Le 15 mars dernier, une étudiante de l’université Vrije d’Amsterdam
jetait le trouble lors d’une conférence de l’IEEE (Institute of Electrical and Electronics Engineers). Selon les conclusions de son groupe de
travail, les étiquettes RFID pourraient être utilisées pour corrompre des bases de données et diffuser des virus informatiques par le biais d’intergiciels mal conçus. Depuis, les professionnels du secteur se relaient pour mettre en pièces
l’exposé et rassurer les utilisateurs non avertis.‘ A la manière d’un cours introductif, l’article résume l’ensemble des attaques, non spécifiques à la RFID, dont pourrait être victime un système d’information très
faible ‘, observe Guillaume Gallais, directeur de l’offre mobilité et RFID chez Accenture. D’ailleurs, le terme RFID pourrait être remplacé par ‘ code-barres 2D ‘ ou n’importe
quel support électronique, estime Pim Tuyls, chercheur chez Philips Research. ‘ Surtout, ces attaques visant le back-end ne seraient pas nécessairement efficaces avec les lecteurs et les
middlewares actuels, qui n’acceptent que des données dans un format et une longueur spécifiques. Il serait bien plus aisé pour le hacker de passer classiquement depuis Internet. ‘En fait, ‘ c’est comme si l’on avait construit un système avec des failles invraisemblables et que l’on s’étonne de sa vulnérabilité ‘, résume Guillaume Gallais.
Un scénario confirmé par le spécialiste britannique de la protection antivirale Sophos, qui ne voit pas de vulnérabilité de ce type dans les middlewares RFID.
Des tags à la mémoire limitée
Alastaire McArthur, CTO du fournisseur de matériels RFID Tagsys, rappelle que ‘ l’immense majorité des tags possèdent une mémoire très limitée [96 bits le plus souvent, NDLR] et
disponibles en lecture simple pour des raisons de sécurité et de coût ‘, ce qui limite la possibilité d’accueillir un virus.
ajoute Henri Barthel, directeur technique de l’organisme de normalisation EPCglobal. Qui précise que l’environnement de laboratoire décrit par les étudiants ne correspond pas à la technologie certifiée EPC. Même l’Association
pour l’identification automatique et la mobilité (AIM Global) y est allée de son communiqué, balayant une par une les suppositions de l’article universitaire, ainsi que sa méthodologie.
Un avertissement sans frais
Dans une note récente, Jeff Woods, vice-président de la recherche chez Gartner, confirme que les systèmes bien conçus restent invulnérables à ces attaques. Il rappelle toutefois que la plupart des projets RFID adoptent comme
approche : ‘ déployer maintenant, sécuriser ensuite ‘, ce qui revient souvent à ‘ déployer maintenant, jamais sécuriser ‘.Un avertissement d’autant plus important qu’une nouvelle étude universitaire en provenance de Perth, en Australie, montre la possibilité de provoquer des dénis de service sur des tags fonctionnant sur la bande de fréquence
902-938 MHz Gen1 et sur des tags UHF Gen2.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.