Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Par sécurité, la Californie dit non aux puces RFID dans les permis de conduire

Les files d'attente à la frontière mexicaine continueront

Par sécurité, la Californie dit non aux puces RFID dans les permis de conduire

Le 13 octobre 2015 à 08h30

La Californie étudiait depuis un certain temps la possibilité d’implanter une puce RFID dans les permis de conduire. Cette mesure a fait finalement long feu : le gouverneur Jerry Brown y a apposé son veto. Certaines craintes liées à la vie privée n’ont pas pu être apaisées.

Les puces RFID ont beau ne pas être une technologie récente et autoriser de nombreuses possibilités, elles ne font toujours pas l’unanimité. En Californie, il était ainsi envisagé depuis plusieurs années de les intégrer dans les permis de conduire en vue d’accélérer le passage de la douane entre les États-Unis et le Mexique. L’attente peut en effet y être particulièrement longue.

Dans la version finale du projet de loi proposé en septembre, il était pourtant fait clairement mention que l’introduction de la puce RFID ne pouvait se faire que via une démarche volontaire de l’usager. Pas question de la rendre obligatoire à l’échelle de l’État tout entier et de renouveler l’intégralité des permis. On est donc loin du cas allemand où les citoyens passent leur carte d'identité au micro-onde pour en détruire la puce.

Mais même ainsi, le texte a été rejeté. Le gouverneur de Californie, Jerry Brown, a utilisé son droit de veto pour rejeter la proposition. La décision est intervenue vendredi et a immédiatement été saluée par l’ACLU (American Civil Liberties Union), une puissante association de défense des libertés civiles. Dans un communiqué, elle indique que les risques pour la vie privée étaient trop grands, notamment parce que les informations contenues dans la puce n’auraient pas été chiffrées. La loi risquait en outre d’établir un lien faible entre le permis de conduire et casier judiciaire, « permettant potentiellement aux officiers de police de connaître la couleur de peau, le statut de citoyenneté et l’historique criminel avant même d’entrer en contact avec la personne ».

Notons quand même que dans sa note, le gouverneur de Californie indique comprendre et soutenir l'objectif final du texte, à savoir accélérer le passage des frontières. Il préfère cependant ne pas surcharger le Department of Motor Vehicles et s'appuyer en dernier recours sur un système existant, comme celui des passeports. 

Commentaires (40)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Ce n’est pas la première fois que je vois cette expression, mais qu’est-ce que ça veut dire “lien faible” ?

votre avatar







l’ACLU a écrit :



Dans un communiqué, elle indique que les risques pour la vie privée étaient trop grands, notamment parce que les informations contenues dans la puce n’auraient pas été chiffrées.





C’était dans le cahier des charges ou c’est une présomption ?







Dedrak a écrit :



Ce n’est pas la première fois que je vois cette expression, mais qu’est-ce que ça veut dire “lien faible” ?





tel que je le comprends, c’est “ne sert pas directement à ça mais permet quand même d’obtenir l’info indirectement”


votre avatar

Je n’arrive toujours pas à comprendre l’intérêt de la puce RFID dans les pièces d’identité. Un simple code barre (pour lire la référence de la carte) et une connexion internet (pour accéder aux bases de données) ne sont pas déjà largement suffisants ? (Comme c’est le cas par exemple sur la carte d’identité Française).



Et quoi qu’il arrive, alors que je n’arrive pas à mettre ma carte vitale à jour en me rendant régulièrement à une borne, comment pourra-t-on obliger les gens à mettre à jour leur carte d’identité, permis de conduire, etc, alors qu’ils n’en ont pas fondamentalement besoin. En bref, sans connexion internet sur l’équipement de lecture, la puce RFID ne permet pas de connaître le passif d’une personne (casier judiciaire, nombre de points restants, etc…). Elle ne sert donc à rien.



Le RFID ne permet qu’une chose face à une puce “normale” (celle de nos cartes à puce) : Lire la carte à distance (et potentiellement à l’insu du porteur de la carte.)

votre avatar







kwak-kwak a écrit :



Je n’arrive toujours pas à comprendre l’intérêt de la puce RFID dans les pièces d’identité. Un simple code barre (pour lire la référence de la carte) et une connexion internet (pour accéder aux bases de données) ne sont pas déjà largement suffisantes ? (Comme c’est le cas par exemple sur la carte d’identité Française).



