d'après  - 06th August 2009

Adam Laurie est une figure du monde de la sécurité informatique, et donc des hackers, mais aussi la bête noire de ceux qui veulent faire rimer papiers d’identité sécurisés et puces électroniques RFiD (sans contact).

En 2006, il avait mis 48 heures à lire (et donc “pirater“) les données contenues dans la puce RFiD “sécurisée” du passeport électronique britannique. En 2007, il avait mis 4 heures…

Un article du Daily Mail révèle qu’il vient de mettre 12 minutes seulement à pirater la future carte d’identité britannique, elle aussi “sécurisée” par la RFiD.

Annoncée la semaine passé, cette carte d’identité sera similaire aux 51 000 d’ores et déjà délivrées à ressortissants étrangers qui travaillent ou étudient au Royaume-Uni.

Elle comporte les noms, prénoms, date de naissance, caractéristiques physiques, empreintes digitales de son titulaire, mais aussi s’il a le droit à des aides de l’Etat, le tout étant sécurisé au moyen d’une puce électronique RFiD (sans contact) censée rendre la carte d’identité “impiratable“.

Voire : muni de son téléphone mobile et d’un ordinateur portable, Adam Laurie a d’abord cracké l’algorithme de sécurité de la puce RFiD “sécurisée“, copié toutes les données qu’elle contenait, avant de cloner la carte d’identité en… 12 minutes.

Petit détail : il a aussi réussi à modifier toutes les données de la carte clonée : nom, caractéristiques physiques, empreintes digitales, droits aux prestations sociales…

Afin de signer son exploit, et d’éviter que la carte clonée ne puisse être utilisée à de vils desseins, il a aussi tenu à rajouter, à l’intention des autorités, cette petite dédicace :  " Je suis un terroriste. Tirez à vue."

Les cartes seront adossées à une base de données, le National Identity Register, répertoriant 50 données personnelles, qu’elles soient biométriques (photo d’identité, empreintes digitales, etc.), administratives (adresse, n° de sécurité sociale, n° de passeport et de permis de conduire), etc.

Le simple fait de ne pas notifier un changement d’adresse pourra valoir aux contrevenants une amende de 1000 livres (1180 euros).

Jusqu’alors, seuls les immigrés extra-européens, et les salariés des aéroports, devaient être obligés d’avoir une telle carte d’identité. Face aux protestations des syndicats, seuls les étrangers devront finalement en être dotés. D’ici la fin de l’année, 75 000 devraient ainsi avoir été délivrées.

Au-delà des problèmes que cela pourra posé au gouvernement en matière de lutte contre le terrorisme ou l’immigration illégale, Adam Laurie s’inquiète surtout des conséquences que cela pourra entraîner, pour ceux qui verront leur identité usurpée :

    Ma principale préoccupation est que si quelqu’un est victime du type d’usurpation d’identité que nous venons de démontrer, il lui sera très difficile de démontrer son innocence si la copie de sa carte d’identité est utilisée pour commettre un crime. 

Dernier petit “détail” : le coût du projet de carte d’identité britannique, qui devrait commencer à être déployé d’ici la fin de l’année, et ne sera obligatoire que pour les étrangers* ? 
5,4 milliards de livres (6,4 milliards d’euros).

* les syndicats ont tellement protesté que même les employés des aéroports, qui étaient initialement les seuls Britanniques à devoir impérativement être dotés de telles cartes d’identité, ne seront pas obligés de s’y ficher. Et pour ceux qui ne l’auraient pas bien compris, ou qui l’ignoraient jusque là : non, les Britanniques, pas plus que les Américains, n’ont de carte d’identité.

Plus d’informations sur l’Identity & Passport Service du gouvernement britannique, ainsi que sur no2id.net, le site de référence des opposants à ce projet d’où sont issues les illustrations de ce billet.

Voir aussi le billet que j’avais consacré au projet français de papiers d’identité sécurisés : Policiers et… sans papiers.

   1.

      Bonjour,

      Ce qui est trés bien c’est qu’un Hacker a encore la mentalité hackers, le fait d’annoncer une faille sans contrepartie d’argent, voilà le vrai hackers. Cela évite tout soucis quand à la mise en place de cette carte d’identité, encore faudrait il que les fabricants mettent leurs fiertés de côté et s’entourent des meilleurs…mais là c’est encore un autre problème et c’est l’Etat qui paye donc les Anglais…..
      Rédigé par : Florent | le 06 août 2009 à 14:39 | Alerter
   2.

      Il est à noter tout de même que le RFID est seulement un systeme de communication sans fil sans alimentation, il ne securise en soit rien du tout. C’est pour cette raison que les systemes faisant appel au RFID doivent être en plus dotés de leurs propres mesures de securité (cryptage par exemple.)

      Ceci etant dit, sous pretexte que la technologie semble “magique” pour le profane, la plupart des puces RFID integrent des protections tres mediocres. Ajoutez à cela qu’un RFID peut être interrogé à distance permet d’imaginer des applications malicieuses tres vastes.

