Overblog
Editer l'article Suivre ce blog Administration + Créer mon blog
Stratégie & Usages de l'Internet des Objets Connectés
Stratégie & Usages de l'Internet des Objets Connectés

Les usages et approches stratégiques de l'IoT et des technologies au service des Smart City, Smart Industries et Smart Services

RFID et piratage

Quand la RFID fait la bombe

4 Août 2006

Rédigé par Michel Rousseau et publié depuis Overblog

Certains spécialistes estiment que la technologie RFID pourrait être utilisée pour créer des bombes qui n'exploseraient qu'à proximité d'une personne donnée.

La démonstration en a été faite à la conférence BlackHat 2006 à Las Vegas. 

Lors de leurs présentations Melanie Rieback, RFID SecurtiyPrivacynReseacher de la Vrije Universiteit d'Amsterdam et Lukas Grunwald CTO de DN-Systems Entreprise Internet Solutions Gmbh ont démontré que la RFID est peu sûre. Ils ont recensés une liste de menaces impressionnantes. Sans être totalement exhaustif, on peut citer les attaques suivantes :

Des Buffer overflows
Des possibilités d’insérer du code avec duplication des informations injectées.
De la SQL injection avec modification des bases de données -Des denis de service
Des attaques en « brute force »
Des manipulations des données sur le transpondeur...
Lors sa démonstration Melanie Rieback a présenté un exemple de ver pour la RFID construit avec 127 caractères soit 1 Kbit et un second pour MySQL qui pesait 2kbit pour 230 caractères environ.
Lukas Grunwald, pour sa part, a mis à jour plusieurs failles sur les nouveaux passeports européens qui utilisent des tags RFID. En prenant son propre passeport il a pu modifier le contenu des informations logiques (lu par les lecteurs lors du contrôle en douane) contenues dans son passeport et ainsi remplacer sa photo. 

Toutefois, ce sensationnalisme ne doit pas faire oublier un certain nombre de vérités premières. Tout d'abord, le fait que pour déclencher un tel dispositif il faudrait au préalable connaître le code identitaire du possesseur de la puce RFID (sinon, cela reviendrait à sauter à la g... de tout ce qui bouge, puisque, peu ou prou, tout le monde sera taggé), une opération qui est certes réalisable aujourd'hui par hacking (cf. les articles précédents sur ce sujet), mais qui à terme devrait être de plus en plus difficile à réaliser du fait des procédures de cryptage que certains (RSA, notamment, mais ce n'est pas le seul, loin s'en faut) sont en train de mettre en place. A moins, bien entendu, que le terroriste prenne pour référence l'empreinte cryptée contenue dans la puce. Ce qui amène d'ailleurs à un débat intéressant, puisque dans cette surenchère permanente qu'est la sécurité, la seule parade serait alors d'utiliser des tags RFID actifs dotées d'un token (jeton) changeant toutes les 30 secondes, ou tout du moins dans un délai inhibant les opérations de piratage puis de posage de bombe.

Bref, en ce proche début de week-end, il est permis de délirer...

Partager cet article
Repost0
Pour être informé des derniers articles, inscrivez vous :
Vous aimerez aussi :
L'open source craque la RFID 125 KHz
L'open source craque la RFID 125 KHz
RFID et "chapeau blanc" : propos d'une hackeuse professionnelle
RFID et "chapeau blanc" : propos d'une hackeuse professionnelle
Sécurité RFID : le financement de la recherche arrive
Sécurité RFID : le financement de la recherche arrive
Le point (temporaire) sur les menaces pesant sur la RFID
Le point (temporaire) sur les menaces pesant sur la RFID
Projet Bridge : appel à candidatures
RFID : les WC étaient fermés de l'intérieur !
Commenter cet article
Thème Magazine - Hébergé par Overblog