Overblog
Editer l'article Suivre ce blog Administration + Créer mon blog

Archives

Publié par Michel Rousseau

Lorsque les chercheurs de l’université d’Amsterdam ont annoncé que même les tags RFID pouvaient être hackés ou utilisés pour faire pénétrer des virus sur les systèmes d’information de l'entreprise, la nouvelle a fait l’effet d’une bombe avant d’être démentie par les constructeurs, puis reprise et démontrée à l’envi par plus d’une dizaine de sites de piratage qui ont alors démontré la faisabilité (ô combien facile) d’une telle entreprise.

Reste à faire le point et à enfin savoir si oui ou non on peut vous en mettre plein les étiquettes.

 

Porteur sain

Enfin jusqu'à un certain point. Aujourd'hui, même le directeur recherche de l’Auto-ID Lab admet qu’il est possible de viruser un tag, notamment en échangeant une étiquette saine avec une étiquette contaminée. Toutefois, pour réaliser ceci il est indispensable de procéder au remplacement de l’étiquette puisque celle-ci est soit codée directement chez le fabricant soit sur le point de pose. En revanche, avec les étiquettes réinscriptibles, le problème est un tantinet différent, bien que le contenu mémoire n’ait pas d’impact sur les opérations liées à la lecture de l’étiquette. Si bien que la plupart des tags ne sont pas vulnérables aux virus, mais peuvent être porteurs de virus. En outre, certaines étiquettes RFID sont à même de stocker un volume important de données. C'est notamment le cas des tags actifs utilisés par les militaires pour suivre les conteneurs du train. Ces tags constituent de facto des bases de données non sécurisées et devraient être envisagés comme telles. Néanmoins, les données de ces étiquettes étant dans un format spécifique, elles ne sont pas facilement utilisables. Ceci par ailleurs limite la portée des attaques puisque les données incorrectement formatées entraîneront leur rejet immédiat par le système.

 

Si le système RFID est employé pour stocker des données autres que l’identifiant unique de l’utilisateur, il conviendra donc de prendre des mesures pour authentifier les données et leurs auteurs. Ce sera alors au système d’information et plus particulièrement au middleware de s’en charger. Ce n’est hélas pas encore le cas partout, mais la généralisation de la RFID devrait rapidement amener une génératikn d’outils de sécurité permettant de prendre les choses en main (sic).

Commenter cet article