      Mais comme c’est à la mode, on va en manger de plus en plus..

      Les outils RFID rendent possible un veritable flicage systematique et automatisé, le paradoxe est que cette capacité les rend aussi simple à abuser. Au final les informations resteront inexploitables par la police.
      Rédigé par : Laere | le 06 août 2009 à 14:49 | Alerter
   3.

      ce qui est surtout énorme c’est que ces anglais sont contre la carte d’identité pour le respect de leur vie privée alors que c’est à ma connaissance l’un des pays où il y a le plus de vidéo surveillance

      Alors dans un pays où la délation ne semble choquer personne le fait d’avoir une carte d’identité ne devrait pourtant plus être bloquant….

      incohérent!
      Rédigé par : shog | le 06 août 2009 à 14:59 | Alerter
   4.

      Pour shog : ce n’est pas la carte qu’ils rejettent, c’est le fait qu’elle est un des éléments d’un système qui va croiser et conserver de nombreuses données personnelles. La France a des lois qui interdisent le rapprochement de certaines données et par ailleurs notre carte d’identité (et le fichier central associé) ne porte que peu d’informations. Le projet anglais vise à faire une carte “universelle” contenant des données bien au delà de l’identité.

      La vidéosurveillance trace les gestes et les présences, elle ne permet pas de connaitre toute l’existence d’une personne.
      Rédigé par : Bob | le 06 août 2009 à 15:29 | Alerter
   5.

      “La vidéosurveillance trace les gestes et les présences, elle ne permet pas de connaitre toute l’existence d’une personne.
      ”

      c’est déjà trop !
      Rédigé par : oomu | le 06 août 2009 à 15:36 | Alerter
   6.

      Si la carte est adossée à une base de donnée cela veut dire qu’à chaque controle d’identité, la base centrale est interrogée et les données contenues sur la carte sont comparées à celle de la base ?
      Comment peut-on usurpé une carte ? si on vole une carte, on change la photo, les empreintes, etc; ca sera repéré via la comparaison à la base
      Dans ce cas à quoi sert la puce au final dans ce cas ? après tout il suffit d’avoir un numéro, une photo sur la carte et hop on interroge la base qui remonte toutes les données utiles

      Si les données dans la puce ne sont pas comparées systématiquement à la base, ca veut dire qu’on peut recréé un carte from scratch et donc toutes les données me correspondent systématiquement…

      Bref, pour moi, la puce introduit un risque supplémentaire de diffusion des données personnelles (quelqu’un qui craque votre carte, peut lire toutes vos données persos) mais pas d’usurpation d’identité si le système est bien conçu
      Rédigé par : Taz | le 06 août 2009 à 15:54 | Alerter
   7.

      Ce serait pas la photo de Georges Orwell par hasard ? Joli clin d’oeil si c’est le cas.
      Rédigé par : Orwell | le 06 août 2009 à 16:10 | Alerter
   8.

      @Bob: “La France a des lois qui interdisent le rapprochement de certaines données et par ailleurs notre carte d’identité (et le fichier central associé) ne porte que peu d’informations.”

      C’est également le cas des passeports ? Sachant que la puce RFID contient empreinte des 10 doigts, photo numerique et autres infos biométriques, ce serait suprenant qu’il n’y ait pas de BDD associée.

      D’ailleurs la France n’avait pas d’obligation de mettre l’empreinte des dix doigts, deux auraient été suffisant (10 c’est pour les criminels normalement, pas pour le citoyen lambda). A quand l’empreinte ADN dans les fichiers ?
      Rédigé par : foobar | le 06 août 2009 à 16:20 | Alerter
   9.

      Depuis l’introduction des systèmes de payement par carte, nous sommes traçable. Le GSM a fortement renforcé le phénomène ainsi que l’internet à domicile. Il est beaucoup plus facile actuellement pour une agence d’état de connaître les déplacements, les achats, les fréquentation et les centres d’intérêt d’un individus.

      Ce qui devient inquiétant c’est surtout le manque d’alternative à ces systèmes. Qui peut encore avoir une vie sociale sans carte de banque, GSM, échange d’information par internet … etc. Comme pour beaucoup de choses ce n’est pas l’existence de ces systèmes qui est inquiétant c’est le développement des conditions qui les rendent obligatoire. Pire, la non utilisation de ces technologies implique une volonté de dissimulation qui, en soit, risque d’être bientôt considérée comme une quasi preuve de culpabilité.
      Rédigé par : Mala | le 06 août 2009 à 16:20 | Alerter
  10.

      Orwell> Si, si, bien vu !
      http://threesixty360.files.wordpress.com/2008/07/georeorwell.jpg
      Rédigé par : Matthieu | le 06 août 2009 à 16:20 | Alerter
  11.

      C’est bien la photo d’Orwell, la plus connue de lui à mon avis.
      Rédigé par : i-blis | le 06 août 2009 à 16:22 | Alerter
  12.

      Il y en a depuis qu’il ont lu Orwell ils sont paranos.
      Rédigé par : sylvainD | le 06 août 2009 à 16:22 | Alerter
  13.

