Overblog
Editer l'article Suivre ce blog Administration + Créer mon blog

Archives

Publié par Michel Rousseau

Certains spécialistes estiment que la technologie RFID pourrait être utilisée pour créer des bombes qui n'exploseraient qu'à proximité d'une personne donnée.

La démonstration en a été faite à la conférence BlackHat 2006 à Las Vegas. 

Lors de leurs présentations Melanie Rieback, RFID SecurtiyPrivacynReseacher de la Vrije Universiteit d'Amsterdam et Lukas Grunwald CTO de DN-Systems Entreprise Internet Solutions Gmbh ont démontré que la RFID est peu sûre. Ils ont recensés une liste de menaces impressionnantes. Sans être totalement exhaustif, on peut citer les attaques suivantes :

Des Buffer overflows
Des possibilités d’insérer du code avec duplication des informations injectées.
De la SQL injection avec modification des bases de données -Des denis de service
Des attaques en « brute force »
Des manipulations des données sur le transpondeur...
Lors sa démonstration Melanie Rieback a présenté un exemple de ver pour la RFID construit avec 127 caractères soit 1 Kbit et un second pour MySQL qui pesait 2kbit pour 230 caractères environ.
Lukas Grunwald, pour sa part, a mis à jour plusieurs failles sur les nouveaux passeports européens qui utilisent des tags RFID. En prenant son propre passeport il a pu modifier le contenu des informations logiques (lu par les lecteurs lors du contrôle en douane) contenues dans son passeport et ainsi remplacer sa photo. 

Toutefois, ce sensationnalisme ne doit pas faire oublier un certain nombre de vérités premières. Tout d'abord, le fait que pour déclencher un tel dispositif il faudrait au préalable connaître le code identitaire du possesseur de la puce RFID (sinon, cela reviendrait à sauter à la g... de tout ce qui bouge, puisque, peu ou prou, tout le monde sera taggé), une opération qui est certes réalisable aujourd'hui par hacking (cf. les articles précédents sur ce sujet), mais qui à terme devrait être de plus en plus difficile à réaliser du fait des procédures de cryptage que certains (RSA, notamment, mais ce n'est pas le seul, loin s'en faut) sont en train de mettre en place. A moins, bien entendu, que le terroriste prenne pour référence l'empreinte cryptée contenue dans la puce. Ce qui amène d'ailleurs à un débat intéressant, puisque dans cette surenchère permanente qu'est la sécurité, la seule parade serait alors d'utiliser des tags RFID actifs dotées d'un token (jeton) changeant toutes les 30 secondes, ou tout du moins dans un délai inhibant les opérations de piratage puis de posage de bombe.

Bref, en ce proche début de week-end, il est permis de délirer...

Commenter cet article