SECURITE 
Sommaire Sécurité
Thomas Gayet (Lexsi) : "L'étiquette RFID est un canal de transmission de virus comme l'était la disquette"
Les étiquettes RFID ne sont plus à l'abri des virus. Des chercheurs hollandais viennent en effet de mettre en évidence des failles pouvant devenir un véritable relais de vulnérabilité au cœur du SI.  (20/03/2006)
Thomas Gayet est responsable du service de veille technologique au sein de LEXSI (Laboratoire d'EXpertise en Sécurité Informatique), cabinet indépendant d'audit et de conseil en sécurité informatique. Il intervient également en qualité de consultant sécurité.

  En savoir plus
 Lexsi
Dossier Failles
JDN Solutions. Que pensez-vous de la faille de sécurité mise en évidence dans la RFID par les chercheurs hollandais ?
Thomas Gayet. La menace est très limitée car elle n'aura pas de répercussion à court et à moyen terme dans le monde. Le scénario de l'attaque, tel que les chercheurs hollandais l'ont présenté, est assez complexe.

Ce cas de figure nécessite en effet une très bonne connaissance du système d'information de l'entreprise, comme le format du système de gestion de base de données par exemple. La faille repose donc avant tout sur la sécurisation de l'étiquette RFID par les équipes de gestion, et non sur l'étiquette elle-même.

Il est possible d'assimiler la puce RFID à n'importe quel support informatique contenant un code malveillant. Cette trouvaille permet de rappeler les enjeux de la sécurité de la RFID, aspects qui n'avaient jamais été soulevés jusqu'ici. Cependant, la vulnérabilité ne provient pas de l'étiquette mais du développement applicatif.

Il en résulte un manque de contrôle des données de la puce avant de les utiliser sur le système de gestion de l'entreprise. Nous sommes fâce au même problème qu'avec les applications Web. Cette faille nommée "SQL injection" ouvre le dialogue avec la base de données et ce, grâce à un langage de script qui fait interface entre les données lues sur la puce et le système de gestion de base de données utilisé.

Quelle peut être la propagation d'un tel code et quels sont les moyens techniques et humains pour y remédier ?
Le scenario identifié par ces chercheurs est relativement simple : après intrusion du code malicieux sur la puce, le virus s'introduit sur le SI. Ensuite, il peut contaminer toutes les autres puces présentes sur les étiquettes. Par la suite, il serait possible qu'il se propage vers d'autres SI présents sur d'autres sites physiques, après dissémination géographique, en cas de transfert d'un colis contenant la puce incriminée par exemple.

Isolée, la puce RFID n'est pas vulnérable, c'est une faille du SI.
Mais je tiens à rappeler que la puce RFID isolée n'est pas coupable de cette faille et n'agit pas seule. Aujourd'hui, il est cependant possible d'exploiter une faille classique de gestion par les puces RFID comme il était possible de le faire avec des disquettes il y a 20 ans.

Nous retombons dès lors sur des généralités. Il convient de ne pas accorder de confiance aux données fournies par la puce, et dont de sécuriser les différents éléments du système de gestion. Il me paraît essentiel de faire auditer le code de l'application pour ensuite évaluer l'intégrité des données, afin que l'application puisse gérer les données sécurisées entre tous les élements de la chaîne du système de radio-identification.

Les antivirus ne sont pas utiles pour cela. Il faut du contrôle technique sur les données. De plus, les moyens humains sont limités, car filtrer le contrôle d'accès au scanner ne changerait rien. Par ailleurs, sur une aussi petite quantité d'espace de stockage qu'offrent les étiquettes RFID, il est intéressant de montrer le risque encouru.

Une telle faille ne risque-t-elle pas de freiner le décollage - lent pour le moment - de la RFID en Europe ?
Non, je suis convaincu de l'intérêt technologique de la RFID pour des applications où le besoin n'est plus à démontrer comme pour la grande distribution ou la traçabilité agricole. L'annonce d'aujourd'hui n'aura pas un impact important sur le développement de la RFID. Ceci représente surtout une alerte qui réveillera les esprits sur les problématiques de la RFID et la securité.

Techniquement, il me paraît qu'aucune solution miracle n'existe ou pourrait se substituer à celles présentes. Dans l'absolu, une puce passive, possédant uniquement la fonction lecture, serait censée être mois vulnérable qu'une puce active ayant aussi la fonction écriture, mais une puce passive peut déjà être pré-chargée avec un virus et donc être elle aussi dévastatrice.

  En savoir plus
 Lexsi
Dossier Failles
Le système RFID sera sujet à des risques ou des vulnérabilités d'un autre domaine, comme l'usurpation d'identité et pourquoi pas l'interception de dialogue entre la puce et le lecteur. Enfin, en suivant ce nouveau scénario alarmiste, ces puces pourraient aussi provoquer un dépassement de tampon permettant d'accéder à la mémoire de la machine.

 
 
Christophe COMMEAU, JDN Solutions Sommaire Sécurité
 
 
Accueil | Haut de page
 
 

  Nouvelles offres d'emploi   sur Emploi Center
Auralog - Tellmemore | Publicis Modem | L'Internaute / Journal du Net / Copainsdavant | Isobar | MEDIASTAY

Voir un exemple

Voir un exemple

Voir un exemple

Voir un exemple

Voir un exemple

Toutes nos newsletters