Logo ETI Quitter la lecture facile

Décryptage

RFID : la sécurité en questions

Posté le par La rédaction dans Entreprises et marchés

Promis à un bel avenir, la RFID suscite aussi beaucoup d'interrogations. Cette technologie est-elle sûre ? Mais de quoi parle-t-on exactement ? Pourquoi une telle défiance ? Comment avance-t-on sur ce dossier en Europe ? Le point.

La RFID cristallise aujourd’hui bien des craintes. Mais de quoi parle-t-on exactement ? En effet, il est devenu très difficile de comprendre ce que sont les « technologies RFID ».

Il existe une véritable jungle de termes rassemblés dans des notions vagues et à la mode (« buzzwords« ) comme L’Internet des Objets [1]. Dans l’article « Introduction à la sécurité RFID » [2], Michel Chochois introduit la technologie RFID (Radio Frequency IDentification) classique telle qu’utilisée, entre autres, dans la grande distribution dominée par l’offre GS1/EPCglobal [3]. Mais on peut y ajouter des processeurs miniaturisés, des capteurs (température mouvement, pression, humidité..) et des systèmes de localisation qui rendent ces objets « intelligents » et potentiellement présents partout. On imagine alors un monde où l’Internet serait composé d’objets virtuels (Web services, Second Life…), d’ordinateurs (serveurs, PC fixes, portables, téléphones …), d’objets physiques identifiés de manière unique, porteurs d’informations (traçabilité) et connectés à travers l’Internet des choses. Est-ce le monde que Georges Orwell avait prévu pour 1984 (avec le fameux « Big Brother vous regarde ») ? « 1984 » est d’ailleurs inscrit sur le logo « SPYCHIPS » des anti-RFID CASPIAN [5].

On parle de « RWA », (Real World Awareness) permettant de faire connaître notre monde physique à l’Internet pour créer le monde mixte. On parle de M2M, les machines parlant aux machines sans intervention de l’Homme. Quand l’homme interagit avec son environnement à travers des systèmes « conscients », on parle d’AmI « Intelligence Ambiante » [6]. Quand les équipements industriels en milieux difficiles passent au sans-fil il s’agit de « Wireless Factory »…

C’est sûrement ainsi que la RFID, qui suscite déjà de nombreuses craintes, risque de créer encore plus de peur lorsqu’elle est étendue à l’Internet des Choses. L’amalgame avec d’autres technologies augmente la peur et les risques de dérives. Et de fait, les technologies RFID focalisent les peurs apparaissant lors de l’introduction de nouvelles technologies. Ce sujet de société a été identifié par la Commission européenne (CE) et fait l’objet de nombreuses initiatives sur la technologie RFID et l’Internet des Choses.

Quelles craintes et quelles menaces ?

De fait, il est légitime de se demander si le marché de la RFID ne décolle pas à cause d’un manque de sécurité « dès la conception » ou de mécanismes et dispositions additionnels augmentant la sécurité ? En effet, comme l’explique Michel Chochois, il existe des failles intrinsèques à la technologie RFID (absence d’authentification, cryptage insuffisant, destruction aisée). Celle-ci a d’ailleurs été introduite dans le passeport numérique [7] sans être suffisamment sûre. Cette technologie subit en plus des attaques « traditionnelles » de sécurité (comme celle du type « man in the middle »). L’article finit en décrivant qu’il serait possible de se doter par exemple d’un système du type « RFIDGuardian » [8] pouvant être potentiellement installé dans nos téléphones portables en jouant le rôle de « FireWall » RFID. C’est une solution élégante mais complexe et coûteuse. Mais peut-on offrir mieux ?

Conséquence, des groupes anti-RFID actifs, comme par exemple à l’extrême « CASPIAN » aux Etats-Unis, veulent bannir cette technologie. La RFID aurait-elle, dans sa conception, des défauts de sécurité originels ? Va-t-elle souffrir, comme avec toutes nos technologies de l’information, d’une utilisation abusive, hors la loi, qu’il faut combattre en renforçant les dispositions réglementaires (régulation et application des lois nationales et Européennes), l’information et la prévention ?

