L'Estonie décide de suspendre 760 000 cartes d'identité numériques suite à la découverte d'une faille,
qui peut permettre le clonage d'identité
L'Estonie – et ses 1,3 million d'habitants – est connue pour ses avancées technologiques. Il n'est donc pas étonnant d'y voir répandue l'utilisation de la carte d'identité numérique. Celle-ci sert non seulement à identifier son détenteur dans un environnement réel et numérique, mais aussi lui permet d'apposer sa signature numérique sur tout document électronique. Toutefois, les autorités estoniennes ont décidé de bloquer et de désactiver plus de 760 000 cartes d'identité électroniques nationales en raison d'une vulnérabilité cryptographique qui pourrait permettre aux attaquants de cloner des identités et de falsifier des identités.
La vulnérabilité est connue sous le nom de ROCA et a été découverte le 16 octobre 2017. Le bogue de chiffrement affecte les chipsets TPM fabriqués par Infineon. Une vulnérabilité dans le microprogramme des chipsets Infineon TPM entraîne la génération de clés cryptographiques RSA faibles qui pourraient permettre à un attaquant de déterminer la clé RSA privée correspondant à une clé publique RSA.
Aussi, lors d’une réunion du cabinet qui a eu lieu le 2 novembre dernier, le gouvernement estonien a approuvé la proposition du Conseil estonien de la police et des gardes-frontières ainsi que de l'Information System Authority qui a recommandé de bloquer les certificats de cartes d'identité vulnérables dès le 3 novembre 2017 à minuit.
Bien entendu, toutes les cartes d'identité vont continuer de fonctionner comme des documents d'identification. Les cartes d'identité avec certificats bloqués peuvent être renouvelées aux points de service du Conseil de police et des gardes-frontières, qui est resté ouvert ce week-end à cet effet, et il est toujours possible de renouveler sa carte en ligne.
« Le fonctionnement d'un e-État est basé sur la confiance et l'État ne peut pas faire face au vol d'identité qui pourrait arriver au propriétaire d'une carte d'identité estonienne. À notre connaissance, il n'y a eu aucun cas de vol d'identité électronique, mais l'évaluation des menaces du Conseil de police et des gardes-frontières ainsi que de l'Information System Authority indiquent que cette menace est devenue réelle », a déclaré le Premier ministre Jüri Ratas. « En bloquant les certificats des cartes d'identité vulnérables, l'État assure la sécurité de la carte d'identité. »
Lorsque des chercheurs de la République tchèque ont découvert la faille, ils ont contacté Infineon et les entreprises qui utilisaient leurs chipsets pour générer et stocker des données cryptographiques. L'une d'entre elles était Gemalto AG, une société suisse qui a racheté Trub AG, la société d'origine qui fournissait les systèmes pour émettre et gérer le premier système électronique national d'identification d'Estonie. Une enquête supplémentaire a révélé que toutes les cartes d'identité estoniennes délivrées après le 16 octobre 2014 et jusqu'au 26 octobre 2017 utilisaient des clés cryptographiques faibles pour sécuriser les données du propriétaire de l'identité.
Depuis la mi-septembre, les autorités estoniennes se sont empressées d'informer le public sur l’existence de la faille afin que les propriétaires de ces cartes se tiennent prêts pour le moment où ils devraient les mettre à jour. Ce moment est enfin arrivé. Les autorités ont fait valoir que le danger que la menace à la sécurité devienne réelle est accru par le fait que la faille implique également d’autres hardwares dans le monde entier qui utilisent les jetons du même éditeur. Cette situation a attiré l'attention des réseaux internationaux de cybercriminalité, qui disposent de moyens importants pour tirer parti de la situation.
« Notre priorité est la protection des données de santé des personnes, c'est pourquoi le blocage des certificats est la seule option envisageable. Au cours des deux derniers mois, beaucoup de travail a été fait pour assurer le fonctionnement des services sociaux et de santé, même en cas de blocage des certificats d'identité. Cependant, certaines perturbations pourraient survenir dans les hôpitaux au cours des prochaines semaines, c'est pourquoi nous demandons aux patients de comprendre que cette étape protégera vos données », a déclaré Jevgeni Ossinovski, ministre estonien de la Santé et du Travail.
Toutes les personnes, pour qui il est essentiel de renouveler leur carte d'identité, peuvent le faire aux points de service de la police et de la police des frontières. Afin de garantir le fonctionnement de l'administration en ligne, seules les personnes qui doivent utiliser activement leur carte d'identité dans leur travail peuvent mettre à jour le certificat du 3 au 5 novembre. Il y a environ 35 000 de ces personnes, parmi lesquelles des médecins, des fonctionnaires du gouvernement travaillant dans le domaine de la justice, ainsi que des employés de l'état civil, qui seront d'abord servis au bureau du Conseil de police et des gardes-frontières.
Source : ID
Partager