Inquiétudes quant à la sécurité de la carte d’identité danoise MitID après que les médias aient découvert une vulnérabilité à un “simple piratage”.

La revue d’ingénierie Ingeniøren a rapporté vendredi qu’une astuce de codage peut permettre aux pirates d’identifier facilement les noms d’utilisateur de MitID.

Selon une enquête menée par Ingeniøren, MitID contient plusieurs défauts de conception graves qui permettent de deviner les noms d’utilisateur de milliers d’utilisateurs et de les bloquer hors du système pendant plusieurs jours d’affilée.

Dans certains cas, les pirates peuvent même être en mesure de se connecter en utilisant le MitID des victimes, conclut l’enquête.

Le système d’identification numérique MitID remplace progressivement NemID comme identifiant en ligne utilisé au Danemark pour l’accès aux plateformes de services publics, aux services bancaires en ligne et aux achats en ligne.

Une enquête sur la sécurité de MitID menée par Version2, le média complémentaire d’Ingeniøren, a permis de deviner correctement 11 000 noms d’utilisateur MitID en une nuit en appliquant un “simple code de souche”.

Ingeniøren s’est ensuite entretenu avec le professeur de sécurité informatique Carsten Schürmann de l’Université informatique de Copenhague, qui a qualifié le piratage utilisé de “code incroyablement simple”.

“Mes étudiants apprennent ce type d’attaque pendant les deux ou trois premières semaines de mes cours”, a-t-il déclaré à Ingeniøren.

Un autre commentateur, Jan Kaastrup de la société de sécurité informatique CSIS, a déclaré au journal qu’il était surpris de la facilité de la méthode.

“Je savais que c’était possible mais pas à quel point c’était facile. Je pense vraiment que MitID a fait une erreur et je pense que votre enquête le prouve de manière convaincante”, a-t-il déclaré. Kaastrup est un ancien membre de l’organe de sécurité informatique d’Europol, le Centre européen de cybercriminalité.

L’Agence danoise pour la numérisation (Digitaliseringsstyrelsen) a déclaré à Ingeniøren qu’elle allait enquêter sur cette affaire. L’agence n’a pas commenté les résultats spécifiques de l’enquête du journal, mais a déclaré qu’elle avait mis en place des protections contre le type d’attaques décrites.

NemID sera désactivé pour les plateformes sécurisées comme les banques et les services publics le 31 octobre. Après cette date, seul MitID pourra être utilisé pour se connecter.

D’autres plateformes, comme les achats en ligne, continueront d’accepter NemID pour le moment. L’ancien système sera entièrement mis hors service le 30 juin 2023.