AccueilActualités informatiqueID Wallet : le gouvernement allemand connaissait depuis longtemps la faille de...

ID Wallet : le gouvernement allemand connaissait depuis longtemps la faille de sécurité informatique

Table des matières

Le programme ID Wallet promu par la Chancellerie fédérale, grâce auquel les citoyens sont censés pouvoir s’identifier numériquement auprès de tiers, par exemple au moyen d’un permis de conduire, a d’abord échoué lamentablement en septembre : le prestataire de services Digital Enabling, mandaté par le gouvernement fédéral, a retiré l’application des magasins Google et Apple après les critiques massives des experts en sécurité et des utilisateurs. Aujourd’hui, grâce à une demande au titre de la loi sur la liberté d’information, il est apparu que le ministère fédéral de l’intérieur (BMI) était depuis longtemps au courant de l’une des principales vulnérabilités mises au jour.

Sommaire

ID Wallet fait partie du projet interministériel global « Ecosystem Digital Identities ». La société Digital Enabling, qui est soutenue par IBM Allemagne et la société de sécurité informatique Esatus, basée à Langen, avait déjà publié l’application dans une version antérieure en mai. Le précurseur Esatus Wallet était même disponible depuis la mi-février 2020. En mai, le gouvernement fédéral a lancé le premier projet pilote de l’écosystème prévu pour l’enregistrement numérique des hôtels avec des partenaires du secteur du voyage. À cette fin, le Bundesdruckerei a stocké les données d’identité du propriétaire, qu’il a vérifiées, sur l’ID Wallet.

Cependant, le concept a échoué en grande partie à l’Office fédéral de la sécurité de l’information (BSI). Le 11 mai, dans une évaluation du projet d’hôtel désormais publiée par le ministère fédéral de l’intérieur, celui-ci mettait notamment en garde contre la même faille de sécurité qui a conduit au fiasco, en septembre, de la variante ID Wallet étendue au permis de conduire numérique. En particulier, les utilisateurs de l’application ne peuvent pas voir à qui ils s’identifient. L’usurpation d’identité ainsi rendue possible sape la confiance dans l’application.

Le BSI exprime le problème de la manière suivante :  » L’authentification de l’utilisateur nécessaire à la réalisation d’un enregistrement dans un hôtel sur la base des facteurs de possession ( » secret de liaison « ) et de connaissance ( » PIN « ) est effectuée exclusivement sur la base du matériel clé stocké dans l’app wallet.  » Aucun support de stockage et de traitement électronique sécurisé séparément, tel qu’un « élément sécurisé » intégré dans les smartphones, n’est utilisé.

Les données personnelles seraient également cryptées par l’application uniquement au niveau du logiciel et, si nécessaire, décryptées après le déverrouillage du téléphone mobile au démarrage de l’application essentiellement via le code secret à six chiffres. Avec ces mesures techniques, les preuves d’identité vérifiables n’étaient « pas suffisamment protégées contre l’accès par des tiers ». Cela permet à des attaquants même peu expérimentés de copier et d’utiliser des « justificatifs » tels que l' »identifiant de base » utilisé ici à l’insu du propriétaire et sans connaître son code PIN.

Le BSI n’a donc accepté le test de l’enregistrement à l’hôtel que parce qu’il était limité aux téléphones portables de l’entreprise. Ceux-ci avaient au moins un secteur d’activité spécial à gérer afin d’atténuer les plus grands risques ainsi que des mesures organisationnelles supplémentaires.

Le BSI a expressément déconseillé toute utilisation ultérieure du concept au-delà du pilote. Elle a souligné d’autres « points relatifs à la sécurité », tels que le fait que l’utilisation de la solution basée sur la blockchain « augmente considérablement la complexité et donc la susceptibilité fondamentale aux vulnérabilités de sécurité de l’ensemble du système, avec des avantages peu clairs ». De nombreux objectifs pourraient également être mis en œuvre sur la base de techniques de cryptage classiques, telles qu’une infrastructure à clé publique.

Pour le fonctionnement du réseau blockchain et la preuve d’identité, on utilise des protocoles et des procédures cryptographiques qui ne sont « pas recommandés par le BSI », poursuit le document. En général, le test n’utilise pas de composants certifiés, à part l’identification avec la carte d’identité électronique.

Plus d'articles