Honderdduizenden Belgische paspoorten lek
Universiteit: "Onmiddellijk uit de omloop halen"
11 juni 2007 | Nico Vandenabeele
Het is voor hackers en kwaadwillenden een koud kunstje om de beveiliging van de nieuwe Belgische biometrische paspoorten te kraken. Dit hebben wetenschappers van de Crypto Group van de Waalse universiteit UCL ontdekt.
Het kwetsbaarst is de eerste generatie paspoorten uitgereikt tussen eind 2004 en juli 2006. Uit het onderzoek blijkt dat deze paspoorten over geen enkele vorm van beveiliging beschikken om de persoonlijke informatie die op de elektronische chip staat te beschermen.
Met een eenvoudige kaartlezer slaagden de onderzoekers erin om binnen enkele seconden de gegevens op de elektronische RFID-chip in de achterflap van het paspoort te achterhalen. Zo kregen ze toegang tot pasfoto, geschreven handtekening, naam, paspoortnummer, geslacht, geboortedatum, uitgifte- en vervaldatum.
Het was voor de onderzoekers niet eens nodig om een paspoort in hun bezit te hebben: door de gebruikte RFID-technologie kunnen de gegevens van op afstand worden gelezen, buiten medeweten van de paspoorthouder. De RFID-chip kan op tien centimeter afstand worden gelezen.
"Het maakt niet uit of het paspoort in een portemonnee, broekzak of tas steekt, telkens slaagden we erin om de gegevens te lezen. Dit soort aanvallen is vrij realistisch in luchthavens en op de trein. Het volstaat om enkele seconden dicht genoeg bij het slachtoffer te staan om de volledige inhoud van het paspoort te bemachtigen", zo zegt het onderzoeksteam.
De onderzoekers beklemtonen dat ze geen geavanceerde apparatuur hebben gebruikt. "De kaartlezer is vrij in de handel verkrijgbaar en hebben we op het internet gekocht. Een lezer van pakweg veertig euro volstaat", verklaart professor Jean-Jeaques Quisquater, die meewerkte aan het onderzoek. Ook de gebruikte programmatuur, licht aangepaste openbronsoftware, werd van het net geplukt.
De onderzoekers adviseren nu dat de eerste generatie biometrische paspoorten, waarvan er ongeveer 720.000 zijn uitgereikt, zo snel mogelijk uit de omloop wordt gehaald. Al beseft Quisquater dat dit geen haalbare kaart is. "Het gaat om honderdduizenden paspoorten. Ze allemaal vervangen zal veel geld kosten."
Professor Quisquater pleit daarom voor een waarschuwingscampagne. "De RFID-chip kan eenvoudig worden beveiligd door een metalen kaart in de flap van het paspoort te steken. Daardoor ontstaat een kooi van Faraday die het lezen van het paspoort verhindert."
De onderzoekers van de UCL zijn verwonderd dat niet alle paspoorten voldoen aan de internationale standaard ICOA. "Begin dit jaar verklaarde de Belgische minister van Buitenlandse zaken dat het paspoort werd ontwerpen conform de technische vereisten van de ICAO en de Europese Unie. Dat is dus niet het geval", stelt Quisquater vast.
De onderzoekers namen contact op met het ministerie van Buitenlandse Zaken, maar dat bagatelliseerde het probleem. Onterecht, meent Quisquater.
