Paume faciale : Le gouvernement de la Nouvelle-Galles du Sud en Australie a introduit les permis de conduire numériques fin 2019, affirmant qu’ils étaient plus difficiles à falsifier que l’identification physique. Une société de sécurité a récemment expliqué plusieurs raisons pour lesquelles ce n’est pas le cas.
La semaine dernière, la société de sécurité Dvuln publié un rapport sur les multiples failles de sécurité qui facilitent la création d’un permis de conduire numérique (DDL) en Nouvelle-Galles du Sud. Cela pourrait être d’une grande aide pour les voleurs d’identité et les adolescents.
Quelques mois avant l’introduction des DDL, un développeur a tenu une présentation à PyCon Australia signalant des défauts dans leur conception et les signalant au gouvernement. Trois ans plus tard, Dvuln a expliqué les méthodes pour les falsifier et a signalé des rapports non vérifiés de mineurs utilisant de fausses pièces d’identité.
Le premier problème avec les DDL est que la seule chose qui protège leur cryptage est un code PIN à 4 chiffres que Dvuln a brutalement forcé en quelques minutes. Deuxièmement, aucun processus de vérification des DDL sur les appareils des utilisateurs n’a lieu. Un autre problème est que les sauvegardes d’appareils mobiles incluent les données d’un DDL, ce qui permet aux pirates de les modifier sans jailbreaker un téléphone. Se donner la peine de jailbreaker un appareil rend les contrefaçons encore plus faciles. La façon dont un DDL transmet l’âge d’un utilisateur est également vulnérable.
Combinées, ces failles permettent à un fraudeur de retirer relativement facilement une licence d’un appareil, de la modifier, de la chiffrer à nouveau et de la faire passer pour légitime. Cela peut même être plus facile que d’acquérir les matériaux pour forger une licence physique comme le bon plastique, le bon papier d’aluminium et l’imprimante. Dvuln ne suggère pas au gouvernement de supprimer les DDL, mais plutôt de les améliorer.
