RFID : attention virus !

Michel Rousseau,

D’après les scientifiques de l’université libre d’Amsterdam, les puces RFID peuvent constituer une réelle menace pour la vie privée, et sont de plus susceptibles de contracter des virus informatiques

C’est d’ailleurs l’expérience à laquelle se sont livrés ces chercheurs, ce en dépit de la faible capacité mémoire de ces puces.

Le problème, c’est qu’un tag RFID infecté, lorsqu’il est lu par un scanner mobile ou un portique, peut parfaitement contaminer un base de données traitant l’information de la puce, comme le soulignent Melanie Rieback, Bruno Crispo et Andrew Tanenbaum, cités par Reuters. « Tout le monde présumait jusqu’à présent que le logiciel back-end ne pouvait pas être contaminé et certainement pas par un code malicieux. Malheureusement, c’est faux ! On peut parfaitement infecter une étiquette avec un virus et le transmettre ensuite à la base de données. Qui plus est, il est facile de transmettre le virus d’étiquette à étiquette », ajoutent-ils. Bref, ceci nous promet de beaux jours, notamment si des terroristes s’emparent de cette technique pour parasiter le système de contrôle des bagages d’un aéroport. On voit d’ici les conséquences. Par ailleurs, cette technologie pourrait être employée pour foutre le b? dans les bases de données des supermarchés. « Nous avons voulu tirer la sonnette d’alarme avant que les premiers incidents ne surviennent. C’est à l’industrie de produire des puces non vérolables », précise Andrew Tanenbaum. D’autant plus que la RFID va être de toutes les fêtes dans le cadre de l’Internet des objets, depuis les bouteilles de shampoing jusqu’aux tee-shirts des marathoniens en passant par les pièces d’avion produites par Boeing ou Airbus. Tout ceci n’empêche pourtant pas des géants de la distribution, tel Metro, de réaliser 8,5 millions d’euros d’économies d’échelle par an grâce à la RFID qui lui permettra de tracer les stocks de ses fournisseurs. Avec un prix du tag en chute libre (14 centimes d’euros à l’heure où nous écrivons cet article), avec une annonce lors du CeBIT, faite par Ian Furlong, le président de la division Solution Services d’Intel, selon laquelle ce prix devrait rapidement atteindre les 5 cents, on mesure mieux l’amplitude de la menace potentielle qu’une pandémie virale risque de faire courir à ce nouveau pactole. Proof of concept

L’équipe de l’université libre d’Amsterdam vient dedévelopper un virus de moins d’1 Ko sur une plate-forme Windows utilisant une base Oracle 10g et un lecteur RFID Philips. Plusieurs scenarii d’attaque ont ainsi été modélisés, dont l’installation d’un tag infecté dans un supermarché pour affecter sa base de données produits et y accéder ou encore la modification de l’identifiant de la puce d’un animal (problème de bétail infesté). Certains vont même jusqu’à penser que l’on pourrait assister à des opérations de phishing RFID et de war-driving.