ZDNet consacre un article relatif \u00e0 la vuln\u00e9rabilit\u00e9 du syst\u00e8me de cartes \u00e0 identit\u00e9 \u00e9lectronique (eID) utilis\u00e9 par l\u2019\u00c9tat allemand permettant d’usurper l’identit\u00e9 d’un autre citoyen lors de l’authentification eID.<\/p>\n
<\/p>\n
La vuln\u00e9rabilit\u00e9 ne r\u00e9side pas dans la puce d’identification par radiofr\u00e9quence (RFID) int\u00e9gr\u00e9e dans les cartes eID mais dans le SDK utilis\u00e9 par les \u00e9diteurs de sites Internet souhaitant prendre en charge l’authentification eID. Governikus Autent SDK est l’un des SDK utilis\u00e9s par les sites Internet et portails gouvernementaux pour prendre en charge les proc\u00e9dures de connexion et d’enregistrement bas\u00e9es sur l’eID.<\/p>\n
<\/p>\n
La proc\u00e9dure d’authentification consiste \u00e0:<\/p>\n
La faille de s\u00e9curit\u00e9 se trouverait au niveau de la transmission des donn\u00e9es personnelles de l’utilisateur.<\/p>\n
Cependant, la vuln\u00e9rabilit\u00e9 ne concerne pas tous les services prenant en charge l’authentification eID, notamment les services en ligne ayant mis en en \u0153uvre la pseudonymisation (au lieu d’envoyer les donn\u00e9es de l’utilisateur avec chaque demande d’authentification). En outre, toutes les r\u00e9ponses d’authentification eID \u00e9tant journalis\u00e9es, les attaques peuvent \u00eatre d\u00e9tect\u00e9es en temps r\u00e9el, bloquant ainsi les attaquants qui tentent de falsifier leur identit\u00e9 avant de se connecter.<\/p>\n
<\/p>\n
Il s\u2019agit donc d\u2019une faille diff\u00e9rente du probl\u00e8me cryptographique d\u00e9couvert dans plus de 750.000 cartes d’identit\u00e9 estoniennes en 2017 ayant contraint le gouvernement estonien de remplacer toutes les cartes concern\u00e9es pour emp\u00eacher les op\u00e9rations frauduleuses sur les portails gouvernementaux.<\/p>\n
<\/p>\n