• 22 octobre 2021 20h35

RFID « Sécurité » : Point/contrepoint

ByMarc

Déc 1, 2020

BusinessWeek a publié une interview de Scott McGregor de Phillips Semiconductor. Phillips est un leader dans le développement de la technologie d’identification par radiofréquence (RFID) ; M. McGregor dissipe avec brio les inquiétudes concernant l’impact de l’utilisation de la RFID sur la vie privée.

M. McGregor : « Lorsque j’achète un vêtement, l’une des premières choses que je fais en rentrant chez moi est de couper les étiquettes. Vous pouvez couper les étiquettes RFID de la même manière ».

Les étiquettes RFID sont minuscules et ne feront que s’affiner. Comment les découper lorsqu’elles sont
intégré dans un article ? Bien sûr, vous pouvez toujours les zapper – mais pourquoi les gens devraient-ils zapper tous leurs nouveaux achats pour éviter de perdre des données ?

McGregor : « Lorsque les scanners laser sont sortis [dans les supermarchés], tout le monde disait que les détaillants allaient collecter des informations sur ce que vous
acheter. Et rien de tout cela n’est arrivé. »

Tout cela est arrivé.

McGregor : « Identification médicale : Vos informations médicales sont stockées sur une puce, donc si vous avez une urgence et que vous êtes à l’hôpital, les médecins peuvent lire vos antécédents médicaux de manière sécurisée ».

Vos informations médicales privées stockées sur une puce ? Comment seront-elles sécurisées ? Est-ce que la
les données à chiffrer ? La gestion des clés cryptographiques est une débâcle totale (DeCSS, quelqu’un ?).

Et si le tag ne fait que stocker et rapporter un index dans une base de données, alors la base de données elle-même devient un livre de clés géant. Cette base de données est-elle destinée à être disponible sur Internet ? Si c’est le cas, c’est un livre ouvert.

McGregor : « De plus, les paiements sans contact sont cool – et Visa, lorsqu’elle les mettra en place, pourra offrir aux clients un produit haut de gamme et intéressant ».

Le fait que votre carte soit débitée par un voleur au hasard parce qu’il n’exige pas votre signature n’est ni « cool » ni « intéressant ».

M. McGregor : « La RFID pourrait aussi remplacer vos clés. La plupart des constructeurs automobiles avec lesquels nous parlons ont une carte que vous gardez dans votre portefeuille ou que vous intégrez à votre téléphone portable. Vous montez dans votre voiture, vous appuyez sur le bouton de démarrage, et le lecteur de la voiture lira la carte dans votre téléphone pour s’assurer que vous êtes bien le propriétaire de la voiture ».

Les fausses cartes RFID faciliteront le vol de voitures. Il suffit de scanner la carte RFID d’une personne à distance, puis de fabriquer une carte RFID qui réagit avec les mêmes informations que la sienne.

Mais ce problème serait peut-être résolu par l’utilisation de la cryptographie, en faisant exécuter le protocole cryptographique par l’ordinateur hôte/le téléphone portable. Mais quand il s’agit de cryptographie…

McGregor : « Nous sommes la seule entreprise qui peut faire un cryptage triple DES de haut niveau dans une étiquette RFID sans contact. »

Comme le soulignent Bruce Schneier et Niels Ferguson dans Practical Cryptography, le cryptage triple DES n’est pas un sujet de conversation : « 3DES a une clé plus grande [que DES], mais il hérite à la fois des clés faibles et de la propriété de complémentation de DES, ce qui est suffisant pour disqualifier le chiffrement selon nos normes. Elle est également fortement limitée par sa taille de bloc de 64 bits, qui impose de sévères restrictions sur la quantité de données que nous pouvons crypter avec une seule clé ».