      En plus, c’est sous le nom de Winston Smith, de “1984?.
      Rédigé par : Mårten | le 06 août 2009 à 16:39 | Alerter
  14.

      Pour information, contrairement à ce qui est dit dans l’article, les Américains possèdent une carte d’identité.

      Pourriez-vous être plus précis, parce que selon Identity documents in the United States, From Wikipedia, the free encyclopedia :

      “There is no true national identity card in the United States of America, in the sense that there is no federal agency with nationwide jurisdiction that directly issues such cards to all American citizens. All legislative attempts to create one have failed due to tenacious opposition from liberal and conservative politicians alike, who regard the national identity card as the mark of a totalitarian society.”

      jmm
      Rédigé par : MME | le 06 août 2009 à 16:43 | Alerter
  15.

      Sans piece d’identite, difficile de faire des controle d’identite pour delit de sale gueule. Il faut un delit.
      La difference avec la France est de taille.
      Rédigé par : ernesto guevara | le 06 août 2009 à 16:43 | Alerter
  16.

      6,4 milliards d’euros pour rien, ou si … rendre les choses un peu plus compliqués, manipulables, falsifiables … :(
      Quel perte de temps et d’argent, pour une sécurité digne des plus belles passoirs ^^,
      Rédigé par : Cedric | le 06 août 2009 à 16:59 | Alerter
  17.

      Joli clin d’oeil en effet, la photo de Georges Orwell, mais aussi le nom de Winston Smith (le personnage principal de 1984, pour ceux qui ne s’en rappeleraient pas) et même la date de naissance, en 1948, soit l’année où a été écrit 1984, la totale en somme !
      Rédigé par : Kael | le 06 août 2009 à 17:05 | Alerter
  18.

      Je félicite tous les hackers qui démontrent à quel point notre société tente désespérément de maintenir un cap qui mène droit sur des récifs.

      Il ne manque que le pas suivant à franchir : puisque on peut pirater les passeports, plantons le RFiD directement dans le corps, comme cela se fait à titre ludique pour certaines discothèques en Espagne et ailleurs.

      Oui, mais…
      Je ne suis pas particulièrement axé sur la métaphysique et encore moins sur la théologie, mais je suis un peu mal à l’aise quand je lis, dans les textes de l’Apocalypse

      “Un troisième ange les suivit et dit à haute voix : “Celui qui adore la Bête et sa statue et en accepte la marque sur le front ou sur la main boira lui aussi du vin de l’indignation de Dieu, versé pur dans le calice de sa colère” ”

      Bon, à la rigueur on s’en fout, plus personne ne croit à plus rien. Mais alors pourquoi cela m’inquiète ?

      Vous savez, dans un monde où on vous dit que Dieu est mort mais qu’Elvis est vivant il faut bien réfléchir ce à quoi on veut croire…
      Je pense sincèrement que nous ne parlons pas d’un vieux barbu qui nous regarde depuis son nuage, mais bel bien d’un avertissement fait aux hommes quand à leur capable folie…

      Ce qu’on a tendance à oublier dans nos sociétés, c’est qu’en se trompant de chemin on arrive à une destination toute autre que celle prévue.

      M’enfin bon, moi pour ce que j’en dis…
      Rédigé par : El Dominisuisso | le 06 août 2009 à 17:06 | Alerter
  19.

      “Au-delà des problèmes que cela pourra posé au gouvernement en matière de lutte contre le terrorisme ou l’immigration illégale”

      Chercher l’erreur!!!!!
      Rédigé par : David | le 06 août 2009 à 17:09 | Alerter
  20.

      Question stupide:

      Pourquoi ne prévoient-ils d’interrupteur semblable à la gachette lock/unlock des cartes mémoires sd ou ms & Co, hitoire de pouvoir désactiver la fonction rfid quand celle-ci n’est pas nécessaire?

      Réponse naïve : parce que ce serait trop compliqué (les puces RFiD sont généralement passives), et que ça coûterait trop cher (les puces RFiD actives sont bien plus onéreuses) ?

      jmm
      Rédigé par : poiuytreza | le 06 août 2009 à 17:10 | Alerter
  21.

      “Pour information, contrairement à ce qui est dit dans l’article, les Américains possèdent une carte d’identité.”

      MME, non ils n’ont pas de carte d’identité a proprement dit, enfin pas a un niveau general (quel serait l’interet d’une carte d’identité, si les caracteristiques de celle ci change pour chaque état, puisque ce genre de chose ne releve pas encore de la securité national, donc pas au niveau federal). Ils ont ce qu’ils appellent les ID et qui sont plus souvent des permis de conduire (au format carte) ou des cartes annexes.
      Rédigé par : Garbarc | le 06 août 2009 à 17:47 | Alerter
  22.

      Merci pour ces infos…

      La “Carte universelle” me rappelle une excellente BD écrite par Vandhamme et Griffo dans les années 80 et… complétement d’actualité de nos jours.

