Une histoire de puces
Très utilisées dans la vie quotidienne, les puces électroniques ont peu à peu envahi notre environnement et sont désormais déclinées sous toutes les formes possibles et imaginables. Les plus connues sont certainement les puces RFID et les puces NFC.
Les puces RFID ou radio frequency identification sont des puces avec un composant électronique et une antenne qui permet d’émettre et de recevoir des données, activées par un champ magnétique, qui renvoie des données statiques. On s’en sert principalement pour la traçabilité et l’identification. En effet, la technologie utilisée permet de stocker et de retracer les utilisations du support dans lequel elles sont intégrées : carte Vitale, carte bancaire, mais également billets de concert, carte nationale d’identité et passeport.
Il existe deux raisons à cette utilisation. La première réside dans la contrefaçon. Il est beaucoup plus difficile de contrefaire un passeport ou une carte Vitale contenant une puce RFID car le contrefacteur doit également intégrer des données cohérentes dans le document contrefait, ce qui nécessite de solides connaissances. La seconde tient à la notion de sécurité : avec des documents incluant des puces RFID, il est possible pour les autorités compétentes de littéralement tracer les individus. Par ailleurs, on retrouve des puces RFID chez certains commerçants.
Pratique dans des hypothèses de terrorisme mais très inquiétants dans des hypothèses de respect de vie privée.
En effet, lire les informations contenues dans une puce RFID n’est pas un exploit. Avec un lecteur de puce et un programme adapté, n’importe qui ou presque est en mesure de lire les informations contenues sur la puce. Ainsi, lors du BarCamp organisé par la CNIL, une démonstration avait été faite. Sur les cartes Vitale, les derniers médicaments achetés et ayants nécessité la carte Vitale sont apparus en clair. Sur une carte bancaire, les derniers retraits, paiements par carte bancaire et débits également. Seule la carte bancaire jetable ne contenait aucune information stockée.
Qu’est-il nécessaire d’avoir pour lire les informations contenues dans une puce RFID : un lecteur de carte – certains sont disponibles pour moins d’une centaine d’euros – un programme adapté – facile à trouver sur Internet – et de bonnes connaissances en électronique. En effet, il faut paramétrer correctement le programme utilisé pour qu’il reconnaisse la norme utilisée par la puce RFID, normes qui sont créées afin de favoriser l’interopérabilité. Vous trouverez des explications sur les normes ici.
Par ailleurs, un vrai bagage en informatique n’est pas optionnel. A titre d’exemple, un des programmes utilisés pour lire les contenus des cartes de transports est écrit en python. Ainsi, lire les informations stockées n’est certes pas à la portée de tout le monde mais n’est pas irréalisable. Vous trouverez de la documentation très détaillée à ce sujet ici.
La NFC ou Near Fiel Communication sont des variantes des puces RFID, permettant un échange de données entre un lecteur et un terminal mobile ou entre terminaux mobiles. L’exemple que nous connaissons le mieux est celui des pass NAVIGO. Les informations sont envoyées dans un champ de communication très proche.
Le problème étant le stockage des déplacements dans le cas des cartes de transports et la volonté affichée des sociétés de transports de favoriser ce type de titre de transports, notamment en faisant payer une surtaxe pour ceux qui préféreraient utiliser les titres de transports plus traditionnelles.
Dans la mesure où les données des puces NFC sont dynamiques, elles sont non seulement « mobiles » mais également réinscriptibles, ce qui pose la question de l’altération des données.
On les trouve dans les cartes de transports, les badges en entreprise mais également dans les téléphones portables. Ainsi, le BlackBerry 9360 contient une puce NFC placée au dos du téléphone.
Raison officielle ? Permettre au détenteur du smartphone de s’en servir comme badge d’identification et dans un avenir plus lointain, comme moyen de paiement si les moyens de paiements sans contacts arrivent à gagner les faveurs du grand public. En effet, l’un des nouveaux défis technologiques des banques va consister à mettre au point un moyen de paiement sans contacts, utilisant des puces NFC.Très jolie sur le papier, cette idée est dangereuse à plusieurs égards. Tout d’abord, il convient de rappeler qu’en France, la CNIL a rejeté cette idée car elle n’est pas suffisamment sécurisée.Par ailleurs, cela soulève des questions éthiques quant à la protection de la vie privée.
Mais on peut toujours les détruire. Ainsi, lors de la 22eme édition du Chaos Computer Club, le RFID Zapper a été présenté, permettant, en résumé, de flasher les puces, les rendant ainsi totalement inactives.
Dans les deux cas, que l’on parle de RFID ou de NFC, le problème reste le même, à savoir l’absence de connaissance quant au stockage des informations qui sont envoyées à chaque fois que l’on se sert de cette technologie, la possible altération des informations et de façon plus globale, le respect de la vie privée.
Puce NFC
Bonjour,
Je pense qu’il aurait été important de parler des terminaux de paiement NFC prouver très faible recemment lors du HES 2012 par Renaud Lifchitz.
Bonjour,
Bonjour,
je n’étais pas au HES, donc à part donner le lien des slides, je n’aurais pas pu expliquer plus en profondeur 🙂
Il n’y a pas de faiblesse
Il n’y a pas de faiblesse dans les terminaux de paiements. Uniquement des données qui sont en clair au niveau de la carte, suffit de connaitre la norme ISO7816 et EMV pour y accéder.
Surtout que tu y étais à HES
Surtout que tu y étais à HES 🙂