La nouvelle carte d'identité britannique déjà hackée

La nouvelle carte d'identité britannique déjà hackée

Publiée par Guillaume Belfiore le Vendredi 7 Août 2009

La semaine dernière, une nouvelle carte d'identité numérique, introduite en nombre limité sur le territoire britannique, a été piratée en douze minutes seulement ; une entreprise réalisée par Adam Laurie, également connu pour avoir hacké le passport anglais en seulement quatre heures.

Cette carte d'identité est régulée par une loi intitulée Identity Card Act qui dispose 50 catégories d'informations recueillies sur un individu notamment : les caractéristiques physiques, les empreintes digitales, le statut d'immigration, l'adresse postale, le numéro de sécurité sociale ou encore celui de la plaque d'immatriculation du véhicule. Seuls les résidents en dehors de l'Union Européenne souhaitant vivre ou travailler au Royaume-Uni seront obligés d'acquérir cette carte et risqueront jusqu'à 1100 euros d'amende s'ils n'informent pas les autorités en cas de changement d'adresse. L'on estime que d'ici la fin de l'année 75 000 cartes auront été délivrées. Ces dernières contiennent une puce RFID (radio-identification) dans laquelle sont classées ces informations, lesquelles peuvent ensuite être consultées sur ordinateur grâce à un lecteur de puces spécial.

Adam Laurie et le magazine Mail Online ont contacté un étudiant étranger afin de récupérer l'une de ces fameuses cartes décrites comme inviolables par le gouvernement local. A l'aide d'un simple téléphone Nokia embarquant un logiciel de lecteur de puces RFID, le hacker a pu récupérer les informations numérisées de l'étudiant et les transférer sur une carte vierge utilisée par l'une des sociétés de transport londoniennes. En douze minutes, la carte originale fut donc clonée. Le Mail Online rapporte également que M. Laurie a pu modifier ces détails afin de les faire correspondre à ceux d'une autre personne. « Si le gouvernement souhaite sérieusement prévenir les vols d'identité, alors il lui faudra faire mieux que cela », affirme Adam Laurie en expliquant que les victimes se placent vraiment au coeur du problème car elles auront du mal à prouver leur innocence dans le cas où leur carte d'identité numérique venait à être volée.

Reste à savoir si le gouvernement local réagira après cette découverte.

 

source

je viens de découvrir les travaux de cet homme:

Les équipements équipés de puce RFID, dont les passeports électroniques, ne lui résistent pas. Adam Laurie, responsable d'une société de sécurité, The Bunker, est également le créateur du site rfidiot.org.

Sur ce site, il tient à jour la liste des technologies RFID dont il est venu à bout. La liste est désormais bien longue. Il y démontre également la possibilité de capturer les signaux émis par la puce pour ensuite les cloner.

Adam Laurie travaille dans la sécurité depuis les années 1980. Il a notamment contribué au développement de Apache-SSL. Il est aussi, tout comme son frère Ben, membre du FIRST (Forum of Incident Response and Security Teams), un groupe d'expert fondé seulement un an après l'apparition du premier CERT en 1989.

source: http://www.journaldunet.com/solutions/securite/dossier/08/1029-personnalites-securite/3.shtml

Juste pour rajouter que la technologie des RFID n'a pas encore fait ses preuves, y'a qu'à voir le nombre d'exploit qui existe pour cloner ce genre de carte.

pour rappel l'année dernière le Chaos Computer Club avait annoncé qu'il avait cassé l'algo des carte de type Mifare classic1 et que des étudiants du MIT ont casser le code des carte du metro de Boston

http://www.zdnet.fr/actualites/informatique/0,39040745,39382689,00.htm