Privacyfilter in eID kan worden omzeild
Het was toch even slikken bij de federale overheidsdienst voor informatica Fedict toen ze daar enkele weken geleden een confronterend filmpje kregen doorgespeeld. Daarin wordt de privacyfilter van de elektronische identiteitskaart kinderlijk gemakkelijk omzeild. En dat is dan weer een feest voor cybercriminelen die aan identiteitsdiefstal willen doen.
Het was toch even slikken bij de federale overheidsdienst voor informatica Fedict toen ze daar enkele weken geleden een confronterend filmpje kregen doorgespeeld. Daarin wordt de privacyfilter van de elektronische identiteitskaart kinderlijk gemakkelijk omzeild. En dat is dan weer een feest voor cybercriminelen die aan identiteitsdiefstal willen doen.
De hele kwestie wordt nu aangekaart door [belsec] van [Belgian Security Bloggers Network], maar was zelfs al aanleiding tot een parlementaire vraag van Roel Deseyn (CD&V) aan minister van Binnenlandse Zaken Patrick Dewael, vorige week woensdag. Deseyns vraag steunt op een filmpje van een securityspecialist waarbij de privacyfilter, die ervoor moet zorgen dat bepaalde spyware de gegevens op de kaart niet kan lezen, erg eenvoudig omzeild wordt. De anonieme securityresearcher toont aan dat je simpelweg een zelfgeschreven leesapplicatie de naam kan geven van een applicatie die wel toegang heeft tot de eID (bijvoorbeeld de browser Firefox).
Peter Strickx, chief technology officer bij Fedict, bevestigt dat hij onaangenaam verrast was toen hij enkele weken het – toen nog ongepubliceerde – videootje onder ogen kreeg. “We hebben onmiddellijk Zetes, de producent van de middleware van de kaarten, gecontacteerd. Zij zullen de nodige aanpassingen doen. We zorgen ervoor dat in elke nieuwe sessie, wanneer de ID-file via de middelware gelezen wordt, de eerste keer een pop-up wordt getoond met de vraag of die bepaalde applicatie het bestand mag lezen.” De nieuwe middleware zou normaal gezien voor eind mei moeten zijn.
De combinatie van de identiteitsinformatie met informatie over pakweg creditcards van Belgen zou volgens securityspecialisten in het ergste geval kunnen leiden tot identiteitsdiefstal op grote schaal. Maar Strickx sust: “Je mag de impact van deze kwestie niet overdrijven, maar het was wel van belang om onmiddellijk actie te ondernemen.”
Roel Deseyn had bij Patrick Dewael ook aangedrongen op betere security- en kwaliteitsstandaarden en -procedures rond de eID. “Zo erg is het niet”, reageert Strickx nog. “Zetes heeft één van de hoogste securitystempels die je kan halen. Misschien dat enkel op vlak van ontwikkeling van de middleware nog wat te verbeteren valt.”
Fout opgemerkt of meer nieuws? Meld het hier