      Ca s’appelle “SOS Bonheur” ou comment à vouloir le bonheur des gens, on leur produit un système inhumain.

      http://www.bedetheque.com/serie-63-BD-SOS-Bonheur.html
      Rédigé par : Suzette | le 06 août 2009 à 18:16 | Alerter
  23.

      Ce qui me parait incroyable dans tout cela (et si quelqu’un à des élements de réponses, qu’il n’hésite pas), c’est pourquoi il faut absolument que les cartes soient RFID (donc sans fil) plutôt que de simples cartes à puce.
      Personnellement, je ne crois pas au mythe du big brother, et pour vivre actuellement en Belgique, où toutes les données sont croisées, je trouve ça (naïvement peut être) pratique. Par contre, ce qui me choque, c’est cette volonté de lire à distance (même petite, mais froler le sac d’une personne suffit) !
      Pourquoi donc? Rapidité dans les aéroports?
      En tout état de cause, les sécurités des cartes à puces seront probablement jamais parfaites, et il faudra faire avec. Mais pourquoi prendre le risque de pouvoir se faire voler ses données à distance???!!
      Rédigé par : Pierre | le 06 août 2009 à 18:34 | Alerter
  24.

      […] Mais vous me direz tout de même pourquoi alors ?Parce que je jalouse leurs journaux peoples avec une nenettes en bikini à la fin …He non …Maisa ca parcontre : ))) […]
      Rédigé par : UK : Je suis un terroriste. Tirez à vue : Un Hack se paye la tronche des papiers Hight techs des Royaumes Uni | Business Commando | le 06 août 2009 à 19:07 | Alerter
  25.

      Tout ceci n’est encore qu’une contre information,pour habituer la plèbe à leur flicage par puce rfid.

      Dixit la nano puce,(injectable…par vaccin—->pandémie)-

      Les hackers sont ils au courant ?,je ne parle pas de ceux qui “servent” les Saigneurs…en nous pondant un simili hack de pseudo puce…

      De la publicité détournée,pour vous détourner de leur vrai objectif…
      Rédigé par : Freeman | le 06 août 2009 à 21:42 | Alerter
  26.

      Ah, en passant, le Canada aussi n’a pas de carte d’identité. Les canadiens ont un “certificat de citoyenneté”, mais il n’est jamais demandé. On se sert généralement de son permis de conduire, de format carte de crédit (les cartes à puce venant de faire “miraculeusement” leur apparition en… 2009 !).
      Rédigé par : Graeme | le 06 août 2009 à 22:41 | Alerter
  27.

      […] - Le superbe bide de la carte d’identité britanique. Bug Brother. […]
      Rédigé par : Villes - Le blog à Jef - Blog LeMonde.fr | le 06 août 2009 à 23:10 | Alerter
  28.

      Voila qui donne confiance en la technologie…

      http://miroir-politique.eklablog.com/
      Rédigé par : axeland | le 07 août 2009 à 00:32 | Alerter
  29.

      La facilité avec laquelle les donnée informatiques peuvent être modifiées ou appropriées met de manière éblouissante en lumière l’efficacité de loi telle que Hadopi.
      Nos députés lisent ils les articles de ce genre? Lisent ils tout simplement?
      Rédigé par : Guy | le 07 août 2009 à 05:25 | Alerter
  30.

      […] http://bugbrother.blog.lemonde.fr/2009/08/06/la-carte-didentite-uk-piratee-en-12/ […]
      Rédigé par : raffa's status on Friday, 07-Aug-09 05:53:24 UTC - Identi.ca | le 07 août 2009 à 06:53 | Alerter
  31.

      Aucun croisement des sources pour valider les infos techniques = article médiocre.
      Rédigé par : Dodot | le 07 août 2009 à 08:35 | Alerter
  32.

      Je cite :

      “Petit détail : il a aussi réussi à modifier toutes les données de la carte : nom, caractéristiques physiques, empreintes digitales, droits aux prestations sociales…”

      Le “hacker” et son pote “l’expert” ont une carte vierge, et ils ont modifié les infos sur cette carte vierge lors du clonage, pas sur la carte originale !!!

      Citation de l’article de Daily Mail :

      He then creates a cloned card, and with a little help from another technology expert, he changes all the information the card contains - the physical details of the bearer, name, fingerprints and so on. And he doesn’t stop there.

      With a few more keystrokes on his computer, Laurie changes the cloned card so that whereas the original card holder was not entitled to benefits, the cloned chip now reads ‘Entitled to benefits’.

      As a chilling twist, he adds a message that would be visible to any police officer or security official who scanned the card: ‘I am a terrorist - shoot on sight.’

      Vous avez raison, ce point pouvait prêter à confusion, j’ai donc modifier le billet en précisant qu’il s’agissait de la “carte clonée”.

      Quant au croisement des sources pour valider les infos techniques, il se trouve que le site d’Adam Laurie, a href=”http://rfidiot.org/”>RFiDiot.org n’a pas été mis à jour depuis février dernier, et ne donne donc pas les détails de ce qu’il a fait, mais si vous avez de plus amples éléments (autres que les articles sur ses précédents exploits et que j’ai mis en lien dans mon billet), je suis preneur.

      jmm
      Rédigé par : Dodot | le 07 août 2009 à 08:51 | Alerter
  33.

