Fin 2019, le gouvernement de la Nouvelle-Galles du Sud en Australie a déployé les permis de conduire numériques. Les nouvelles licences permettaient aux gens d’utiliser leur iPhone ou leur appareil Android pour présenter une preuve d’identité et d’âge lors des contrôles de police routiers ou dans les bars, magasins, hôtels et autres lieux. ServiceNSW, comme l’organisme gouvernemental est généralement appelé, a promis qu’il « fournirait des niveaux supplémentaires de sécurité et de protection contre la fraude d’identité, par rapport au plastique [driver’s license]» que les citoyens utilisaient depuis des décennies.

Aujourd’hui, 30 mois plus tard, des chercheurs en sécurité ont montré qu’il est trivial pour à peu près n’importe qui de falsifier de fausses identités à l’aide de permis de conduire numériques, ou DDL. Cette technique permet aux personnes n’ayant pas l’âge de boire de changer leur date de naissance et aux fraudeurs de falsifier de fausses identités. Le processus prend bien moins d’une heure, ne nécessite aucun matériel spécial ou logiciel coûteux, et générera de fausses pièces d’identité qui passeront l’inspection à l’aide du système de vérification électronique utilisé par la police et les sites participants. Tout cela, malgré les assurances que la sécurité était une priorité clé pour le système DDL nouvellement créé.

« Pour être clair, nous pensons que si le permis de conduire numérique était amélioré en mettant en œuvre une conception plus sécurisée, alors la déclaration ci-dessus faite au nom de ServiceNSW serait en effet vraie, et nous convenons que le permis de conduire numérique fournirait des niveaux supplémentaires de sécurité contre la fraude par rapport au permis de conduire en plastique », a écrit Noah Farmer, le chercheur qui a identifié les failles, dans un article publié la semaine dernière.

Une meilleure souricière piratée avec un minimum d’effort

« Lorsqu’une victime sans méfiance scanne le code QR du fraudeur, tout sera vérifié et la victime ne saura pas que le fraudeur a combiné sa propre photo d’identité avec les détails du permis de conduire volé de quelqu’un », a-t-il poursuivi. Cependant, dans l’état actuel des choses au cours des 30 derniers mois, les DDL permettent « aux utilisateurs malveillants de générer [a] permis de conduire numérique frauduleux avec un minimum d’effort sur les appareils jailbreakés et non jailbreakés sans qu’il soit nécessaire de modifier ou de reconditionner l’application mobile elle-même.

Les DDL nécessitent une application iOS ou Android qui affiche les informations d’identification de chaque personne. La même application permet à la police et aux sites de vérifier que les informations d’identification sont authentiques. Les fonctionnalités conçues pour confirmer que l’ID est authentique et à jour incluent :

• Logo animé du gouvernement NSW.
• Affichage de la date et de l’heure du dernier rafraîchissement.
• Un code QR expire et se recharge.
• Un hologramme qui se déplace lorsque le téléphone est incliné.
• Un filigrane qui correspond à la photo de licence.
• Détails de l’adresse qui ne nécessitent pas de défilement.

Étonnamment simple

La technique pour surmonter ces garanties est étonnamment simple. La clé est la capacité de forcer brutalement le code PIN qui crypte les données. Comme il ne comporte que quatre chiffres, il n’y a que 10 000 combinaisons possibles. En utilisant des scripts accessibles au public et un ordinateur de base, quelqu’un peut apprendre la bonne combinaison en quelques minutes, comme le montre cette vidéo, montrant le processus sur un iPhone.

Une fois qu’un fraudeur a accès aux données de licence DDL cryptées de quelqu’un, soit avec autorisation, en volant une copie stockée dans une sauvegarde de l’iPhone, soit par compromis à distance, la force brute lui donne la possibilité de lire et de modifier toutes les données stockées sur le fichier. .

À partir de là, il s’agit d’utiliser un simple logiciel de force brute et des fonctions standard de smartphone et d’ordinateur pour extraire le fichier stockant les informations d’identification, le déchiffrer, modifier le texte, le rechiffrer et le recopier sur l’appareil. Les étapes précises sur un iPhone sont :

• Utilisez la sauvegarde iTunes pour copier le contenu de l’iPhone stockant les informations d’identification que le fraudeur souhaite modifier
• Extraire le fichier crypté de la sauvegarde stockée sur l’ordinateur
• Utilisez un logiciel de force brute pour décrypter le fichier
• Ouvrez le fichier dans un éditeur de texte et modifiez la date de naissance, l’adresse ou d’autres données qu’ils souhaitent falsifier
• Re-chiffrer le fichier
• Copiez le fichier rechiffré dans le dossier de sauvegarde et
• Restaurer la sauvegarde sur l’iPhone

Avec cela, l’application ServiceNSW affichera le faux ID et le présentera comme authentique.

