ZDNet consacre un article relatif à la vulnérabilité du système de cartes à identité électronique (eID) utilisé par l’État allemand permettant d’usurper l’identité d’un autre citoyen lors de l’authentification eID.
La vulnérabilité ne réside pas dans la puce d’identification par radiofréquence (RFID) intégrée dans les cartes eID mais dans le SDK utilisé par les éditeurs de sites Internet souhaitant prendre en charge l’authentification eID. Governikus Autent SDK est l’un des SDK utilisés par les sites Internet et portails gouvernementaux pour prendre en charge les procédures de connexion et d’enregistrement basées sur l’eID.
La procédure d’authentification consiste à:
- insèrer sa carte eID dans un lecteur de carte ou utiliser son smartphone puis entrer son code PIN ;
- vérifier la demande de connexion via l’application client eID et produire une signature de vérification cryptographique renvoyée vers le service en ligne. La réponse eID (signature et données personnelles de l’utilisateur) envoyée au service en ligne permet de finaliser la procédure d’authentification basée sur l’eID.
La faille de sécurité se trouverait au niveau de la transmission des données personnelles de l’utilisateur.
Cependant, la vulnérabilité ne concerne pas tous les services prenant en charge l’authentification eID, notamment les services en ligne ayant mis en en œuvre la pseudonymisation (au lieu d’envoyer les données de l’utilisateur avec chaque demande d’authentification). En outre, toutes les réponses d’authentification eID étant journalisées, les attaques peuvent être détectées en temps réel, bloquant ainsi les attaquants qui tentent de falsifier leur identité avant de se connecter.
Il s’agit donc d’une faille différente du problème cryptographique découvert dans plus de 750.000 cartes d’identité estoniennes en 2017 ayant contraint le gouvernement estonien de remplacer toutes les cartes concernées pour empêcher les opérations frauduleuses sur les portails gouvernementaux.
https://www.bsi.bund.de/EN/Topics/ElectrIDDocuments/EID_node.html
https://sec-consult.com/en/blog/2018/11/my-name-is-johann-wolfgang-von-goethe-i-can-prove-it/
https://edri.org/estonian-eid-cryptography-mess-750000-cards-compromised/