      Mais quels sont ces cris d’orfraie pour le fichage de vos données. Le fait de ne pas croiser les bases permet la fraude aux assedic, a l’URSSAF, à la CMU, au RMI (et j’en passe) au détriment de ceux qui en ont un besoin vital. Quel problème de ficher votre identité génétique ? En avez vous honte ?
      Si un criminel ou le violeur de vos enfants est identifié grâce à une base de données génétique est-ce immoral ? Arrêtez ce bien pensant permanent qui vous donne le rassurant sentiment d’être du côté des libertés individuelles. Les bonnes pensées sont systématiquement détournées et dévoyées au profit des plus tordus. Regrettons le mais admettons le.

      Le plus simple ne serait-il donc pas de nous implanter une puce RFiD sous-cutanée dès la naissance (voire à la majorité) ? Qui pourrait croire que de vils individus oseraient un jour en détourner l’utilisation par de “mauvaises pensées”…?

      jmm
      Rédigé par : gouadeg | le 07 août 2009 à 09:17 | Alerter
  34.

      Les RFID tout comme les autres technologies sans contact (dite “de proximité”), on un vice de conception : on peut scruter les échanges sans aucune difficulté et sans grande contrainte de distance.

      Ce point est une faille qui devrait de fait restreindre l’utilisation de ces technologies simplement au traçage d’objets et pas à l’identification (de personnes).

      Car, même si un bon chiffrement était utilisé (rarement le cas) il est techniquement impossible d’empêcher un clone dynamique par exemple : stimulation distante de la carte et reproduction distante du signal. En clair,utiliser à distance dans votre poche votre carte pour vous identifier sur un lecteur ou vous avez des droits à votre insu :(

      Une telle attaque est a contrario peu-probable pour des cartes avec contacts.

      Si les cartes sans contacts ont été poussées, c’est pour une simple raison de lobby : regardez qui possède leur brevets et qui possède ceux associés aux cartes avec contact : CQFD :)

      A+
      TM
      Rédigé par : testman | le 07 août 2009 à 09:29 | Alerter
  35.

      Lire les données de la carte d’identité, oui d’accord, mais ça n’a pas d’utilité. ça été fait sur le passeport biométrique aussi, et on s’en fiche. Fabriquer un clone avec les données lues, oui d’accord, mais ça na pas d’utilité non plus.

      Mais modifier les information comme vous l’affirmez, là en revanche vous racontez n’importe quoi ! Les données sont bien sur signées numériquement. Et générer une signature avec des données nouvelles, c’est impossible sauf à connaitre la clé privé ou à être capable de la retrouver à partir de la clé publique, ce qui reviendrait à savoir décomposer en facteurs premiers un très grand nombre ce qu’aucun mathématicien ne sait faire aujourd’hui. Alors votre hacker du dimanche …

      Comme indiqué plus haut, les données ont été modifiées dans la carte clonée, pas dans la carte d’origine. Et les problèmes posés sont non seulement ceux des faux papiers, mais aussi de l’usurpation d’identité.

      Quant à qualifier Adam Laurie de “hacker du dimanche”… non seulement c’est son métier (qu’il pratique depuis la fin des années 70), et il est reconnu dans le monde entier comme l’un des meilleurs spécialistes de ces questions, mais c’est aussi le seul, ce me semble, à avoir réussi à démontrer les vulnérabilités d’autant de titres d’identité soi-disant “sécurisés”.

      jmm
      Rédigé par : joel | le 07 août 2009 à 09:53 | Alerter
  36.

      Une collection publie des bouquins intéressants sur le sujet : c’est pièce et main d’oeuvre, le canard enchainé en a fait la promo il y a quelques temps.

      Leurs bouquins sont à peu près tous à cette page :
      http://www.amazon.fr/AujourdHui-Nanomonde-Pieces-Main-dOeu/dp/2915830258/ref=sr_1_5?ie=UTF8&qid=1249635323&sr=8-5

      Ils parlent particulièrement des nanotechnologies, Grenoble est à la pointe de cette technologie, des puces, des telephones portables, c’est très intéressant.
      Le futur de cette technologie balbutiante, le regard complaisant de la CNIL et des organismes d’état, le marketing des industriels du secteur qui l’emballent dans des fonctions de santé et de sécurité des enfants pour faire passer la pillule.

      Orwell a coté c’est vraiment angélique (parce qu’on n’anticipait pas tous les progrès et les applications nano)

      Bonne lecture

      HIDE YOUR LIFE
      Rédigé par : HYL | le 07 août 2009 à 10:00 | Alerter
  37.

      Tou cela est très intéressant, mais qu’en est-il de la carte d’identité française?

      Cela fait des années qu’on nous la promet (cf Policiers et… sans papiers, qui date de 2006), et cela fait des années qu’on l’attend…

      jmm
      Rédigé par : Ray | le 07 août 2009 à 11:13 | Alerter
  38.

