Les futurs passeports électroniques (biométriques) belges, qui seront distribués à partir de l’année prochaine, seront produits par Gemalto et Zetes. Le premier (1) se chargera de la production des documents sécurisés “vierges”; le second les “personnalisera” et en assurera la distribution aux administrations communales.
Le marché, d’une durée de 5 ans, porte potentiellement sur la production de quelque 400.000 passeports par an.
“Nouvelle génération”
Petit rappel, tout d’abord, du principe du passeport électronique. Les données inscrites, de manière 
visibles, sur le passeport sont également enregistrées dans une puce sans contact (de type RFID) intégrée dans l’une des pages du document. Les données ainsi stockées sont notamment l’identité du détenteur, une photo d’identité numérisée et une une copie numérique de deux de ses empreintes digitales (voire une empreinte rétinienne, via scanning de l’iris).
Les passeports biométriques et les systèmes destinés à leur lecture doivent répondre aux spécifications édictées par l’ICAO (Organisation de l’Aviation Civile Internationale). Ces spécifications balisent notamment les formats de fichier biométriques utilisés ainsi que les protocoles de communications (puce-lecteur).
Lors du processus de “personnalisation” (rôle dévolu à Zetes), les données d’identification du détenteur du passeport (données signalétiques et photo) sont chargées dans l’EEPROM de la puce embarquée. Lors de la vérification du passeport, elles sont temporairement transférées en RAM pour accès par le terminal de lecture.
L’authentification des données est assurée par des mécanismes PKI (public key infrastructure).
Dès 2007, des critiques de vulnérabilité avaient été émises vis-à-vis de la première génération de passeports électroniques.
En cause, la friabilité relative du protocole de sécurisation BAC (Basic Access Control) – voir notre petit encadré pour plus de détails (en accès Premium, réservé à nos abonnés). Parmi les risques potentiels: une lecture non autorisée du contenu de la puce RFID, clonage de carte (skimming), interception des données au moment où le document est passé devant le lecteur pour identification (eavesdropping)…
Certains ont par exemple démontré qu’il était possible de prendre connaissance du contenu de la puce en faisant “mouliner” un programme informatique qui “devinerait” les données comme le fait un peu un perceur de coffre-fort confronté au rébus d’une combinaison. C’est ce qu’on appelle une attaque par “force brute”- mais qui exige soit plusieurs heures de patience, soit un ordinateur particulièrement puissant. Mais le fait est que le piratage semblait bel et bien possible…
Pour renforcer la protection, les autorités- européennes, en l’occurrence- ont exigé la mise en oeuvre d’une solution plus rigoriste, baptisé EAC (Extended Access Control) – voir notre encadré.
Et c’est ce protocole qui se retrouve au coeur de la “nouvelle génération” de passeports biométriques dont on héritera donc à partir de mai 2014. Ces passeports arriveront sur le marché et dans nos poches à un moment où un nouveau protocole de protection, encore plus sophistiqué, risque d’être imposé par l’Europe (en l’occurrence, le SAC-Supplemental Access Control). “Les passeports produits par Zetes pourront être mis à niveau, sans modifications de la composante électronique”, souligne Ronny Depoortere, vice-président de la division PASS (Personal Authentication and Security Services) de la société. Précision non inutile.
(1) Gemalto est née, en 2006, de la fusion d’Axalto (elle-même spin-off de Schlumberger) et de Gemplus International, deux des pionniers dans le secteur des cartes à puce. La société vise trois domaines d’activités: les télécommunications mobiles, les transactions sécurisées (plus particulièrement pour des clients actifs dans le secteur de la finance et du commerce) et la sécurité (cible prioritaire: les administrations publiques et les réseaux, en ce compris dans la “dimension” du “cloud computing”). — retour au texte.
Envie d’apporter votre voix dans le débat ?
Les commentaires sont réservés à nos abonnés.