Les États Unis Le gouvernement est connu pour adopter une approche « mieux vaut tard que jamais » pour ses déploiements technologiques. Fidèle à cette tradition, le US Customs and Border Protection (CBP) a confirmé aujourd’hui qu’après 16 ans, il a enfin effectué les mises à niveau logicielles nécessaires pour vérifier les signatures cryptographiques stockées dans les puces RFID des passeports.
Depuis 2006, les États-Unis et de nombreux autres pays ont intégré ces petites puces dans le panneau arrière de leurs passeports, ou « passeports électroniques », comme on les appelle. La puce stocke numériquement les informations d’identification personnelle du propriétaire du document, y compris le nom, la date de naissance, le numéro de passeport et les données biométriques comme votre photo, ainsi qu’une signature cryptographique destinée à agir comme un contrôle contre la falsification ou les contrefaçons. Pendant des années, les États-Unis ont exigé que les pays exemptés de visa délivrent des passeports électroniques à leurs citoyens qui souhaitent entrer aux États-Unis. Pourtant, pendant tout ce temps, le CBP n’avait pas réellement déployé le logiciel pour exécuter ces contrôles de validité.
Début 2018, le sénateur américain Ron Wyden de l’Oregon et l’ancienne sénatrice Claire McCaskill du Missouri ont écrit une lettre au CBP appelant l’agence à mettre en œuvre la vérification cryptographique, étant donné que l’infrastructure de passeport électronique RFID était en place depuis des années. La semaine dernière, cinq ans après cette demande, le CBP a informé le bureau de Wyden que le système de vérification des passeports électroniques était opérationnel depuis juin 2022.
Le CBP affirme que jusqu’à présent, le processus de validation a vérifié plus de 3 millions de passeports de voyageurs du programme Visa Waiver et a “contribué” à l’arrestation de 12 personnes qui auraient tenté d’entrer aux États-Unis avec une identification “frauduleuse”.
“Lors du traitement primaire, la technologie du passeport électronique a alerté sur les documents, et les voyageurs ont été renvoyés au secondaire où les agents du CBP ont déterminé que les voyageurs étaient en possession de documents de voyage frauduleux”, indique l’agence dans un communiqué.
« L’amélioration de la sécurité des passeports est une façon sensée de s’assurer que les personnes qui entrent dans notre pays sont bien celles qu’elles prétendent être. Cela rend déjà l’Amérique plus sûre, sans recourir à des recherches invasives ou à des bases de données massives de données privées », a déclaré Wyden dans un communiqué à WIRED. “Je félicite le CBP d’avoir suivi et de s’assurer que les faussaires et les criminels ne peuvent pas utiliser de passeports frauduleux pour franchir la sécurité à la frontière.”
Bien que la vérification soit en cours depuis juin, le CBP affirme qu’il ne peut toujours pas vérifier les passeports électroniques délivrés par Andorre, le petit pays entre l’Espagne et la France qui compte moins de 80 000 habitants. En dehors de cela, cependant, le CBP exécute les contrôles de validation pour tous les pays d’exemption de visa.
“Il s’agissait d’un investissement majeur de la part des États-Unis, je suis donc ravi de voir qu’ils utilisent ces capacités et qu’ils fonctionnent comme ils sont censés le faire”, déclare Matthew Green, cryptographe à l’Université Johns Hopkins. “Ce système n’est vraiment qu’un contrôle de base pour aider à détecter les personnes voyageant avec de faux documents, ce que nous avons intérêt à faire. Et ce n’est pas aussi intrusif que la reconnaissance faciale ou d’autres systèmes déployés à la frontière, donc dans l’ensemble, cela semble être un bon système à activer.
Un rapport de 2010 du Government Accountability Office a présenté les arguments en faveur d’une mise en œuvre rapide de la vérification des signatures pour les passeports électroniques. Le département américain de la Sécurité intérieure (DHS) “n’a pas la capacité de vérifier complètement les signatures numériques car il… n’a pas implémenté la fonctionnalité système nécessaire pour effectuer la vérification”, écrivait alors le GAO. “La sécurité supplémentaire contre la falsification et la contrefaçon qui pourrait être fournie par l’inclusion de puces informatiques sur les passeports électroniques délivrés par les États-Unis et les pays étrangers … n’est pas pleinement réalisée.”
Plus d’une décennie et demie plus tard, la vérification de la signature numérique du passeport électronique est enfin quelque chose que le DHS peut cocher sur sa liste de tâches.