      Piratée en 12’ ?
      Sans doute une nouvelle méthode de piratage : il suffirait d’incliner la carte de 0,2 degrés, soit 12 minutes d’angle, pour qu’elle livre ses secrets. Continuons cette intéressante lecture…
      Mais non, que je suis bête ! C’est juste que l’auteur ne fait pas la différence entre minutes d’angle (‘) et minutes de temps (mn). Bah, ce n’est pas grave, tout le monde n’a pas forcément une culture scientifique de base… un littéraire sans doute.

      Tiens, “la semaine passé”, “les cartes seront adossées à une base de données”, “devaient être obligés d’avoir”, “les problèmes que cela pourra posé”, “la carte …qui devrait commencer à être déployé”, “obligés de s’y ficher”, “j’ai donc modifier”, non finalement ce n’est pas non plus un littéraire. 

By Steve Boggan -   - 06th August 2009

But even by his standards, what he is about to demonstrate is mind-boggling - and deeply disturbing.

Laurie is holding one of 51,000 ID cards issued by the Home Office to foreign nationals currently working or studying in Britain. 
The new ID card design

Flawed: The new ID card design, with the same data we were able to forge

It is similar to the ID card for British citizens unveiled last week by Alan Johnson, the Home Secretary, as part of the Government's ongoing National Identity Scheme.

Embedded inside the card for foreigners is a microchip with the details of its bearer held in electronic form: name, date of birth, physical characteristics, fingerprints and so on, together with other information such as immigration status and whether the holder is entitled to State benefits.

This chip is the vital security measure that, so the Government believes, will make identity cards 'unforgeable'.

But as I watch, Laurie picks up a mobile phone and, using just the handset and a laptop computer, electronically copies the ID card microchip and all its information in a matter of minutes.

He then creates a cloned card, and with a little help from another technology expert, he changes all the information the card contains - the physical details of the bearer, name, fingerprints and so on. And he doesn't stop there.

With a few more keystrokes on his computer, Laurie changes the cloned card so that whereas the original card holder was not entitled to benefits, the cloned chip now reads 'Entitled to benefits'.

As a chilling twist, he adds a message that would be visible to any police officer or security official who scanned the card: 'I am a terrorist - shoot on sight.'

And all of this has been done in such a way as to fool the electronic readers intended to check the ID card's authenticity. It is, quite simply, a terrifying achievement.

For the implications of what he has demonstrated could scarcely be more serious. Laurie's fake card could be used to fool banks, commit fraud and maybe even illegally claim benefits or free NHS care.

More disturbing still, it could be used to cover the tracks of terrorists planning atrocities on British or foreign soil. By any sensible measure, his demonstration, as part of a special Mail investigation, should be the final nail in the coffin of the Government's £5.4-billion ID scheme.

The card unveiled by the Home Secretary will not hit the streets until the end of this year, so Laurie has not had the chance to test the precise design.

But according to the UK Identity And Passport Service, it is essentially the same and potentially just as vulnerable as the Home Office's 'foreign nationals' card we tested.

'It is the same technology,' a spokesman told me. 'We're not running two different systems. It is just the facade that is different.'

This does not augur well for the reputation of the supposedly fail-safe ID card. The Government says the scheme will be rolled out only on a 'voluntary' basis, beginning with a trial run in Manchester in November.

But if Labour wins the next General Election and continues with its current policy, the scheme will be expanded nationwide by 2012.

And, as many banks, businesses and public service providers start to require an ID card as part of routine identity checks, Labour hopes the public will feel it has little option other than to 'opt in' to carrying a card, if only to make life simpler.

But would you volunteer for one? The Government insists the technology is totally secure. This investigation shows that the very opposite is true.

Our inquiries began last December, when Adam Laurie and I approached the Home Office with our suspicions that ID cards for foreign nationals, issued for the first time just one month earlier, were potentially flawed.

Officials agreed to meet us to discuss our concerns - then cancelled at the last minute. So we decided to test the system for ourselves. It took us several months to persuade a foreign student to lend us his card to examine. But when we got one, even we were shocked by what we found.

Within 12 minutes of laying his hands on it, Laurie had made a clone. I'll explain what he did next, but first some background. 
Home Secretary Alan Johnson

Disturbing: The card, unveiled by Home Secretary Alan Johnson, will not hit the streets until next year

The Identity Cards Act introduced by Labour in 2006 states that the National Identity Register, which is the backbone of the scheme, may contain 50 separate categories of information about you.

These range from 'biometric data' - your physical characteristics, fingerprints, facial image and so on - to your current and previous addresses, your immigration status, your National Insurance, passport and driving licence numbers.

And, once registered for the scheme, if you fail to inform the Identity And Passport Service of any changes of address, you can be fined up to £1,000.

Contrary to common belief, only two sections of the community were ever to have been forced to have ID cards: foreign nationals from outside the EU wishing to reside in the UK and workers at airports. Now, following an outcry by the unions, only foreign nationals will be compelled to have them.

Even so, it is a huge project. By the end of this year, it is expected that 75,000 cards will have been issued, forming the basis of tougher immigration controls.