Et quoi qu’il arrive, alors que je n’arrive pas à mettre ma carte vitale à jour en me rendant régulièrement à une borne, comment pourra-t-on obliger les gens à mettre à jour leur carte d’identité, permis de conduire, etc, alors qu’ils n’en ont pas fondamentalement besoin. En bref, sans connexion internet sur l’équipement de lecture, la pouce RFID ne permet pas de connaître le passif d’une personne (casier judiciaire, nombre de points restants, etc…). Elle ne sert donc à rien.







C’est plus dur à falsifier.


votre avatar

C’est quand même dingue qu’après toutes les polémiques sur les RFID, certains continuent d’y mettre des infos non chiffrées… Ils vivent dans un garage ou bien ?

votre avatar

avec du matériel adéquate faire des copies de puce RFID n’est pas compliqué… donc suffit juste ensuite de produire des copies et de les revendre au mexique. Et paf d’un coup tu aura passé la frontière 50x mex->us, sans jamais t’être rendu au mexique.



Sans oublier les amendes des gars qui auront une puce et un permis de conduit contrefait à ton identité.

votre avatar

Ça me fait penser que je me suis fait faire un passeport biométrique récemment, et je n’ai pas vérifié si les infos étaient chiffrées ou pas…



edit : A priori oui, mais certaines failles de crypto peuvent être utilisées….

votre avatar







ActionFighter a écrit :



Ça me fait penser que je me suis fait faire un passeport biométrique récemment, et je n’ai pas vérifié si les infos étaient chiffrées ou pas…



edit : A priori oui, mais certaines failles de crypto peuvent être utilisées….





Tu n’as qu’à mettre a jour le FW


votre avatar







risbo a écrit :



Tu n’as qu’à mettre a jour le FW





<img data-src=" />


votre avatar







kwak-kwak a écrit :



Le RFID ne permet qu’une chose face à une puce “normale” (celle de nos cartes à puce) : Lire la carte à distance (et potentiellement à l’insu du porteur de la carte.)





Qu’entend tu par “a distance” ?

On peut geolocaliser un porteur de carte avec puce RFID?


votre avatar







indyiv a écrit :



Qu’entend tu par “a distance” ?

On peut geolocaliser un porteur de carte avec puce RFID?





pour peu que tu aies assez de portiques/lecteurs un peu partout <img data-src=" />



Tu peux lire les infos de la puce (ou intercepter les échanges puce/lecteur) jusqu’à plusieurs mètres avec le matériel adéquat


votre avatar

Quelques mètres ça permet de récupérer les infos pour les copier, c’est comme le NFC c’est pour faire de la proximité comme son nom l’indique mais dans les faits on peut chopper une communication à plusieurs mètres également.



Donc chiffrer les infos c’est quand même mieux.



Edit : grillé

votre avatar







Dedrak a écrit :



Ce n’est pas la première fois que je vois cette expression, mais qu’est-ce que ça veut dire “lien faible” ?





Le lien fort implique une récursivité d’une base donnée à l’autre. En supposant que deux éléments puissent chacun te distinguer :




  • Le lien fort implique une relation unique dans les 2 sens (c’est à dire que si on connait un élément, on connait automatiquement l’autre)

  • Le lien faible ne permet la relation que dans 1 seul sens : connaitre un élément dans une base de donnée ne permet pas nécessairement de retrouver l’autre.





    Par exemple tu disposes de 2 identifiants uniques pouvant à eux seul t’identifier toi: Ton numéro de carte d’identité et tes empreintes digitales.

  • Ainsi un lien fort sur consisterait à stocker ces deux éléments ensemble dans une base de donnée: ainsi si on connait ton numéro de carte d’identité, on connait automatiquement tes empreintes digitales et vice-versa.

  • Un lien faible consisterait à stocker seulement ton numéro de carte d’identité dans la base de donnée gouvernementale, et le combo empreintes digitales + numéro de carte sur ta carte.

