Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

C&esar et les belges

C&esar et les belges
2009-11-302013-02-11nouvelles technologiesfr
Quand le RFID devient partie intégrate du système d'information...
Publié le 30 Novembre 2009 par Eric Wiatrowski dans nouvelles technologies

C&esar SSI 2009 et le métro belge via RFID

http://www.cesar-conference.fr/

 

250 participants, traduction simultanée en Anglais, 25 communications, 3 jours de débats sur la sécurité des communications sans fil, avec en clôture le Directeur de l'ANSSI (http://www.ssi.gouv.fr).  Le tout pour une centaine d'euros de frais d'inscription.

Bref un excellent cru 2009 pour les ex-journées SSI patronnées par le CELAR (DGA). Tant pis pour les absents.

La sécurité des WiFi, UMTS et autres RFID a été mise à mal par les experts du domaine. Mais les mesures de remédiation sont en cours.... ou à l'étude J

Les réprésentants de Gouvernement et Institutions France étaient majoritaires. Mais étaient aussi présent des acteurs étrangers (OTAN), le monde de la recherche (Université, INRIA), et des acteurs industriels tel Orange.

En dehors des failles de nature technique, pour ne pas dire structurelles, des technologies sans fil, un intéressant débat eu lieu. Les étiquettes RFID et assimilées sont très souvent destinées à contenir des données personnelles comme le nom, l'adresse, des paramètres de géolocalisation.... Or le premier lecteur venu, moyennant éventuellement le craquage d'une clé 8 bits J, permet d'y accéder.

D'où la dernière histoire belge. Le pass de leur métro (de fait similaire au pass parisien) permet facilement d'accéder au nom et aux dernières stations fréquentées. Imaginons que votre employeur ou conjoint accède à ces données et qu'elles ne correspondent pas exactement à votre discours. Or cet accès est possible pour un pirate de « base ».

Soyez rassurés, l'administration belge a tout prévu. Le pass fait parti du système d'information du métro et sa lecture est caractéristique d'une intrusion dans un système d'information. Infraction répréhensible en Belgique comme en France. On se demande quand même comment repérer et caractériser l'intrusion dans le pass. En y embarquant un IDS peut être J.

Plus sérieusement, consciente de ces risques, l'Europe a publié des recommandations visant à compléter la Directive européenne sur la Privacy (http://eur-lex.europa.eu/pri/en/oj/dat/2002/l_201/l_20120020731en00370047.pdf) pour le domaine RFID (2007/INFSO/048 rfid 2009).

Mais si le Groupe 29 (http://ec.europa.eu/justice_home/fsj/privacy/workinggroup/index_fr.htm) travaille à leur complétude et à leur mise en œuvre, il ne s'agit encore que de Recommandations et non de Directives destinées à être transposées dans les réglementations nationales. A suivre donc avec intérêt dans un domaine qui bouge beaucoup.

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage