Un incident, survenu le 28 février à l'occasion de la conférence Black Hat a attiré l'attention du Computer Emergency Response Team au sein du département de la sécurité interne des USA. En effet, lors de cet événement, le groupe de consultants du cabinet IOActive a déclaré remettre sa démonstration de la manière de pirater une puce RFID, suite à des pressions subies de la par du fondeur HID Corp.
Toutefois, l'un des membres du team a donné son accord pour examiner immédiatement les vulnérabilités de la puce, s'il faut en croire les médias présents.
" Le seul but d'IOActive était d'attirer l'attention des acteurs de la sécurité sur les vulnérabilités de cette technologie, et de démontrer par là qu'aucune technologie ne saurait de passer de sécurisation", a déclaré Joshua Pennel, le président d'IOActive.
Selon Pennell, son entreprise aurait été contactée par HID Global pour mettre un frein à sa présentation car celle-ci pouvait éventuellement violer certains brevets.
HID a bien entendu dénié avoir menacé IOActive. " En aucun cas nous n'avons demandé à IOActive d'annuler leur présentation. De fait, cette décision nous a beaucoup surpris et surtout son motif ! Telle n'était pas notre intention !"
Bref, à quand le blanchiment de puces ?
Petite précision :
C'est Chris Paget qui a mis au point un clône de puce RFID pour 20$ capable de voler les infos d'accès sur des cartes HID grand public, capable ensuite de les stocker puis d'utiliser le code volé afin de tromper un lecteur de carte HID.
HID a déclaré que l'intervention de Paget violerait les droits de deux brevets possédés par la société, l'un datant de 1991, l'autre de 1992. Les deux brevets couvrent des méthodes de détection du signal RFID entre un transpondeur construit dans un appareil et son "interrogateur".
L'incident n'a pas été traîté par une cour de justice, car s'il l'était et si un juge donnait raison à HID cela signifierait que critiquer une société, ou en révéler une faille, conduirait à enfreindre la loi sur la protection des brevets. De quoi donner des sueurs froides.