Il y a deux aspects.

Primo, considérons seulement l’état de l’art immédiat : on vient de craquer un passeport en quatre heures, dans des conditions xyz. C’est déjà très inquiétant, puisque cela fournit une piste très concrète pour voler des identités électroniques massivement, dans des conditions d’impunité remarquables. Une complicité dans les postes, un PC et 400 € de matos, et hop, je copie l’intégralité du contenu de dizaines de passeports chaque jour. Sans même ouvrir les enveloppes, j’obtiens bien mieux qu’une photocopie : la copie conforme des fichiers. Dans le contexte britannique, cela permet par exemple de réaliser une pseudo photocopie de la page du passeport comprenant la photo, grâce à quoi des tas de formalités peuvent être accomplies. Celui qui capture ces identités n’a même pas besoin de les exploiter lui-même, il existe un marché florissant de l’identité numérique, en pleine croissance.

Mais cela n’est rien.

Secundo. Le passeport RFID a fait ses premiers pas en Europe début 2006. Quelques mois plus tard, Lukas Grunwald, en Allemagne, réussissait à cloner la puce RFID du sien. Sans la lire (cryptage). En novembre, comme je le rappelle dans mon billet, le Guardian titre « Cracked it ! ». Cette fois, on lit le contenu de la puce, mais après avoir ouvert le passeport (clé MRZ). Aujourd’hui, ce passeport a un an et on sait le lire en 4 heures, sans l’ouvrir. Tout indique que la cuirasse est trop mince et qu’il ne faudra pas des siècles pour mettre au point les armes qui permettront successivement toutes sortes de scénarios dont nous n’avons même pas idée. Je parie que les premiers emmerdes viendront bien avant que le premier passeport délivré n’arrive à sa date d’expiration, disons avant 2016.

On n’a jamais gagné une guerre en prenant ses adversaires pour des cons. Ce « proverbe » est largement vérifié en général, mais c’est surtout un principe fondamental de la sécurité électronique. Or il semble qu’il ait été totalement oublié dans cette affaire. Si la mafia ou Al Qaeda ne comprenait que des gens stupides, cela se saurait.