La vidéo suivante montre l’ensemble du processus du début à la fin.

Mort par 1 000 défauts

Une variété de défauts de conception rendent ce hack simple possible.

Le premier est un manque de cryptage adéquat. Une clé basée sur un code PIN à quatre chiffres est terriblement inadéquate. Apple fournit une fonction nommée SecRandomCopyBytes pour produire des octets aléatoires pouvant être utilisés pour générer des clés sécurisées. « Si cela était utilisé pour crypter le permis de conduire numérique plutôt que le code PIN à 4 chiffres, cela rendrait la tâche de force brute beaucoup plus difficile, voire complètement impossible pour les attaquants », a écrit Farmer.

Le prochain défaut majeur est que, étonnamment, Les données DDL ne sont jamais validées par rapport à la base de données principale pour s’assurer que ce qui est stocké sur l’iPhone correspond aux enregistrements conservés par le ministère. Sans aucun moyen de valider nativement les données, il n’y a aucun moyen de savoir quand des informations ont été falsifiées. En conséquence, les attaquants peuvent afficher les données falsifiées sur l’application Service NSW sans aucun moyen d’empêcher ou de détecter la fraude.

La troisième lacune est que l’utilisation de la fonction « pull-to-refresh » – une pierre angulaire du schéma de vérification DDL destiné à garantir que les informations les plus récentes s’affichent –ne parvient pas à actualiser l’une des données stocké dans l’identifiant électronique. Au lieu de cela, il met à jour uniquement le code QR. Une meilleure réponse serait que la fonction pull-to-refresh télécharge la dernière copie du DDL à partir de la base de données ServiceNSW.

Quatrièmement, le code QR ne transmet que le Nom et statut du titulaire du DDL comme étant âgé de plus ou de moins de 18 ans. Le code QR est censé permettre à la personne vérifiant la pièce d’identité de la scanner avec sa propre application ServiceNSW pour valider que les données présentées sont authentiques. Pour contourner la vérification, un fraudeur n’a qu’à obtenir les détails du permis de conduire à partir d’un DDL volé ou obtenu d’une autre manière et à le remplacer localement sur son téléphone.

« Lorsqu’une victime sans méfiance scanne le code QR du fraudeur, tout sera vérifié et la victime ne saura pas que le fraudeur a combiné sa propre photo d’identité avec les détails du permis de conduire volé de quelqu’un », a expliqué Farmer. Si le système avait renvoyé les données d’image légitimes, la partie chargée de la numérisation aurait facilement vu que le fraudeur avait falsifié le DDL, car le visage renvoyé par Service NSW ne correspondrait pas au visage affiché sur l’application.

Le dernier défaut identifié par le chercheur était que l’application permet aux données qu’il stocke d’être sauvegardées et restaurées du tout. Alors que tous les fichiers stockés dans les dossiers Documents et Bibliothèque/Application Support/ sont sauvegardés par défaut, iOS permet aux développeurs d’exclure facilement certains fichiers de la sauvegarde en appelant NSURL setResourceValue:forKey:error: avec le NSURLIsExcludedFromBackupKey clé.

Avec 4 millions d’habitants de NSW signalés utilisant les DDL, la gaffe pourrait avoir de graves conséquences pour quiconque s’appuie sur les DDL pour vérifier les identités, les âges, les adresses ou d’autres informations personnelles. On ne sait pas comment ni même si Service NSW prévoit de répondre. Compte tenu des décalages horaires entre San Francisco et la Nouvelle-Galles du Sud, les responsables du département n’étaient pas immédiatement disponibles pour commenter.

L’agriculteur a noté ce tweet, qui a appelé un bar d’hôtel pour avoir refusé de servir quelqu’un qui n’avait qu’une pièce d’identité physique et n’acceptait à la place que des DDL. « Je connais 10 enfants que vous laissez entrer régulièrement avec de fausses licences numériques parce qu’elles sont faciles à fabriquer », a déclaré la personne.

Bien que la véracité de cette affirmation ne puisse pas être vérifiée, cela semble certainement plausible, compte tenu de la facilité et de l’efficacité du hack montré ici.