For our investigation we borrowed one of these cards from a foreign student whom we shall call Albert (he has asked that we do not use his true name).

About the size of a credit card, it displays his photograph, as well as printed details of his name, date of birth and so on. Embedded inside the plastic, however, is a computer chip that contains an additional digital record of all of these details, together with a copy of Albert's fingerprints.

This is called a Radio Frequency Identification (RFID) chip. It features a tiny antenna that allows the card to bounce back information when contacted by a special electronic 'reader' device.

And it is this which was supposed to be the 'unbreakable' security measure that would ensure ID cards could never be cloned or faked.

We set out to prove whether this was indeed the case, using technology that is freely available on the High Street. We have deliberately withheld some details of our procedure, so as not to encourage criminals. But at its simplest, this is how it works.

To create his 'clone', Adam Laurie studied the card to locate a particular set of numbers that are printed on it. (These provide a key to cracking the encryption on the chip but, for security reasons, we will not reveal where they are).

Laurie then inputted these numbers into a standard Nokia mobile phone, which comes pre-equipped with chip-scanning software.

In seconds, the phone was able to read and copy the readable digital information contained in the chip.

Laurie then held the phone against a blank plastic smart card, of the sort routinely used in office buildings for electronic entry systems or for Transport for London's Oyster cards, all of which contain similar RFID chips.

He was then able to download Albert's ID chip details on to the blank smart card, creating a perfect copy or 'clone'. So far, so extraordinary. But there is more.

Would we also be able to alter the cloned card, changing the details to match another person's data? In other words, would we be able to make an ID chip that was not only a copy of a genuine one, but was a tailor-made fake - the sort that would be much sought-after by any criminal or terrorist seeking the ultimate false proof of identity?

This was a more complex process because the ID chips are supposed to be tamper-proof. Each chip stores its holder's personal data in 16 separate files, known as 'datagroups'.
Nokias

Technology available on the High Street: Standard Nokias come equipped with chip-scanning software

So, for example, Number 1 datagroup has details of Albert's name, date of birth and so on. Number 2 holds a digital version of his photograph, Number 3 his fingerprints right through to Number 13, which holds details of his immigration status, and Number 14 which is reserved for future use - possibly iris scan data.

Each one of these files is supposed to be protected with a special digital key, so that if anyone attempts to change it, the card would be identifiable as a fake to any official with a digital chip reader.

To get round this hurdle, we recruited the help of another technology expert, Jeroen van Beek, an Amsterdam-based computer consultant who advises many top companies on digital security.

Drawing on the work of renowned New Zealand computer scientist Peter Gutmann, our team was able to alter the contents of each datagroup and then 'relock' them, so that the card would be accepted as genuine.

We had created a perfect fake chip. The Government's 'fail-safe' security had failed.

So how could we prove that our fake card would work in everyday use? Well, according to the Home Office's Identity And Passport Service (IPS) and the Government's Directgov website, there will be three methods used to verify ID cards as they slowly become more commonplace.

The first method is simply a visual check. You would present your ID card to a shopkeeper, bank worker, police officer or whoever and they would scrutinise the printed details on the card to confirm you were indeed the rightful holder.

The second would be an onsite check where your face or fingerprints would be compared with those held in the card chip. The third would be an electronic comparison of your face or fingerprints with those lodged on the National Identity Register when you applied for your card.

As for the first check, we have allowed ourselves the luxury of assuming that, in common with all official documents, the facade of the ID card will be faked at some point, in spite of some impressive security features.

Either that, or blank cards will be stolen to order. Last year, for example, 3,000 blank UK passports were spirited away while in transit.

Obviously, having changed the details on the chip, ours would fail the third check, the one against the information on the National Identity Register.

But the Identity And Passport Service doesn't expect most transactions to involve a check with the register, because it is likely to involve a charge to the user of about £2.

The most important check, therefore, and the one experts believe will be most commonplace, is the second one - the one where an electronic reader at a shop, bank, supermarket and so on would compare your fingerprints or facial image with that contained on your card's chip.
Chris Huhne

'Folly': Chris Huhne, Lib Dem Shadow Home Secretary, dubbed the venture an 'intrusion into our privacy'

So would our 'fake' card pass this test? Incredibly, even though more than 51,000 ID cards have already been issued, there are no official electronic readers to check them against, except at UK borders, where foreigners' ID cards have replaced old-style paper visas.

There, the readers must comply with standards set down by the International Civil Aviation Organization, a branch of the United Nations.

Its card and passport-checking software, called Golden Reader Tool, is designed to spot faked chips and will almost certainly be the system implemented in the next phase of the ID card scheme.

So we downloaded the latest version of Golden Reader and used it to test our cloned card. The card passed. We had created a perfect electronic forgery - one that could be used for any number of illegal activities.

This, however, was not enough to ring alarm bells at the Home Office.

When told of our investigation, a spokesman said: 'We are satisfied the personal data on the chip cannot be changed or modified and there is no evidence this has happened.

