Nous allons tous devenir RFIDiots

La technologie RFID, vous en avez peut-être entendu parler, mais de toute manière vous vous en servez quotidiennement pour la grande majorité d’entre vous. Vous savez, toutes ces cartes en plastique qui vous permettent de badger le matin au travail, d’utiliser les transports en commun, d’ouvrir les portes dans certains locaux, voire de démarrer votre voiture à la place de la clef. Et on en met maintenant aussi dans nos bons vieux passeports, cachés dans la couverture.

Tous ces exemples ce que je viens de citer, et bien d’autres encore, contiennent une micro-puce électronique avec une antenne radio appelée RFID. On envoie un courant à proximité, par induction ça alimente le microcircuit qui se met alors à discuter par radio, par exemple pour ouvrir une porte ou pour laisser passer dans le métro. Plus besoin de clefs, c’est mâgiiiique !

Le seul hic, c’est qu’encore une fois nos chers industriels ont oublié de se renseigner auprès d’experts sécurité, et ont foncé tête baissée pour les produire par demi-milliards, voire même carrément par milliards.

A ce sujet, j’ai toujours été fasciné par les procédés employés pour en produire autant à si bas coût. La société (qui porte si bien son nom) Alien Technology a breveté un procédé d’auto-assemblage moléculaire pour fabriquer ces microcircuits électroniques. En gros on verse divers liquides liquides, on secoue et hop au fond on récupère les circuits tout-faits. Mâgiiique encore une fois ! Les Aliens annoncent même un taux de production de 2 millions de RFID par heure. Ahh, si j’étais aussi productif… 😉

Pour en revenir à nos propos, disons que si la technologie est séduisante, elle n’en est pas moins préoccupante. Tout d’abord, considérons l’ampleur du phénomène : on parle de refourguer des RFID à peu près sur tout ce qui se vend, se vole, se déplace, vit (enfin du moins les animaux – c’est déjà fait pour les bovins et dans les élevages – et les êtres humains, enfin certains) etc… Bref, c’est comme un tsunami mais à l’échelle mondiale ! Le Wi-Fi à côté c’est de la crotte de mouche.

Secundo, venons-en aux applications prévues : faire ses courses sans avoir à déposer les articles sur un tapis ni à sortir son portefeuille, prendre le métro, surveiller les déplacements, etc. Au sujet du metro, étant à Londres il y a quelques jours, je me suis amusé avec la carte Oyster, équivalent de notre Pass Navigo parisien. On peut s’en servir comme porte-monnaie électronique en allant à une borne pour remettre de l’argent dessus. Mais on peut aussi simplement (juste en passant sa carte devant le lecteur et effleurant une touche sur l’écran tactile de la borne) obtenir la liste des derniers déplacement effectués et les horaires associés. Pas de mot de passe ou de PIN code demandé. J’imagine déjà le mari suscpicieux prenant discrètement la carte Oyster de sa compagne pour vérifier si par hasard elle n’aurait pas été faire un tour illégitime…

Tertio, le passeport. Et oui, depuis les attentats du 11 septembre, les USA ont sévèrement augmenté les contrôles aux frontières (à mon avis le niveau de sécurité n’est toujours pas optimal, mais qu’est ce qu’on perd comme temps dans les aéroports, n’est-ce-pas Sid ?). En tout cas, c’est une des raisons pour lesquelles nous avons désormais le droit (voire l’obligation) de jeter nos beaux passeports pour en prendre des nouveaux munis de puces RFID lorsque l’on veut se promener aux USA ou ailleurs… Ils sont modernes, ces passeports. Ils sont même biométriques, paraît-il ! En fait ne nous leurrons pas, ils n’ont pas de capteurs d’empreintes digitales ou d’identification rétinienne intégrée, faut pas pousser quand même. Ils sont « simplement » munis d’une puce RFID qui contient la photo numérisée du suspect voyageur ainsi que des empreintes digitales. Pas de quoi en faire un plat, nous dit-on.

Seulement voilà. Je n’ai jamais aimé la biométrie en tant que mécanisme de sécurité, car la grande majorité des produits vendus stockent les données biométriques à la légère, parfois même sans chiffrement voire sur le disque dur de l’ordinateur, à la merci du moindre phisher. Une donnée biométrique, ça a 1000 fois plus de valeur qu’un mot de passe, ou qu’un numéro de carte de crédit. Et je suis au-dessous de la réalité. Lorsqu’on vous vole votre numéro de carte de crédit, vous faites opposition et voilà. Lorsqu’on vous vole un mot de passe, tant pis vous le changez. Mais lorsqu’on vous vole votre donnée biométrique, que faites-vous ? Vous vous couperez le doigt à titre de révocation ? Vous n’en avez (dans le meilleur des cas) que 10 pour toute votre existence, qui je l’espère sera longue. Quant à vos yeux, vous n’en avez qu’une paire et que deux empreintes rétiniennes pour toute la vie. Et pendant ce temps on aura fait des progrès en cryptanalyse, attaques en tous genres et je ne donne pas bien cher de la protection de vos données biométriques telles qu’elles sont stockées actuellement si jamais vous avez osé franchir le pas.