    Par exemple, si on relève tes empreintes digitales à un endroit, la seule base de donnée permettant de reconnaître ton identité via tes empreintes digitales est ta carte d’identité. Or pour te demander ta carte d’identité dans ce cas précis il faut déjà au préalable connaître ton identité: On ne pourra donc te retrouver que via des contrôles aléatoires.

    A l’inverse, si on a des doutes quant à savoir si la carte d’identité que tu présentes est bien la tienne, il suffira de relever tes empreintes et de les comparer avec celles stockées dans ta carte pour certifier que c’est bien toi.



    A noter que les liens faibles ont généralement tôt fait de devenir des liens forts via les fichiers de police et que ces derniers ne se privent pas pour stocker diverses informations à ton sujet (parfois légalement, parfois pas). Par exemple, le simple fait d’être suspecté d’avoir commis un crime justifie de relever tes empreintes génétiques. Ces dernières seront stockées pendant au moins 25 ans (tu peux refuser, mais ça te vaudra 1 an de prison et 15’000 d’amende)


votre avatar

Merci pour cette explication détaillée <img data-src=" />



Par contre, le prélèvement des empreintes génétiques concerne plus de personnes que ce que tu indiques je crois.

D’après Wikipedia (ça vaut ce que ça vaut), ça concerne aussi les atteintes aux intérêts fondamentaux de la nation, les actes de terrorisme, la fausse monnaie et l’association de malfaiteurs.

Des faucheurs d’OGM font partie des gens qui ont été condamnés pour avoir refusé de donner leur empreinte génétique.

votre avatar







floutchito a écrit :



C’est plus dur à falsifier.





Pas si le code barre (ou QR Code ou autre code permettant d’embarquer quelques ko) contient les mêmes infos que la carte, signées par une clé privée appartenant à l’état. Ainsi l’état peut signer de manière sûre les cartes attribuées, et même garder une trace de chaque signature sans garder une copie des infos présentes sur la carte.


votre avatar

je suis d’accord avec toi BUT (en anglais dans le texte) si les rosbeef avaient des cartes d’identités il y aurait sans doute moins de sans papier à calais…je dis ça, je dis rien

votre avatar

Il existe des sans papier parce qu’il existe des papiers. Au nom de quel droit pouvons nous refuser le droit à des gens de circuler ou de s’installer là où ils veulent. Qui a décrété que nous étions en droit supérieur de revendiquer un terrain, alors que dans un même temps on se revendique égaux. Honte à nous qui avons la mémoire si courte bien assis dans nos maisons chauffées alors que des gens dont la guerre et la misère a privé de tout essaye de fuir quelque part ou on ne les persécutera pas.

votre avatar

ne t’inquiette pas ils pourront bientot aller en angleterre….des que les brits voteront la sortie de l’ue la frontière entre eux et nous pourra etre ouverte….on empeche personne de sortir de l’europe :)

votre avatar

Et si y avait pas de CNI en France, ils se disperseraient sur tout le territoire <img data-src=" />

votre avatar

Bah non, une connexion internet cela coûte de l’argent à chaque interrogation et cela prend du temps surtout s’il faut aller interroger un serveur à l’autre bout de la planète. Le but ici est d’avoir les agents (police, douane, etc) équipés d’un simple terminal de lecture qui permet de vérifier que les données imprimées sur le passeport (nom, adresse, photo, etc…) sont bien celles inscrites dans la puce pour combattre facilement les documents volés sur lesquels la photo est juste remplacée.

votre avatar







MuadJC a écrit :



Ah, Godwin…



Puisque tu mets les pieds dans le plat, allons-y: tu oublies juste les numéros tatoués sur le bras…





Là aussi les allemands utilisaient un four pour effacer les données <img data-src=" />


votre avatar

Mais elle n’est pas du tout obligatoire la carte d’identité. <img data-src=" />

Même si Pôle-emploi impose d’en avoir une pour s’inscrire et que pas mal de services public sont hors la loi sur ce point. <img data-src=" />







Drepanocytose a écrit :



Là aussi les allemands utilisaient un four pour effacer les données <img data-src=" />





<img data-src=" /> <img data-src=" /> <img data-src=" /> <img data-src=" /> <img data-src=" /><img data-src=" />


votre avatar







kwak-kwak a écrit :



Par exemple, le simple fait d’être suspecté d’avoir commis un crime

justifie de relever tes empreintes génétiques. Ces dernières seront

stockées pendant au moins 25 ans (tu peux refuser, mais ça te vaudra 1

an de prison et 15’000 d’amende)





Les poursuites ne sont pas systématiques. Et ça ne se limite pas aux suspections de crimes, les délits aussi.


votre avatar







Drepanocytose a écrit :



Là aussi les allemands utilisaient un four pour effacer les données <img data-src=" />



J’ai l’impression que cette news commence à sentir le roussi… <img data-src=" />


votre avatar







floutchito a écrit :



C’est plus dur à falsifier.



