Un couple de hackers vient de démontrer que les implants VeriChip (soi-disant infalsifiables) pouvaient être facilement clonés, ce qui permet alors d'usurper sans difficulté l'identité de quelqu'un d'autre. Annalee Newitz et Jonathan Westhues ont présenté cette démonstration à l'occasion de la conférence HOPE Number Six à New York il y a une quinzaine de jours. Newitz jouait le rôle du cobaye et s'était implanté pour l'occasion une puce VeriChip dans le bras droit. Pour cloner la puce, Westhues a tout d'abord lu le tag avec un lecteur RFID standard, puis l'a à nouveau scanné avec une antenne maison connectée à son laptop, lequel a affiché le code affiché par ailleurs sur le lecteur. Interrogé à ce propos, VeriChip avoue ne pas avoir encore la preuve de cette expérience, mais insiste toutefois sur "l'extrême difficulté de cloner les puces VeriChip". Dont acte !

Lorsque les chercheurs de l’université d’Amsterdam ont annoncé que même les tags RFID pouvaient être hackés ou utilisés pour faire pénétrer des virus sur les systèmes d’information de l'entreprise, la nouvelle a fait l’effet d’une bombe avant d’être démentie par les constructeurs, puis reprise et démontrée à l’envi par plus d’une dizaine de sites de piratage qui ont alors démontré la faisabilité (ô combien facile) d’une telle entreprise.

Reste à faire le point et à enfin savoir si oui ou non on peut vous en mettre plein les étiquettes.

Porteur sain

Enfin jusqu'à un certain point. Aujourd'hui, même le directeur recherche de l’Auto-ID Lab admet qu’il est possible de viruser un tag, notamment en échangeant une étiquette saine avec une étiquette contaminée. Toutefois, pour réaliser ceci il est indispensable de procéder au remplacement de l’étiquette puisque celle-ci est soit codée directement chez le fabricant soit sur le point de pose. En revanche, avec les étiquettes réinscriptibles, le problème est un tantinet différent, bien que le contenu mémoire n’ait pas d’impact sur les opérations liées à la lecture de l’étiquette. Si bien que la plupart des tags ne sont pas vulnérables aux virus, mais peuvent être porteurs de virus. En outre, certaines étiquettes RFID sont à même de stocker un volume important de données. C'est notamment le cas des tags actifs utilisés par les militaires pour suivre les conteneurs du train. Ces tags constituent de facto des bases de données non sécurisées et devraient être envisagés comme telles. Néanmoins, les données de ces étiquettes étant dans un format spécifique, elles ne sont pas facilement utilisables. Ceci par ailleurs limite la portée des attaques puisque les données incorrectement formatées entraîneront leur rejet immédiat par le système.

Si le système RFID est employé pour stocker des données autres que l’identifiant unique de l’utilisateur, il conviendra donc de prendre des mesures pour authentifier les données et leurs auteurs. Ce sera alors au système d’information et plus particulièrement au middleware de s’en charger. Ce n’est hélas pas encore le cas partout, mais la généralisation de la RFID devrait rapidement amener une génératikn d’outils de sécurité permettant de prendre les choses en main (sic).

Comme le rappelle Greg Day de McAfee, cité par VnuNet : « Si une technique se généralise, elle devient attaquable ».

L’équipe de l’université libre d’Amsterdam vient effectivement d’en faire la preuve en développant un virus de moins d’1 Ko sur une plate-forme Windows utilisant une base Oracle 10g et un lecteur RFID Philips. Plusieurs scenarii d’attaque ont ainsi été modélisés, dont l’installation d’un tag infecté dans un supermarché pour affecter sa base de données produits et y accéder ou encore la modification de l’identifiant de la puce d’un animal (problème de bétail infesté).

Certains vont même jusqu'à penser que l’on pourrait assister à des opérations de phishing RFID et de war-driving.

Toutefois, comme le précisent les chercheurs précités, il est nécessaire de connaître à fond la structure des puces des étiquettes pour y déceler les failles éventuelles permettant de s’engouffrer dans le système d’information. Ce n’est donc pas à la portée de tout le monde, tout du moins tant que des fora consacrés à ce nouveau sport n’ont pas encore fleuri sur la Toile (ce qui, à notre avis, ne saurait tarder).

Néanmoins, cela ne veut pas dire que le danger soit très important, d'autant plus qu’il est loin d’être évident que de telles attaques réussissent à tout coup.

Dans le site RFIDVirus.org, les chercheurs dévoilent publiquement les résultats de leurs travaux, y compris les façons d'exploiter ces puces, dans le but de convaincre les groupes et entreprises qu'il s'agit d'un problème «sérieux» auquel on doit rapidement s'attaquer.

Le gouvernement américain continue ses efforts de mise en place de ses passeports RFID contenant des données biométriques lisibles via un scanner RFID, et prévus pour être déployés avant la fin de l'année.
L'incorporation de ces données biométriques doit permettre d'empêcher la création de faux passeports, mais soulève un autre problème, et de taille : les données contenues sont insuffisamment protégées et peuvent être captées, puis décodées par un lecteur RFID indiscret. Un problème qui a conduit les autorités américaines à revoir leur copie à plusieurs reprises, pour ajouter des niveaux de sécurité supplémentaires (bouclier dans la couverture du passeport, cryptage lors du transfert des informations).

Cependant, il a été montré que les nouveaux passeports RFID hollandais, similaires au modèle américain, n'ont demandé que deux heures pour être dépouillés de leur contenu. Une situation qui suscite de nombreux débats passionnés depuis plus d'un an maintenant, enjoignant les autorités américaines de repousser le projet, le temps de trouver une solution plus fiable.