Le plus gros problème la dessus c’est "la base de donnée centralisée" et l’article n’insiste pas assez dessus. Le fait que le passeport soit biométrique en soit n’est pas tant un problème tant que les données n’en sortent pas et que la validation ne peut être faite que localement. Mais bien sur avec la BDD centrale ce n’est pas le cas et cela revient à prendre les empreintes de tous les citoyens dès qu’ils veulent sortir du pays.

Un bon système consisterait à acquérir les données biométriques sur un terminal, les crypter au moyen d’une clé publique (celle du passeport) adaptée et transmettre le tout au RFID via cryptage, certificats et tout le toutim. En réponse le passeport renvoie OK ou KO. Bien sur le terminal ne devrait pas conserver les informations. Malheureusement sur la biométrie, le hachage n’est à ma connaissance pas adaptée. Cela éliminerai pourtant beaucoup de problèmes.

Concernant la sécurité, oui il y a des risques de falsification comme dans tout système d’information. Le plus effrayant et que souvent les boites qui concoivent ca sont constitués de managers sans compétences techniques et donc on connait déja le résultat. Mais c’est avant tout la conséquence de la dévalorisation des postes techniques dans les grands groupes qui produisent ce résultat. Je ne suis donc pas surpris qu’on ait révélé des failles lors de la black hat.

Pour les menaces citées, laisser un buffer overflow dans un code aussi simple relève de la malveillance voir de la backdoor laissée intentionellement. Le problème est avant tout que des erreurs aussi simples sont systématiquement couvertes dans le monde de l’entreprise car faire tomber une boite pour cela reviendrait à faire tomber toute une hiérarchie de managers sans compétences techniques. Ils ne sont pas prêts de l’accepter.