 |
|
|
| |
|
|
| Sommaire Sécurité |
|
| Black Hat : la preuve du clonage des puces RFID attendra |
| La sécurité du RFID alarme de nouveau. Convié à la Black Hat, l'expert a dû renoncer à sa démonstration des failles des cartes sans contact, en raison des menaces de poursuites d'un constructeur.
(01/03/2007) |
|
La Black Hat, la grand-messe de la sécurité informatique qui se tient actuellement, vient d'être amputée d'un rendez-vous particulièrement attendu. La présentation du chercheur en sécurité d'IOActive, Chris Paget, devait porter sur les vulnérabilités de la technologie RFID (Radio Frequency IDentification). Il devait notamment démontrer avec quelle facilité il était possible de cloner une puce RFID.
Mais le vendeur de cartes de proximité, sans contact, embarquant la technologie RFID, HID Global, en a décidé autrement. Il a en effet menacé de poursuivre le chercheur pour violation de brevets si ce dernier révélait publiquement les résultats de ses travaux. En dépit de pourparlers entre IOActive et HID jusqu'à tard dans la nuit, le constructeur sera resté inflexible.
La démonstration du chercheur devait il est vrai porter sur les faiblesses de sécurité des produits commercialisés par HID et ses concurrents. Chris Paget avait pourtant déjà eu l'occasion, lors de la RSA Security Conference de San Francisco, de prouver la possibilité de voler les codes d'accès des cartes de proximité de HID, de les stocker avant de les réutiliser pour tromper un lecteur.
Sa présentation à la Black Hat devait inclure en outre des schémas et du code source pour permettre aux conférenciers de concevoir leur propre outil de clonage RFID. Un débat sur les vulnérabilités des différentes implémentations de cette technologie devait également se tenir à cette occasion. Mais face aux risques de poursuites, la petite entreprise de sécurité a préféré renoncer.
L'annulation et les menaces judiciaires sont perçus comme particulièrement préjudiciables pour un certain nombre d'experts en sécurité alors que les technologies RFID sont déjà utilisées. C'est notamment le cas du passeport, les DVLA (Documents de Voyage à Lecture Automatique). L'intégration aux pièces d'identité et au permis de conduire du RFID est également à l'ordre du jour.
| En 2006, Lukas Grunwald avait déjà cloné une puce RFID avec du matériel du marché |
Le FIDIS (Futur de l'Identité dans la Société de l'Information) rassemblant universités, instituts de recherche et entreprises européennes avait publié un manifeste à l'adresse des responsables des gouvernements et de l'industrie. Il y détaillait les failles exposant les titulaires de ces pièces d'identité numériques (lire l'article du 16/11/2006). Les données contenues dans les DVLA peuvent ainsi être interceptées et lues jusqu'à une distance de 10 mètres du porteur, et ce de manière totalement invisible.
Deux chercheurs, Mahaffey et Hering, ont démontré qu'en dépit de la toile de fibre métallique du passeport américain, une simple ouverture d'un demi-pouce suffisait pour intercepter à une distance de deux pieds les données (environ 60 centimètres). Une fois dérobées, celles-ci peuvent ensuite être clonées comme l'avait démontré Lukas Grunwald lors d'une précédente Black Hat. Il avait pour cela eu recours à des appareils du marché, à savoir un PC équipé d'un lecteur-enregistreur de cartes SmartCard et un lecteur de puces RFID (lire l'article du 08/08/2006).
Une étude des laboratoires de RSA et de l'Université du Massachusetts et d'Innealta avait quant à elle hissé le drapeau noir sur la sécurité des cartes de paiement sans contact. Débarquées en 2006, les cartes utilisent la technologie d'échange de données par radiofréquence. En émettant en clair à un lecteur de puces RFID, l'étude révélait qu'il était possible d'obtenir le nom du porteur, le numéro de la carte et la date d'expiration afin de concevoir un clone.
Visa, qui aurait livré six millions de ces cartes - le double pour Mastercard selon le RFID Journal -, explique cependant que le problème est résolu dans la seconde génération de cartes. Seul le numéro serait accessible en clair. En outre, les auteurs de l'étude ont dû modifier légèrement les lecteurs RFID pour parvenir à intercepter les données. Des informations parmi lesquelles ne figurait de toute façon pas le code de sécurité à trois chiffres.
|
| |
| |
|
|
|
|
|
|
Dossier 