Adam Laurie est une figure du monde de la sécurité informatique, et donc des hackers, mais aussi la bête noire de ceux qui veulent faire rimer papiers d’identité sécurisés et puces électroniques RFiD (sans contact).
En 2006, il avait mis 48 heures à lire (et donc « pirater ») les données contenues dans la puce RFiD « sécurisée » du passeport électronique britannique. En 2007, il avait mis 4 heures…
Un article du Daily Mail révèle qu’il vient de mettre 12 minutes seulement à pirater la future carte d’identité britannique, elle aussi « sécurisée » par la RFiD.
Annoncée la semaine passé, cette carte d’identité sera similaire aux 51 000 d’ores et déjà délivrées à ressortissants étrangers qui travaillent ou étudient au Royaume-Uni.
Elle comporte les noms, prénoms, date de naissance, caractéristiques physiques, empreintes digitales de son titulaire, mais aussi s’il a le droit à des aides de l’Etat, le tout étant sécurisé au moyen d’une puce électronique RFiD (sans contact) censée rendre la carte d’identité « impiratable ».
Voire : muni de son téléphone mobile et d’un ordinateur portable, Adam Laurie a d’abord cracké l’algorithme de sécurité de la puce RFiD « sécurisée », copié toutes les données qu’elle contenait, avant de cloner la carte d’identité en… 12 minutes.
Petit détail : il a aussi réussi à modifier toutes les données de la carte : nom, caractéristiques physiques, empreintes digitales, droits aux prestations sociales…
Afin de signer son exploit, et d’éviter que la carte clonée ne puisse être utilisée à de vils desseins, il a aussi tenu à rajouter, à l’intention des autorités, cette petite dédicace :
Je suis un terroriste. Tirez à vue.
Parodie de la carte d’identité britanniqueLes cartes seront adossées à une base de données, le National Identity Register, répertoriant 50 données personnelles, qu’elles soient biométriques (photo d’identité, empreintes digitales, etc.), administratives (adresse, n° de sécurité sociale, n° de passeport et de permis de conduire), etc.
Le simple fait de ne pas notifier un changement d’adresse pourra valoir aux contrevenants une amende de 1000 livres (1180 euros).
Jusqu’alors, seuls les immigrés extra-européens, et les salariés des aéroports, devaient être obligés d’avoir une telle carte d’identité. Face aux protestations des syndicats, seuls les étrangers devront finalement en être dotés. D’ici la fin de l’année, 75 000 devraient ainsi avoir été délivrées.
Au-delà des problèmes que cela pourra posé au gouvernement en matière de lutte contre le terrorisme ou l’immigration illégale, Adam Laurie s’inquiète surtout des conséquences que cela pourra entraîner, pour ceux qui verront leur identité usurpée :
Ma principale préoccupation est que si quelqu’un est victime du type d’usurpation d’identité que nous venons de démontrer, il lui sera très difficile de démontrer son innocence si la copie de sa carte d’identité est utilisée pour commettre un crime.
Dernier petit « détail » : le coût du projet de carte d’identité britannique, qui devrait commencer à être déployé d’ici la fin de l’année, et ne sera obligatoire que pour les étrangers* ? 5,4 milliards de livres (6,4 milliards d’euros).
* les syndicats ont tellement protesté que même les employés des aéroports, qui étaient initialement les seuls Britanniques à devoir impérativement être dotés de telles cartes d’identité, ne seront pas obligés de s’y ficher. Et pour ceux qui ne l’auraient pas bien compris, ou qui l’ignoraient jusque là : non, les Britanniques, pas plus que les Américains, n’ont de carte d’identité.
Plus d’informations sur l’Identity & Passport Service du gouvernement britannique, ainsi que sur no2id.net, le site de référence des opposants à ce projet d’où sont issues les illustrations de ce billet.
Voir aussi le billet que j’avais consacré au projet français de papiers d’identité sécurisés : Policiers et… sans papiers.