Les actions mises en place en Europe

Concernant le projet de remplacement des codes barre par des étiquettes électroniques (RFID) dans nos magasins d’autres acteurs, comme Peter Hustinx le contrôleur européen à la protection des données (CEPD) [10], sont en faveur d’une désactivation par défaut des tags RFID après le point de vente des produits. La Commission européenne, elle, utilise la réglementation (mandats, communications, recommandations) et supporte prudemment l’adoption de la technologie RFID. Enfin, la recherche et l’innovation pourraient améliorer la situation afin de rendre l’utilisation de la RFID systématiquement conforme à la réglementation en vigueur « dès la conception ».

Dans l’article « Sécurisation et fiabilisation de la RFID » [11], j’ai décris les efforts réalisés en Europe pour concevoir dès l’origine (et améliorer) les applications RFID afin de respecter la sécurité et la vie privée. Le Réseau Thématique Européen RFID [12] a été choisi par la CE avec 25 partenaires et a démarré le 1er mars 2009 pour 3 ans. Couplé au nouveau Mandat RFID M/436 [13], à la communication sur la Sécurité de l’Internet des Objets qui a été publiée le 18 juin 2009 et aux résultats des projets de recherche du programme cadre 7 (PCRD 7 ou FP7), on devrait voir la situation nettement s’améliorer (lire le communiqué de la Commission européenne).

Vers quoi se dirige-t-on ?

Pour des raisons de compétitivité internationale, la technologie RFID va sûrement continuer à se déployer en Europe avec des disparités nationales. Il est possible d’améliorer la situation, mais cela doit se faire sans risquer de nuire au développement de notre Société de l’Information basée sur une économie numérique viable. Comme pour la biométrie, on dit que le marché de la RFID ne décolle pas à cause de la peur liée aux problèmes de sécurité et de protection de la vie privée. Mais s’il existait une « killer application » utilisant les technologies RFID que tout le monde voudrait acheter, alors les soucis de protection de la vie privée passeraient-ils au second plan comme avec GSM, GPS, Internet, la vidéosurveillance, les cartes bancaires… ? Mais quoi qu’il en soit, le choix conscient de l’utilisation des RFID conformément à la réglementation et son contrôle doit être offert aux utilisateurs en pleine connaissance de causes.

P.G
 

Notes

[1] Internet des Choses, “Internet Of Things” et RFID
[2] Lettre Sécurité des systèmes d’information n°20, nov-déc 2008, « Introduction à la sécurité de RFID » Michael Chochois
[3] http://www.epcglobalinc.org/
[5] CASPIAN http://www.spychips.com/ « Consumers Against Supermarket Privacy Invasion and Numbering »
[6] Intelligence Ambiante
[7] Le passeport entrouvert détectable : www.flexilis.com/download/RFIDPassportTechnicalAnalysis.pdf 
[8] RFIDGuardian, http://www.rfidguardian.org/
[10] Le Contrôleur européen à la protection des données (CEPD) www.libertysecurity.org/article1791.html
[11] Lettre Sécurité des systèmes d’information n°20, nov-déc 2008, « Sécurisation et fiabilisation de la RFID » Patrick Guillemin
[12] Réseau Thématique Européen RFID
[13] EC Mandate M/436 on « Data protection, privacy and information security aspects of RFID » www.etsi.org/WebSite/AboutETSI/RoleinEurope/ECMandates.aspx

Posté le par La rédaction


Réagissez à cet article

Commentaire sans connexion

Pour déposer un commentaire en mode invité (sans créer de compte ou sans vous connecter), c’est ici.

Captcha

Connectez-vous

Vous avez déjà un compte ? Connectez-vous et retrouvez plus tard tous vos commentaires dans votre espace personnel.

INSCRIVEZ-VOUS
AUX NEWSLETTERS GRATUITES !