Faille Infineon : l’Estonie retire ses e-cartes d’identité du circuit

La faille Infineon a été découverte dans le courant du mois d’octobre, mais le nombre de systèmes et d’utilisateurs affectés par cette faille de sécurité n’est pas encore complètement identifié. Cette faille avait été détectée dans l’une des librairies utilisées par le fondeur Infineon, une société spécialisée dans les cartes à puces. Les cartes d’identité électroniques émises par l’Estonie à destination de ses citoyens sont affectées par cette faille de sécurité, ce qui peut permettre à des criminels d’usurper l’identité d’un citoyen estonien sur différents services en lignes et services de l’état.

En conséquence, le Premier ministre Jüri Ratas a annoncé que les certificats utilisés par plus de 750.000 cartes d’identités estoniennes seraient révoqués dans la nuit du 3 novembre comme le rapporte Reuters. Celles-ci seront donc inutilisables sur les services en ligne estoniens.

 


L’Estonie se distingue par le développement de ses outils d’identifications en ligne et se présente fréquemment comme un exemple en termes d’e-administration. Les titulaires d’une carte d’identité peuvent ainsi choisir de bénéficier de nombreux services administratifs de façon complètement dématérialisée à l’aide de leurs identités en ligne. Celle-ci est censée être garantie par la protection cryptographique offerte par les cartes à puces, mais elles ne sont pas à l’abri des failles.

Le ministre précise qu’à l’heure actuelle, aucune attaque informatique n’a été détectée visant les cartes vulnérables. Mais le risque est aujourd’hui trop grand pour les citoyens estoniens et le gouvernement préfère prendre des mesures drastiques pour éviter les problèmes.

La faille de sécurité détectée par les chercheurs affecte plusieurs modèles de puces produites par la société Infineon, des puces utilisées dans de nombreux produits. Le fondeur a publié des correctifs pour les équipements touchés, mais dans le cas de carte à puces, ceux-ci ne peuvent pas être appliqués facilement par les utilisateurs.

Les citoyens affectés par cette mesure de sécurité devront donc se présenter aux commissariats de police afin de mettre à jour leurs cartes d’identité, condition sine qua non pour accéder à nouveau aux services administratifs en ligne. Les utilisateurs qui ne mettraient pas à jour leur carte n’auront plus accès à ces services à partir du 3 novembre à minuit.

ZDNet