Tags RFID : La Californie prends le sujet à l'envers

Partager

Une nouvelle loi vient de passer en vigueur dans l'état de Californie : Il est désormais interdit de lire (ou de tenter de lire) le contenu d'un tag RFID appartenant à une personne sans son accord préalable. De même, il est interdit de diffuser des informations sur les systèmes pouvant faciliter la collecte d'informations de façon illégitime. Dans chacun des cas, la peine encourue maximale est de 1 an de prison et de 1.500USD.

Le texte disponible ICI (pdf) indique que la collecte d'informations reste possible par les officiers de police dans le cadre de leurs missions ou pour des raisons médicales ; ce qui reste assez normal me direz-vous.

Cette décision ferait suite à une démonstration de recopie de cartes RFID utilisées pour contrôler l'accès à des bâtiments de l'état de Californie. Cette attaque est assez simple à mettre en œuvre via des systèmes appelés "RFID Skimmer" et des tags RFID non-cryptés: Vous commencez par "écouter" le tag RFID et enregistrez son contenu pour ensuite le rejouer... Pour plus d'infos sur comment construire son appereil à faire du copy/paste de tags RFID (ie un "Skimmer RFID"), l'article "How to Build a Low-Cost, Extended-Range RFID Skimmer" vous donnera les détails (attention, des connaissances en électronique sont requises).

Ce que je trouve un peu bizarre dans tout cela : Il n'est pas demandé de se prémunir de ce genre d'attaques via l'utilisation de tags RFID sécurisés... On rends donc interdit les écoutes mais on ne cherche pas à s'en protéger... Vous pourriez dire que c'est mieux que rien : Oui c'est vrai ; mais c'est prendre le problème du mauvais coté... Et puis, vous pensez vraiment que cela va arrêter les "hackers" ? Oh que non....

Pour finir: Si vous souhaitez vous protéger des écoutes passives de vos tags RFID, il existe des pochettes spéciales comme celles de DIFRwear ou celles d'Identity Stronghold. Une approche plus originale (mais plus complexe) est d'utiliser un "brouilleur RFID" comme le RFID Guardian (pdf).

PS: La sécurité de certains Tag RFID "sécurisés" (Mifare en l'occurence) a été remise en cause. La sécurité des tags RFID est un sujet "chaud" en pleine évolution.

Jean-François Audenard

Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la prise en compte de la sécurité dans le cycle de vie des produits et services. Je suis passionné par la sécurité informatique et prends énormément de plaisir à partager cette passion via des vidéos, présentations et articles. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens. Vous avez des questions, des idées, des propositions : vous savez où me trouver ! :-)