{"id":309641,"date":"2022-08-12T12:03:25","date_gmt":"2022-08-12T14:03:25","guid":{"rendered":"https:\/\/teknomers.com\/fr\/grave-vulnerabilite-de-securite-decouverte-dans-le-processus-didentification-video\/"},"modified":"2022-08-12T12:03:28","modified_gmt":"2022-08-12T14:03:28","slug":"grave-vulnerabilite-de-securite-decouverte-dans-le-processus-didentification-video","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/grave-vulnerabilite-de-securite-decouverte-dans-le-processus-didentification-video\/","title":{"rendered":"Grave vuln\u00e9rabilit\u00e9 de s\u00e9curit\u00e9 d\u00e9couverte dans le processus d&#8217;identification vid\u00e9o"},"content":{"rendered":"\n<div>\n<p class=\"article__meta\">\n\t\t\t\t\t<span class=\"byline\"><span class=\"author vcard\">Par Rita Deutschbein<\/span><\/span>  | <span class=\"posted-on\">12 ao\u00fbt 2022 15 h 46<\/span>\t\t\t\t<\/p>\n<p><!-- .entry-meta --><\/p>\n<p class=\"article__summary\"><strong>La proc\u00e9dure Video-Ident est utilis\u00e9e pour de nombreux domaines sur Internet.  Des comptes bancaires peuvent \u00eatre ouverts et des contrats conclus de cette mani\u00e8re, par exemple.  Mais maintenant, une grave faille de s\u00e9curit\u00e9 a \u00e9t\u00e9 d\u00e9couverte dans le processus d&#8217;identification vid\u00e9o, qui a toujours \u00e9t\u00e9 consid\u00e9r\u00e9 comme s\u00fbr.<\/strong><\/p>\n<div class=\"article-content__mrec-block\">\n<div class=\"article-content__mrec-paragraph\">\n<p>Les experts en s\u00e9curit\u00e9 du Chaos Computer Club (CCC) ont r\u00e9ussi \u00e0 d\u00e9jouer le processus d&#8217;identification vid\u00e9o et ainsi r\u00e9v\u00e9ler une faille de s\u00e9curit\u00e9.  Dans le processus, les utilisateurs doivent tenir leur carte d&#8217;identit\u00e9 devant une cam\u00e9ra sous diff\u00e9rents angles afin de s&#8217;identifier.  Mais c&#8217;est bien l\u00e0 que r\u00e9side le probl\u00e8me.<\/p>\n<\/div>\n<\/div>\n<h2 id=\"h-ccc-entdeckt-sicherheitslucke-im-video-ident-verfahren\">CCC d\u00e9couvre une faille de s\u00e9curit\u00e9 dans le processus d&#8217;identification vid\u00e9o<\/h2>\n<p>Le CCC a manipul\u00e9 tout le processus d&#8217;identification de la proc\u00e9dure Video-Ident et s&#8217;est ainsi heurt\u00e9 \u00e0 la faille de s\u00e9curit\u00e9.  Les experts ont cr\u00e9\u00e9 un jumeau num\u00e9rique d&#8217;une carte d&#8217;identit\u00e9 et l&#8217;ont remplac\u00e9 par le nom, l&#8217;adresse et la photo du passeport.  \u00c0 l&#8217;aide d&#8217;un logiciel, ils ont ensuite fusionn\u00e9 l&#8217;original et la copie r\u00e9vis\u00e9e de la carte d&#8217;identit\u00e9 en une copie vid\u00e9o.  Maintenant, ils ont commenc\u00e9 le processus d&#8217;identification vid\u00e9o, mais au lieu de d\u00e9tenir une v\u00e9ritable pi\u00e8ce d&#8217;identit\u00e9, ils ont conserv\u00e9 la vid\u00e9o avec la copie de la pi\u00e8ce d&#8217;identit\u00e9 de la cam\u00e9ra.  Dans le m\u00eame temps, ils ont utilis\u00e9 un smartphone avec un appareil photo m\u00e9diocre, ce qui a vraisemblablement r\u00e9duit la qualit\u00e9 de la transmission des images.  La circonstance \u00e9tait suffisante pour tromper les employ\u00e9s du service d&#8217;identification vid\u00e9o en leur faisant croire que la carte d&#8217;identit\u00e9 \u00e9tait r\u00e9elle. <\/p>\n<p>Au total, six fournisseurs nationaux et internationaux du processus d&#8217;identification vid\u00e9o ont \u00e9t\u00e9 tromp\u00e9s de cette mani\u00e8re.  Particuli\u00e8rement mauvais : La proc\u00e9dure a fonctionn\u00e9 m\u00eame si des erreurs \u00e9videntes \u00e9taient visibles sur la carte d&#8217;identit\u00e9.  Les experts du CCC supposent donc que les utilisateurs ordinaires pourraient \u00e9galement exploiter pour eux-m\u00eames la faille de s\u00e9curit\u00e9 dans le processus d&#8217;identification vid\u00e9o.  La conclusion est donc sans \u00e9quivoque : les experts qualifient la s\u00e9curisation de la proc\u00e9dure d&#8217;\u00ab \u00e9chec total \u00bb.  <\/p>\n<p><em>A lire aussi : Activez l&#8217;acc\u00e8s \u00e0 la banque en ligne depuis chez vous<\/em><\/p>\n<h2 id=\"h-elektronische-krankenakten-durch-schwachstelle-zuganglich\">Dossiers m\u00e9dicaux \u00e9lectroniques accessibles gr\u00e2ce \u00e0 la vuln\u00e9rabilit\u00e9<\/h2>\n<div class=\"article-content__mrec-block\">\n<div class=\"article-content__mrec-paragraph\">\n<p>Comme mentionn\u00e9 au d\u00e9but, la proc\u00e9dure d&#8217;identification vid\u00e9o sur Internet est souvent un pr\u00e9alable \u00e0 la conclusion de comptes ou de contrats.  Cependant, il est \u00e9galement utilis\u00e9 dans le domaine m\u00e9dical, par exemple pour acc\u00e9der au dossier ePatient et aux services ePrescription.  En raison de la faille de s\u00e9curit\u00e9 dans le processus d&#8217;identification vid\u00e9o, les experts ont ainsi pu acc\u00e9der aux dossiers m\u00e9dicaux de chacune des 73 millions de personnes b\u00e9n\u00e9ficiant d&#8217;une assurance maladie l\u00e9gale en Allemagne.  Et cela inclut les informations m\u00e9dicales stock\u00e9es par les m\u00e9decins, les h\u00f4pitaux et les compagnies d&#8217;assurance.  Le CCC a m\u00eame test\u00e9 que cela fonctionnait sans aucun probl\u00e8me et a appel\u00e9 et ouvert les fichiers d&#8217;une personne de test initi\u00e9e.  Les experts en s\u00e9curit\u00e9 ont ensuite eu acc\u00e8s aux ordonnances remplies, aux certificats d&#8217;invalidit\u00e9, aux diagnostics m\u00e9dicaux et aux documents de traitement originaux.<\/p>\n<\/div>\n<\/div>\n<p>Les compagnies d&#8217;assurance maladie doivent suspendre le processus d&#8217;identification vid\u00e9o pour le moment en raison de la faille de s\u00e9curit\u00e9.  L&#8217;\u00e9tape est in\u00e9vitable dans le contexte du besoin \u00e9lev\u00e9 de protection dans la num\u00e9risation du syst\u00e8me de sant\u00e9, selon le fournisseur de services de num\u00e9risation du syst\u00e8me de sant\u00e9 allemand, Gematik.  &#8220;Gematik a d\u00e9clar\u00e9 que la poursuite de l&#8217;utilisation des proc\u00e9dures d&#8217;identification vid\u00e9o pour la d\u00e9livrance de moyens d&#8217;identification \u00e0 utiliser dans l&#8217;infrastructure t\u00e9l\u00e9matique (TI) n&#8217;est plus autoris\u00e9e et le 9 ao\u00fbt 2022 a d\u00e9cr\u00e9t\u00e9 que les compagnies d&#8217;assurance maladie peuvent utiliser la proc\u00e9dure d&#8217;identification vid\u00e9o avec effet imm\u00e9diat suspendre \u00bb, lit-on dans le communiqu\u00e9 officiel.  Une d\u00e9cision ne peut \u00eatre prise sur la r\u00e9-approbation des proc\u00e9dures d&#8217;identification vid\u00e9o que lorsque les prestataires ont fourni des preuves concr\u00e8tes que leurs proc\u00e9dures ne sont plus susceptibles de pr\u00e9senter les faiblesses mises en \u00e9vidence.  Le minist\u00e8re f\u00e9d\u00e9ral de la Sant\u00e9 est \u00e9galement \u00e0 l&#8217;origine de la d\u00e9cision d&#8217;arr\u00eater provisoirement la proc\u00e9dure d&#8217;identification vid\u00e9o dans le secteur m\u00e9dical.<\/p>\n<p><em>Lisez aussi : Le permis de conduire num\u00e9rique arrive sur les t\u00e9l\u00e9phones portables \u2013 mais a toujours des limites<\/em><\/p>\n<h2 id=\"h-die-reaktion-der-behorden\">La r\u00e9action des autorit\u00e9s<\/h2>\n<p>Mais tout le monde n&#8217;est pas aussi prudent que Gematik.  Le CCC souligne que les autorit\u00e9s de protection des donn\u00e9es et l&#8217;Office f\u00e9d\u00e9ral de la s\u00e9curit\u00e9 de l&#8217;information (BSI) mettent en garde depuis longtemps contre des failles de s\u00e9curit\u00e9 telles que celles du processus d&#8217;identification vid\u00e9o.  