Fin 2019, le gouvernement de la Nouvelle-Galles du Sud en Australie a déployé les permis de conduire numériques. Les nouvelles licences permettaient aux gens d’utiliser leur iPhone ou leur appareil Android pour présenter une preuve d’identité et d’âge lors des contrôles de police routiers ou dans les bars, magasins, hôtels et autres lieux. ServiceNSW, comme l’organisme gouvernemental est généralement appelé, a promis qu’il “fournirait des niveaux supplémentaires de sécurité et de protection contre la fraude d’identité, par rapport au plastique [driver’s license]» que les citoyens utilisaient depuis des décennies.
Aujourd’hui, 30 mois plus tard, des chercheurs en sécurité ont montré qu’il est trivial pour à peu près n’importe qui de falsifier de fausses identités à l’aide de permis de conduire numériques, ou DDL. Cette technique permet aux personnes n’ayant pas l’âge de boire de changer leur date de naissance et aux fraudeurs de se forger de fausses identités. Le processus prend bien moins d’une heure, ne nécessite aucun matériel spécial ou logiciel coûteux, et générera de fausses pièces d’identité qui passeront l’inspection à l’aide du système de vérification électronique utilisé par la police et les sites participants. Tout cela, malgré les assurances que la sécurité était une priorité clé pour le système DDL nouvellement créé.
“Pour être clair, nous pensons que si le permis de conduire numérique était amélioré en mettant en œuvre une conception plus sécurisée, alors la déclaration ci-dessus faite au nom de ServiceNSW serait en effet vraie, et nous convenons que le permis de conduire numérique fournirait des niveaux supplémentaires de sécurité contre la fraude par rapport au permis de conduire en plastique », a écrit Noah Farmer, le chercheur qui a identifié les failles, dans un article publié la semaine dernière.
Une meilleure souricière piratée avec un minimum d’effort
“Lorsqu’une victime sans méfiance scanne le code QR du fraudeur, tout sera vérifié et la victime ne saura pas que le fraudeur a combiné sa propre photo d’identité avec les détails du permis de conduire volé de quelqu’un”, a-t-il poursuivi. Cependant, dans l’état actuel des choses au cours des 30 derniers mois, les DDL permettent “aux utilisateurs malveillants de générer [a] permis de conduire numérique frauduleux avec un minimum d’effort sur les appareils jailbreakés et non jailbreakés sans qu’il soit nécessaire de modifier ou de reconditionner l’application mobile elle-même.
Publicité
Les DDL nécessitent une application iOS ou Android qui affiche les informations d’identification de chaque personne. La même application permet à la police et aux sites de vérifier que les informations d’identification sont authentiques. Les fonctionnalités conçues pour confirmer que l’ID est authentique et à jour incluent :
- Logo animé du gouvernement NSW.
- Affichage de la date et de l’heure du dernier rafraîchissement.
- Un code QR expire et se recharge.
- Un hologramme qui se déplace lorsque le téléphone est incliné.
- Un filigrane qui correspond à la photo de licence.
- Détails de l’adresse qui ne nécessitent pas de défilement.
Étonnamment simple
La technique pour surmonter ces garanties est étonnamment simple. La clé est la capacité de forcer brutalement le code PIN qui crypte les données. Comme il ne comporte que quatre chiffres, il n’y a que 10 000 combinaisons possibles. En utilisant des scripts accessibles au public et un ordinateur de base, quelqu’un peut apprendre la bonne combinaison en quelques minutes, comme le montre cette vidéo, montrant le processus sur un iPhone.
Preuve de concept du permis de conduire numérique ServiceNSW : code PIN brutal.
Une fois qu’un fraudeur a accès aux données de licence DDL cryptées de quelqu’un, soit avec autorisation, en volant une copie stockée dans une sauvegarde de l’iPhone, soit par compromis à distance, la force brute lui donne la possibilité de lire et de modifier toutes les données stockées sur le fichier. .
À partir de là, il s’agit d’utiliser un simple logiciel de force brute et des fonctions standard de smartphone et d’ordinateur pour extraire le fichier stockant les informations d’identification, le déchiffrer, modifier le texte, le rechiffrer et le recopier sur l’appareil. Les étapes précises sur un iPhone sont :
- Utilisez la sauvegarde iTunes pour copier le contenu de l’iPhone stockant les informations d’identification que le fraudeur souhaite modifier
- Extraire le fichier crypté de la sauvegarde stockée sur l’ordinateur
- Utilisez un logiciel de force brute pour décrypter le fichier
- Ouvrez le fichier dans un éditeur de texte et modifiez la date de naissance, l’adresse ou d’autres données qu’ils souhaitent falsifier
- Re-chiffrer le fichier
- Copiez le fichier rechiffré dans le dossier de sauvegarde et
- Restaurer la sauvegarde sur l’iPhone
Avec cela, l’application ServiceNSW affichera le faux identifiant et le présentera comme authentique.