Le groupe THC (The Hackers Choice) aurait trouvé une faiblesse permettant de passer les contrôles frontaliers par manipulation des données stockées dans la puce des ePassports. Cette faiblesse a été montrée et expliquée lors du BlackHat 2008.
Le standard de l’ICAO (International Civil Aviation Organization) ne contraint pas l’utilisation des mécanismes avancés d’authentification. Par conséquent, les équipements de contrôles dans les zones de transit n’imposent pas leur présence dans les ePassports et seule l’authentification passive est obligatoire. Associé au fait que les officiers de contrôle n’ont pas de culture informatique et sécurité et travaillent à la chaîne, le message d’alerte non critique renvoyé par l’équipement suite à l’absence d’un mécanisme optionnel d’authentification n’est pas pris sérieusement car, malgré tout, le ePassport reste intègre.
Certains pays ont mis en place ces mécanismes d’authentification avancée dans les ePassports de leurs ressortissants mais, par cette faiblesse, ces passeports peuvent alors être modifiés pour passer outre les contrôles malgré cette modification non autorisée.
-