Selon les experts, cependant, ils sont jusqu&#8217;\u00e0 pr\u00e9sent &#8220;tomb\u00e9s dans l&#8217;oreille d&#8217;un sourd&#8221; \u00e0 l&#8217;Agence f\u00e9d\u00e9rale des r\u00e9seaux.  La justification de l&#8217;autorit\u00e9 : &#8220;Le gouvernement f\u00e9d\u00e9ral n&#8217;a pas encore pris connaissance d&#8217;incidents de s\u00e9curit\u00e9 sp\u00e9cifiques.&#8221; Et en fait, la vuln\u00e9rabilit\u00e9 qui a maintenant \u00e9t\u00e9 d\u00e9couverte n&#8217;\u00e9tait pas connue auparavant du BSI.  Le CCC est donc heureux, selon sa propre d\u00e9claration, d&#8217;apporter un incident de s\u00e9curit\u00e9 sp\u00e9cifique et de pouvoir ainsi mettre en \u00e9vidence la n\u00e9cessit\u00e9 d&#8217;agir.<\/p>\n<div class=\"article-content__mrec-block\">\n<div class=\"article-content__mrec-paragraph\">\n<p>Le BSI a \u00e9galement soulign\u00e9 que la d\u00e9cision quant \u00e0 la mesure dans laquelle le processus d&#8217;identification vid\u00e9o peut continuer \u00e0 \u00eatre utilis\u00e9 dans d&#8217;autres domaines d&#8217;application dans les circonstances donn\u00e9es rel\u00e8ve de la responsabilit\u00e9 des autorit\u00e9s de contr\u00f4le respectives.  Le rapport du CCC a apparemment secou\u00e9 nombre d&#8217;entre eux.  Par exemple, l&#8217;Autorit\u00e9 f\u00e9d\u00e9rale de surveillance financi\u00e8re (Bafin) responsable a expliqu\u00e9 \u00e0 la demande de <a rel=\"nofollow noopener\" href=\"https:\/\/www.heise.de\/news\/Nach-Videoident-Hack-Alle-pruefen-Banken-vertrauen-vorerst-weiterhin-7217795.html\" target=\"_blank\">chaud<\/a>que l&#8217;information est \u00e9galement prise tr\u00e8s au s\u00e9rieux.  Cependant, la d\u00e9cision des caisses d&#8217;assurance maladie de ne pas utiliser la proc\u00e9dure ne permet pas automatiquement de tirer des conclusions sur les demandes dans d&#8217;autres secteurs.  Car les autorit\u00e9s n&#8217;ont encore connaissance d&#8217;aucun d\u00e9tail.  &#8220;Par cons\u00e9quent, une \u00e9valuation finale des sc\u00e9narios d&#8217;attaque d\u00e9crits et une d\u00e9cision sur d&#8217;\u00e9ventuelles mesures n&#8217;est pas encore possible&#8221;, a d\u00e9clar\u00e9 un porte-parole de la Bafin. <a rel=\"nofollow noopener\" href=\"https:\/\/www.techbook.de\/mobile-lifestyle\/javascript:history.back()\" target=\"_blank\"><\/p>\n<\/div>\n<\/div>\n<h2 class=\"has-small-font-size\">Sources<\/h2>\n<\/p><\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/www.techbook.de\/mobile-lifestyle\/video-ident-verfahren-sicherheitsluecke\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-35<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Par Rita Deutschbein | 12 ao\u00fbt 2022 15 h 46 La proc\u00e9dure Video-Ident est utilis\u00e9e pour de nombreux domaines sur Internet. Des comptes bancaires peuvent \u00eatre ouverts et des contrats conclus de cette mani\u00e8re, par exemple. Mais maintenant, une grave faille de s\u00e9curit\u00e9 a \u00e9t\u00e9 d\u00e9couverte dans le processus d&#8217;identification vid\u00e9o, qui a toujours \u00e9t\u00e9 [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":309642,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[429,8816,71695,11184,9630,1835,68,3667],"class_list":["post-309641","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-dans","tag-decouverte","tag-didentification","tag-grave","tag-processus","tag-securite","tag-video","tag-vulnerabilite"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/309641","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=309641"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/309641\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/309642"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=309641"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=309641"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=309641"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}