vendredi 20 octobre 2017

Accueil du site > Technologie > « Les entreprises n’ont pas conscience des risques d’espionnage (...)

« Les entreprises n’ont pas conscience des risques d’espionnage industriel liés au RFID »

Propos reccueillis par Philippe Richard, 01net

mercredi 10 décembre 2008, sélectionné par Spyworld

logo

A l’occasion du salon RFID, Gildas Avoine, spécialiste de la sécurité de cette technologie à l’Université catholique de Louvain, en Belgique, en rappelle les différents dangers.

01net. : Quels sont les risques principaux liés au RFID ?

Gildas Avoine : Il y a quatre grandes familles de menaces. La première, qui est aussi la plus connue, est la fuite d’informations. Il peut s’agir de données révélées par l’étiquette [le tag, NDLR] comme par exemple l’identité d’un produit, votre itinéraire ou votre nom dans le cas d’une utilisation par un moyen de transport. Avec la RFID, tout est enregistré. Alors, la fuite d’informations peut aussi concerner sa base de données. Celle-ci peut-être la cible de pirates à la solde de concurrents, par exemple. Elle peut être en effet exploitée sous différentes formes. Si la base de données ne peut pas être piratée, alors on peut placer discrètement des lecteurs RFID près de ses hangars pour découvrir ce qui en sort.

Le deuxième risque est la traçabilité malveillante qui consiste à espionner les activités des individus. Mais c’est difficile à mettre en place contrairement à ce que l’on pense. Le troisième point est l’attaque dite de « déni de service » . Il s’agit de faire en sorte qu’un système soit paralysé [dans le cadre d’un site Internet, il s’agit de lui envoyer simultanément des millions de requêtes pour engorger le serveur, NDLR]. Imaginez qu’une chaîne de montage automobile utilise des tags pour gérer les pièces détachées. Une attaque consisterait à injecter dans cette chaine de faux tags qui perturberaient le fonctionnement en envoyant par exemple une pièce détachée dans le mauvais service. En quelque sorte, on introduirait des bugs dans le réseau de l’entreprise. Cette introduction peut se faire par le biais d’un employé qui installerait ces fameux tags près de la chaine logistique.

Quatrième et dernière menace : l’usurpation d’identité. Une personne pourrait tenter de créer un faux badge pour accéder à une zone protégée.

Pourquoi a-t-on ces problèmes de sécurité ? Il y a deux raisons. La première est que la RFID est une technologie trop récente pour être une solution facile à installer. Ceux qui conçoivent les tags en maitrisent la sécurité et savent dans quels contextes ils peuvent être employés. Mais les intégrateurs de ces solutions manquent d’expérience en sécurité et prennent des étiquettes bon marché et pas adaptées à leur application. La seconde explication est qu’aujourd’hui on voit beaucoup de tags conçus au milieu des années 90, c’est-à-dire à une période où le principal souci était le fonctionnement de la RFID. Il y a par exemple 1 milliard de tags Mifare Classic du fabricant NXP qui ont été vendus dans le monde depuis 1995. Et pourtant, ces puces, anciennes, sont très vulnérables comme l’ont démontré des attaques récentes aux Pays-Bas. Très peu d’entreprises qui les utilisent le savent !

Quelles mesures doivent prendre les entreprises pour être mieux protégées ?

La première mesure consiste à opter pour un tag adapté à son application. Parfois, cela implique de choisir un tag à deux euros l’unité [pour l’achat en grandes quantités, NDLR] qu’un modèle à 10 centimes. Depuis quelques années, les entreprises prennent conscience qu’il faut employer des puces contenant des algorithmes standardisés. Mais il ne faut pas se focaliser uniquement sur le tag, il faut aussi avoir une vision globale de la sécurité. Deuxième mesure : ne pas signer un chèque en blanc à l’intégrateur. Il doit préciser clairement contre quelles attaques son système résistera.


Envoyer : Newsletter Imprimer : Imprimer Format PDF : Enregistrer au format PDF PartagerPartager :