'The identity card includes a number of design and security features that are extremely difficult to replicate.

'We remain confident that the identity card is one of the most secure of its kind, fully meeting rigorous international standards.

That view is not shared by Ian Angell, professor of information systems at the London School of Economics. He said: 'This has put a huge nail in the coffin of the National Identity Scheme. The Government can no longer say ID cards will protect us from identity theft. You have proved that they won't.'

So what does all this mean? Well, technological fixes may eventually be available for all our hacks and fiddles.

Nevertheless, we have demonstrated that there are serious questions to be answered about the security of the whole project.

'If the Government is serious about preventing identity theft, then it really has to do better than this,' says Adam Laurie.

'My real concern is that if someone falls victim to an identity theft of the type we have demonstrated, it is going to be very hard for them to prove their innocence if that forged card is subsequently used to commit a crime.

'After all, the Government claims that the technology is foolproof.'

Even if we set aside such security concerns, it would appear that the whole ID scheme is in a shambolic state.

The Identity And Passport Service is currently issuing about 10,000 ID cards a month, but in the absence of any digital readers, any organisation that wants to check a card's authenticity is in for a shock.

The Home Office advises calling the UK Border Agency Card Verification Helpline. So I did just that. It took 19 minutes for someone to answer the phone.

Posing as a businessman, I said I had recently been shown a new ID card by a customer as proof of his identity and was uncertain whether I could rely on it. I was told to ask my customer for a 'second proof of identity'.

In other words, even the official ID card helpline says it's best to rely on other forms of identity. In which case, why bother having the cards at all?

So, the theory is flawed, the technology is flawed, and the checks on ID cards are either non-existent or woefully insufficient.

When we told Chris Huhne, the Liberal Democrat Shadow Home Secretary, about our findings, he was appalled.

'The Daily Mail's investigation has blown such a huge hole in the Government's ill-fated ID card scheme that it is now sinking beneath the waves,' he said.

'Surely it can only be a matter of time before Home Secretary Alan Johnson recognises the folly of continuing with this expensive and misguided intrusion into our privacy.'

How much more proof does the Government need before it bows to the inevitable and scraps this useless and nonsensical enterprise - and saves us £5 billion into the bargain?

Comments (41)

The UK Government will go ahead in order to ensure those who have bought into get contracts, make the expected amounts of public money to keep their shareholders paid up, to dump the project would upset a lot of wealthy cronies with a finger in the government IT pie...

- Mikhael, Moscow, Russia, 06/8/2009 14:36
Click to rate     Rating   14

Report abuse

it might have been said, but these cards are in no way voluntary - if you want a passport, or a driving license. They are mandatory in all but name and the reason is to give you a Universal Personal Identifier (UPN), a single number that will allow the government and any of their friends in business, to connect up all the disparate silos of data that currently exist on you - passport, anpr, anpr, mobile phone, email, interweb etc etc - so you can be tracked and analysed and behaviourally targetted and directed 24/7/365 every second of the day. Kiss goodbye to your freedom if they ever manage to get you on the National Identity Register and give you a National Identity Register Number (a UPN by another name). That's what they're after. That's what we have to stop. It's the database we have to stop.

- hieronymous p wilderbeest, london, 06/8/2009 13:35
Click to rate     Rating   20

Report abuse

The problem we have here, is the government is years behind the streets, and this just proves it. Many things that are supposedly 'untouchable' simply 'are' in this age of better technology. The whizzkids and cyber anarchists or, even those deemed as terrorists could easily reprogram these cards much like was stated and have shoot on sight on the cards of innocent British people.

- Andy, Carlisle, 06/8/2009 13:25
Click to rate     Rating   9

Report abuse

While it's bad enough that the cards can be forged, even more worrying is that New Labour is going to give the UK Police and Interpol access to the fingerprints on the ID database.

On 20th Feb 2007, Tony Blair publicly stated that:

"They will be able, for example, to compare the fingerprints found at the scene of some 900,000 unsolved crimes against the information held on the register."

But the biometric technology for fingerprint matching is fatally flawed - a National Physical Laboratory's feasibility study showed that good fingerprint systems were only able to achieve a false match rate of 1 in 100,000.

Which means that, with 60 million people on the register, everyone on it will (on average) match with the prints found at 9 of those 900,000 crime scenes that Blair mentioned.

- Brian Drury, London Colney, England, 06/8/2009 13:11
Click to rate     Rating   10

Report abuse

It's a rule of thumb, if they can build and secure it, we can copy and decrypt it. Why should ID cards be any different to any other security measure?

The security will defeat or put off the casual copier, but those with the funds, the will and the need to make copies for the black market won't be held up for long.

The real shame is the government has spent billions of our tax dollars without acknowledging this fact. Is it even a British company thats producing the cards? Or are these tax dollars going to another economy?

- Chris, Shrewsbury, 06/8/2009 13:04
Click to rate     Rating   12

Report abuse

Great, and wasn't the Titannic supposed to be unsinkable.

- The Old Dog, London, 06/8/2009 13:03
Click to rate     Rating   10

Read more: