Le chercheur en sécurité Wolfgang Ettlinger rappelle que, depuis 2010, l'Allemagne a ajouté une puce RFID à ses cartes d'identité. Elle permet par exemple de prouver son identité et son âge sur des sites en ligne, et de s'identifier automatiquement pour peu qu'on dispose d'un lecteur de carte RFID et d'un logiciel compatible sur son ordinateur.

Bien évidemment, les données envoyées sont signées pour éviter toute modification par des pirates. Problème, les chercheurs du SEC Consult Vulnerability Lab ont trouvé « une vulnérabilité permettant à un attaquant de manipuler les données de manière arbitraire sans invalider la signature », comme le rapporte Bleeping Computer . Elle se trouve dans le SDK Governikus Autent en version 3.8.1 ou inférieure.

Ainsi, « un attaquant pourrait exploiter cette vulnérabilité pour modifier les données provenant d'une carte d'identité, par exemple en changeant l'âge ou en s'identifiant sous un autre nom ». Les détails techniques de cette faille sont disponibles par ici.

Les autorités ont été informées de cette vulnérabilité en juillet et une version corrigée du SDK (estampillée 3.8.1.2) a été mise en ligne en août. Il est évidemment recommandé aux organisations utilisant encore une ancienne version de se mettre à jour au plus vite.

Les chercheurs indiquent enfin que cette attaque laisse « des traces identifiables » dans les logs.