Tu veux dire, comme cette blague de passeports biométriques?


votre avatar







floutchito a écrit :



C’est plus dur à falsifier.





Si tu veux un truc difficile à falsifier, une carte à puce fera largement l’affaire. Le RFID n’apporte que la possibilité de lire la carte à distance (sans avoir à placer la carte physiquement dans le lecteur, la distance étant variable selon la technologie) et n’apporte aucune sécurité supplémentaire face à une puce. D’ailleurs nombre de cartes sont hybrides puce + RFID (Pass Navigo, carte bleue, … )



Par contre le RFID implique le risque de lire la carte à l’insu de son propriétaire et d’intercepter les transaction avec un appareil de lecture, ce parfois à des distances 20 à 100 fois celles décrites par la norme à l’origine.


votre avatar

La personne à qui je répondais proposait de remplacer ça par un code barre 1D ou 2D. Je ne défends pas la RFID par principe.





Pas si le code barre (ou QR Code ou autre code permettant d’embarquer quelques ko) contient les mêmes infos que la carte, signées par une clé privée appartenant à l’état. Ainsi l’état peut signer de manière sûre les cartes attribuées, et même garder une trace de chaque signature sans garder une copie des infos présentes sur la carte.





La capacité de stockage maximale d’un QR Code est 4096 octets, si ma mémoire est bonne. La capacité d’une puce RFID est potentiellement illimitée.

votre avatar

Ca m’INtéresse, tu as de la documentation là dessus ?

J’ai pas dit que c’était infalsifiable, mais plus dur à falsifier qu’un code barre (1D ou 2D).

votre avatar







WereWindle a écrit :



pour peu que tu aies assez de portiques/lecteurs un peu partout <img data-src=" />



Tu peux lire les infos de la puce (ou intercepter les échanges puce/lecteur) jusqu’à plusieurs mètres avec le matériel adéquat







Pour développer, il faut comprendre ce qu’est le RFID. Le RFID implique tout un ensemble de technologie permettant de faire transiter des informations à distance. Et les puces RFID sont omniprésentes dans notre société.



Tu as une puce RFID dans ton pass Navigo si tu es Parisien (ou autre carte de transport en commun qu’il suffit de passer devant un lecteur). Il y en a une dans ton passeport, ou encore dans ta carte bleue. Pour ces cartes là il s’agit de puces de type NFC dont la portée est de l’ordre de 3 cm (plus d’1 mètre en mode hacking). Tu as aussi une puce RFID dans ton badge autoroute (télépéage) qui elle est alimenté par une pile pour en acroitre la portée.

L’ancêtre du RFID est l’antivol des magasins (qui fait bipper aux portiques): A l’origine ces antivols étant binaires “activé/ désactivés”. Aujourd’hui il s’agit de plus en plus de vraies puces RFID: à Décathlon par exemple, quand tu bippes, l’agent de sécurité sait exactement quel est le produit qui a bippé, son numéro de série (unique au monde) étant inscrit dans la puce RFID. La portée efficace de ces puces est de l’ordre de 2 mètres, plus de 20 mètres en mode hacking.

Il suffit que tu oublies d’enlever un seul de ces tags antivols (dans un sac par exemple, on les oublie souvent car ils ne grattent pas), et je pourrais te dire à chaque fois que ton sac passe à moins de 20 mètres de moi.



Avec ton passeport qui porte à 1 mètre, il suffit que je me mette derrière toi dans une queue pour que je puisse savoir qui tu es. Et en faisant le lien avec tes fringues il est techniquement possible de te suivre à la trace.


votre avatar

tout à fait.

