Due falle nel sistema eIDAS utilizzato in Europa: era possibile autenticarsi assumendo identità altrui

Il Regolamento eIDAS (electronic IDentification Authentication and Signature) riguarda l’identificazione elettronica e i servizi fiduciari per le transazioni elettroniche nei Paesi membri dell’Unione Europea. Progettato per regolamentare la firma elettronica, i trasferimenti di denaro e altri tipi di transazioni elettroniche nel mercato unico europeo, eIDAS ha consentito la creazione di standard unici per la firma elettronica, certificati digitali, marche temporali e altre forme di autenticazione elettronica. In questo modo è stato ed è possibile rimpiazzare documenti cartacei con gli equivalenti digitali con lo stesso valore legale.

I ricercatori di SEC Consult hanno però scoperto due vulnerabilità nella più recente versione di eIDAS-Node Integration Package, il componente che permette agli enti dei vari Paesi europei di verificare le informazioni sull’identità dei cittadini europei attingendo al network eIDAS.

Come dimostra il codice proof-of-concept pubblicato in questa pagina, gli esperti di SEC Consult sono riusciti a scassinare il sistema di autenticazione eIDAS riuscendo a impersonificare qualunque altra identità.

Nell’esempio, si vede come i ricercatori abbiano utilizzato l’ultima versione di eIDAS-Node Integration Package per accedere al sistema europeo come Johann Wolfgang von Goethe, il celeberrimo scrittore, poeta e drammaturgo tedesco deceduto nel 1832.

Da SEC Consult si spiega che i nodi partecipanti al network eIDAS scambiano informazioni usando Security Assertion Markup Language (SAML), uno standard aperto per la gestione dei meccanismi di autenticazione e autorizzazione. Si tratta però di un protocollo molto complesso e non esente da errori.
Una delle vulnerabilità scoperte ha permesso di evitare la verifica del certificato digitale che firma il messaggio SAML. In questo modo un aggressore avrebbe potuto inviare una risposta SAML manipolata ad arte e autenticarsi come chiunque altro.

Le falle presenti nel componente eIDAS sono state segnalate privatamente a luglio 2019 e SEC Consult ha pubblicato quest’oggi i dettagli tecnici dopo la risoluzione dei problemi e il rilascio della versione 2.3.1 di eIDAS-Node Integration Package.

A questo punto, tutti i soggetti che usano il sistema eIDAS vengono invitati a procedere con l’aggiornamento nel più breve tempo possibile.