mercredi 18 octobre 2017

Accueil du site > Technologie > La vulnérabilité des étiquettes radio reste à prouver

La vulnérabilité des étiquettes radio reste à prouver

Boris Mathieux, 01 Informatique

mardi 25 avril 2006, sélectionné par Spyworld

logo

Les professionnels de l’identification automatique réfutent des hypothèses universitaires de vulnérabilité des systèmes RFID. A condition qu’ils soient bien conçus.

Le 15 mars dernier, une étudiante de l’université Vrije d’Amsterdam jetait le trouble lors d’une conférence de l’IEEE (Institute of Electrical and Electronics Engineers). Selon les conclusions de son groupe de travail, les étiquettes RFID pourraient être utilisées pour corrompre des bases de données et diffuser des virus informatiques par le biais d’intergiciels mal conçus. Depuis, les professionnels du secteur se relaient pour mettre en pièces l’exposé et rassurer les utilisateurs non avertis.

« A la manière d’un cours introductif, l’article résume l’ensemble des attaques, non spécifiques à la RFID, dont pourrait être victime un système d’information très faible », observe Guillaume Gallais, directeur de l’offre mobilité et RFID chez Accenture. D’ailleurs, le terme RFID pourrait être remplacé par « code-barres 2D » ou n’importe quel support électronique, estime Pim Tuyls, chercheur chez Philips Research. « Surtout, ces attaques visant le back-end ne seraient pas nécessairement efficaces avec les lecteurs et les middlewares actuels, qui n’acceptent que des données dans un format et une longueur spécifiques. Il serait bien plus aisé pour le hacker de passer classiquement depuis Internet. »

En fait, « c’est comme si l’on avait construit un système avec des failles invraisemblables et que l’on s’étonne de sa vulnérabilité », résume Guillaume Gallais. Un scénario confirmé par le spécialiste britannique de la protection antivirale Sophos, qui ne voit pas de vulnérabilité de ce type dans les middlewares RFID.

Des tags à la mémoire limitée

Alastaire McArthur, CTO du fournisseur de matériels RFID Tagsys, rappelle que « l’immense majorité des tags possèdent une mémoire très limitée [96 bits le plus souvent, NDLR] et disponibles en lecture simple pour des raisons de sécurité et de coût », ce qui limite la possibilité d’accueillir un virus.

« La norme UHF Gen2 rend impossible ce type d’attaques, car elle empêche d’envoyer une commande depuis le tag, lu dans un format bit par bit par un interrogateur autorisé », ajoute Henri Barthel, directeur technique de l’organisme de normalisation EPCglobal. Qui précise que l’environnement de laboratoire décrit par les étudiants ne correspond pas à la technologie certifiée EPC. Même l’Association pour l’identification automatique et la mobilité (AIM Global) y est allée de son communiqué, balayant une par une les suppositions de l’article universitaire, ainsi que sa méthodologie.

Un avertissement sans frais

Dans une note récente, Jeff Woods, vice-président de la recherche chez Gartner, confirme que les systèmes bien conçus restent invulnérables à ces attaques. Il rappelle toutefois que la plupart des projets RFID adoptent comme approche : « déployer maintenant, sécuriser ensuite », ce qui revient souvent à « déployer maintenant, jamais sécuriser ».

Un avertissement d’autant plus important qu’une nouvelle étude universitaire en provenance de Perth, en Australie, montre la possibilité de provoquer des dénis de service sur des tags fonctionnant sur la bande de fréquence 902-938 MHz Gen1 et sur des tags UHF Gen2.

Questions/réponses

Quels types d’attaques semblent réalistes ?

Certains systèmes d’information en place pourraient se montrer vulnérables à une attaque par « débordement de tampon », selon Gartner. Ce qui aurait pour conséquences la prise de contrôle d’un lecteur RFID ou d’une partie de l’intergiciel, et éventuellement du reste du réseau.

En revanche, pour les intergiciels respectant l’architecture du standard EPCglobal, les étiquettes RFID ne contiennent que des données de références. Ils ne peuvent donc pas faire l’objet d’une insertion de code. De même, Gartner ne connaît aucune application RFID autorisant l’injection directe à partir d’une commande SQL dans la base de données.

Quelles mesures faudrait-il prendre ?

S’assurer que les contrôles d’erreur et de taille s’effectuent à travers tout logiciel déployé, et en particulier sur les plates-formes middlewares. Vérifier les processus de production d’étiquettes RFID pour éviter que des codes malveillants se glissent dans les systèmes d’information. Ne pas déployer d’étiquettes RFID contenant des codes exécutables.


Envoyer : Newsletter Imprimer : Imprimer Format PDF : Enregistrer au format PDF PartagerPartager :