Car le vol de données biométriques, ça signifie par extension la possibilité d’usurper votre identité. Je me projette un peu dans le futur mais on n’en est pas si loin… Et le plus triste c’est que les experts qui ont concu ces fameux passeports n’y pigent pas grand chose. Le passeport britannique (déjà diffusé à 3 millions d’exemplaires) contient une puce RFID… dont le mécanisme a été cassé en fin d’année dernière. Adieu veaux, vaches, cochons, empreintes et cash…

Imaginons encore un scénario apocalyptique mais bel et bien faisable. Sachant que 3 millions de britanniques ont un tel passeport, que le mécanisme de protection a été cassé et qu’avec un peu de matériel on peut lire à distance le contenu du passeport des personnes passant devant. Et nous voilà face à une valise ou un colis déposé dans un lieu public, qui explose dès qu’il a identifié la condition suivante : « count=10 && sex=male && age>18 && nationality=usa ». Techniquement ce serait réalisable sans trop de difficultés… peut-être même bien en Python…

La surveillance des personnes à distance, c’est déjà en place avec les telephones mobiles et les cartes de type Oyster ou Navigo. On pourrait imaginer pire encore. Le data-mining ultra-granulaire dans les magasins permettant d’identifier nationalité par nationalité ce que chaque acheteur vient faire dans le magasin, en le suivant individuellement dans les rayons, mesurant chaque pause, chaque hésitation et bien entendu ce qu’il achète. Je suis persuadé qu’il existe des centaines de blogs et autres sites web racontant déjà tout cela.

Mais ce qui me chagrine, c’est encore une fois qu’avec un simple appareillage disponible librement sur Internet on puisse casser tous ces mécanismes RFID. Le plus bel exemple étant la démonstration par Adam Laurie lors de la dernière conférence BlackHat qu’avec un simple script en Python et un peu de matériel on puisse aller trifouiller tous les RFID que l’on trouve partout… y compris sur le passeport britannique. Affligeant. J’ai adoré son humour : il a appelé son outil « RFID IO t-ool », pour montrer l’idiotie et la bêtise des industriels en question… On commence à trouver des étuis blindés pour limiter la casse, mais c’est à mon avis le début de l’affaire vu les enjeux financiers.

6 Comments »

Bruno Kerouanton on mai 3rd 2007 in IT Security

6 Responses to “Nous allons tous devenir RFIDiots”

  1. Athalyan responded on 04 Mai 2007 at 11:39 #

    J’aime beaucoup l’expression "crotte de mouche" ;o)

  2. Cédric Pernet responded on 06 Mai 2007 at 22:50 #

    C’est vrai que les industriels se sont jetés trop rapidement sur la techno RFID … Elle a plein d’applications qui peuvent être sympa, mais ne devrait pas être utilisée telle que conçue à l’heure actuelle pour "sécuriser" …
    Sinon, ben moi j’aime bien Python ;-))

  3. gandara responded on 09 Mai 2007 at 19:10 #

    Super intéressant ce post! Inquiètant aussi!

  4. Bruno Kerouanton responded on 22 Mai 2007 at 11:38 #

    Et puisque tu évoques les technologies lancées à grande échelle sans en prévoir les conséquences, j’invite mes quelques lecteurs à aller sur le site du Club des Vigilants et à y découvrir un excellent article (ainsi que mon propre commentaire) sur le sujet :
    http://www.clubdesvigilants.com/...

  5. Bruno Kerouanton » biorootkit responded on 27 Août 2007 at 17:29 #

    […] sécurisées dans une zone spéciale inaccessible de la clef… Enfin, vous connaissez déjà mon avis sur le sujet de la […]

  6. Bruno Kerouanton » Un très bon MISC responded on 27 Sep 2007 at 9:31 #

    […] de comprendre les vrais enjeux de ces pucesRFID… et qui rejoint ce que j’avais déjà exposé sur ce même blog il y a quelques […]

Trackback URI | Comments RSS

Laisser un commentaire