La sécurité de la carte d'identité électronique allemande en débat

Le Chaos Computer Club (CCC), un célèbre groupe de hackers né en Allemagne, est parvenu à relancer la polémique sur la sécurité des futures cartes d'identité électroniques chez nos voisins d'outre-Rhin. La carte, qui doit être généralisée en Allemagne à partir de novembre, renferme une puce RFID contenant des informations personnelles (dont les empreintes digitales de son propriétaire) et elle peut être utilisée en tant qu'identifiant pour des applications commerciales (badge de parking, sécurisation d'accès à des sites en ligne...). Pour cela, le gouvernement va distribuer près de d'un million de lecteurs RFID USB aux premiers possesseurs de la carte, lecteurs qu'ils devront connecter à leur ordinateur s'ils veulent utiliser les services additionnels de la carte pour des services en ligne.

C'est là qu'intervient le CCC. Dans une émission réalisée par la télévision allemande ARD, les membres du club de hackers ont mis en lumière comment il était possible via un spyware (logiciel espion) de lire à distance le code PIN de l'utilisateur de la future carte électronique lorsque celui-ci utilise le lecteur RFID gouvernemental. Jusque là rien que de très classique, le même spyware aurait pu intercepter tout autre code de sécurité ou mot de passe tapé sur le clavier par l'utilisateur. Mais, comme on est à la télé et que le CCC n'est pas étranger aux méthodes de l'agip prop, la conclusion tirée par les hackers est que la carte d'identité (facturée 28,8 € au citoyen allemand) n'est pas sûre. Et la machine médiatique de s'emballer, l'ensemble des médias grand public allemands interrogeant le ministre de l'Intérieur, Thomas de Maizière, sur la sécurité de la carte. Même le parti socialiste allemand, le SPD, s'est laissé prendre par la manœuvre et a demandé au ministre de mettre en place une carte plus sécurisée.

En fait, à ce jour, la démonstration télévisée du CCC ne remet pas en cause la sécurité de la carte. Tout au plus le CCC a-t-il démontré qu'en l'absence d'un clavier placé directement sur le lecteur ou d'un mécanisme de reconnaissance d'empreintes digitales intégré, c'est le processus de lecture de la carte via le lecteur sans fil qui n'est pas sûr. Tant qu'il faudra taper un code PIN sur le clavier du PC, celui-ci pourra être intercepté par le premier spyware ou cheval de troie venu. Alors que si le code confidentiel était tapé sur un lecteur sécurisé et que l'information était ensuite transmise sous forme cryptée vers le PC ou le service en ligne, ce problème disparaitrait.

Un constat qu'avait fait en son temps le GIE Carte Bancaire français en concevant un lecteur sécurisé, qui aurait permis à l'utilisateur d'utiliser sa carte bancaire à la maison avec la même sécurité que sur un DAB ou un terminal de paiement. Mais ce lecteur coûtait bien plus cher qu'un banal lecteur non sécurisé, un léger détail qui avait torpillé tout le projet, les banques n'étant pas prêtes à en supporter le coût (pas plus d'ailleurs que les utilisateurs). Pas sûr toutefois que le gouvernement allemand soit prêt à payer pour un lecteur plus sûr en ces temps de disette budgétaire. Il sera intéressant de voir si la France tire les leçons de l'expérience allemande lorsque la future carte d'identité électronique française - qui aura elle aussi des applications "commerciales" - fera son apparition.

En savoir plus :

les vidéos de l'émission PlusMinus sur le site de NetzPolitik.org