur/le lecteur piraté.

Piratage de l’empreinte digitale
- réaliser une fausse empreinte digitale en recouvrant la paume de son doigt avec de la gélatine
- lire et copier l’empreinte digitale affichée dans le passeport.

.

Conclusions

Ne pas oublier qu’un document infalsifiable n’existe pas.
Que tout ce que la main de l’homme a fait, la main de l’homme peut le refaire.
Que la sécurisation est une course perpétuelle entre la défense et l’attaque.
et …
Qu’un niveau de sécurité imposé par un État puissant doit obligatoirement être supposé contournable par ce même État – opérations spéciales & services de renseignement obligent.

.