On en trouve également une térachiée en logistique dans les entrepôts de stockage, et ce depuis assez longtemps <img data-src=" />


votre avatar

Tout ceci est vrai, mais dans le cas d’un passeport français (ISO 14443-4), l’identifiant présenté est généré de manière aléatoire à la lecture. Quand bien même tu interrogerais la puce, tu n’as pas de moyen de tracer un UID. Je ne sais pas si il est possible d’interroger l’UID de la puce en hackant, mais dans un premier temps, ça me parait plus compliqué que ce que tu explique.



Par ailleurs, les infos sont chiffrées dans la puce. Il faut la (bonne) clé pour ne serai-ce que lire les blocs chiffrés.



Concernant les Random ID :http://www.nxp.com/documents/application_note/AN10927.pdf (voir §2.1)

votre avatar

Les Nazi n’auraient pas fait mieux, la France <img data-src=" />

votre avatar







kwak-kwak a écrit :



Je n’arrive toujours pas à comprendre l’intérêt de la puce RFID dans les pièces d’identité. Un simple code barre (pour lire la référence de la carte) et une connexion internet (pour accéder aux bases de données) ne sont pas déjà largement suffisants ? (Comme c’est le cas par exemple sur la carte d’identité Française).



Et quoi qu’il arrive, alors que je n’arrive pas à mettre ma carte vitale à jour en me rendant régulièrement à une borne, comment pourra-t-on obliger les gens à mettre à jour leur carte d’identité, permis de conduire, etc, alors qu’ils n’en ont pas fondamentalement besoin. En bref, sans connexion internet sur l’équipement de lecture, la puce RFID ne permet pas de connaître le passif d’une personne (casier judiciaire, nombre de points restants, etc…). Elle ne sert donc à rien.



Le RFID ne permet qu’une chose face à une puce “normale” (celle de nos cartes à puce) : Lire la carte à distance (et potentiellement à l’insu du porteur de la carte.)







C’est justement à ça que ça sert, tu passe devant une voiture de police, et les flics te tombent dessus parcequ’il ont lu ta puce et rendu compte que n’avais pas payer tes PV. <img data-src=" />


votre avatar

J’ai une merveilleuse idée. Et si on renvoyait toutes ces merveilleuses technologies à la poubelle, y compris la traque administrative automatique de million d’individu, et le croisement de fichier qu’on se rappelait que la carte d’identité est un héritage de 39-45 et qu’on nous laissait vivre notre vie tranquillement.

C’est quand même fou que dans un état de droit il faille “prouver” à tout moment notre identité. Si la présomption&nbsp; d’innocence existe, c’est au détracteur de prouver que l’on ment. Donc en gros à la police de déterminer si notre identité est contraire à celle que l’on avance !

&nbsp;

Bravo la Californie pour cette décision humaine.

votre avatar







floutchito a écrit :



Ca m’INtéresse, tu as de la documentation là dessus ?

J’ai pas dit que c’était infalsifiable, mais plus dur à falsifier qu’un code barre (1D ou 2D).



Pas de doc précise, mais pas mal de témoignages : le passeport biométrique censé être inviolable s’est clairement fait violer dans tous les sens, et les fraudeurs n’ont pas plus de mal à le reproduire qu’un classique au final <img data-src=" />


votre avatar







Cartmaninpact a écrit :



Les Nazi n’auraient pas fait mieux, la France <img data-src=" />



Ah, Godwin…



Puisque tu mets les pieds dans le plat, allons-y: tu oublies juste les numéros tatoués sur le bras…


votre avatar







MuadJC a écrit :



Ah, Godwin…



Puisque tu mets les pieds dans le plat, allons-y : tu oublies juste les numéros tatoués sur le bras…





tu aurais pu faire le triple combo mise à jour de la pratique + apport de précision + recentrer sur la news en proposant une implantation sous-cutanée de puce RFID <img data-src=" />


votre avatar

chez nous ils le nomment numéro de sécurité social.

votre avatar

et ils vous le tatouent ?

votre avatar

Je dirai même plus : on vous parque dans des camps de concentration en vous faisant subir des “expériences” ou du travail jusqu’à ce que mort s’en suive ?

Par sécurité, la Californie dit non aux puces RFID dans les permis de conduire

Fermer