Le quotidien numérisé: RFID, respect de la vie privée et sécurité

S-RFID, trois différents aspects de la sécurité Le mot sécurité lorsqu'il est utilisé avec le terme "transpondeurs" peut avoir trois significations différentes. La première concerne l'utilisation de la technologie RFID dans le cadre des systèmes de lutte à la contrefaçon des produits de luxe, des oeuvres d'art, des documents personnels, des certificats d'origine, etc... Il s'agit d'une des applications les plus simples; elle se base sur la propriété intrinsèque des microprocesseurs qui ne peuvent pas être clonés car ils contiennent, sous une forme hard-wired un numéro de série d'identification univoque (c'est à direqu'il est inséré dans le microprocesseur par le producteur lui-même). La seconde signification s'applique aux projets qui ont pour objet la sécurité. On peut citer par exemple le projet qui est sans aucun doute le plus important au monde parmi ceux qui utilisent la RFID et qui a été lancé par le DOP, Département américain de la Défense: le TAV, Total Asset Visibility Network. Ce projet a pour objectif de permettre aux producteurs, aux expéditionnaires et aux autorités portuaires de contrôler le contenu et la position de plus de 17.000 containers qui chaque jour entrent dans les ports des Etats Unis : il permet de suivre à la trace chaque container et son contenu et de s'assurer que son intégrité ne pourra pas être violé entre son point de départ et sa destination. Le système devrait être installé dans de nombreux ports, aéroports et plates-formes multimodales partout dans le monde. Selon les déclarations du Ministère de la Défense, il faudra des années avant que ce système ne soit complètement opérationnel mais il permettra d'identifier tout type d'intervention non autorisée ou simplement tout retard au niveau de la logistique. L'objectif déclaré est d'éviter que des containers puissent être utilisés pour introduire à l'intérieur des USA par exemple des armes de destruction de masse. Il ne fait aucun doute qu'un système de ce type aura des retombées positives très importantes pour les opérateurs de la logistique qui y seront impliqués, dans la mesure où il leur permettra de contrôler tout le processus logistique, de son origine jusqu'à sa destination finale. Venons-en enfin au troisième sens du terme sécurité, peut-être le plus large et difficile à appréhender: la certitude que les systèmes fonctionnent comme ils ont été conçus, sans pannes ni erreurs, en d'autres termes sans créer de dommages à ceux qui les utilisent. Le problème se pose surtout pour les systèmes qui disposent de lecteurs interconnectés à des réseaux dans la mesure où ces derniers les exposent en théorie à tout type de risques et d'attaques malveillantes de la part de tiers. Ils peuvent également connaître des problèmes de disfonctionnement provoqués par des erreurs ou des défauts de conception typiques des systèmes complexes. D'autant part, il est illusoire de penser que l'on puisse renoncer à connecter en ligne un ensemble de lecteurs si on veut obtenir tous les bénéfices possibles d'une intégration de système et un retour sur investissement maximum. Définition de la sécurité Il est possible de définir un ensemble de précautions nécessaires et suffisantes à mettre en oeuvre pour protéger nos informations: o protéger toutes les données présentes dans le système o protéger les réseaux de transmission, câblés ou sans fils sur lesquels circulent les informations o protéger le transfert de données d'un composant du système à l'autre o garantir que les informations seront transmises et reçues sous une forme qui n'a pas subit d'altération. D'un système à l'autre, d'un composant à l'autre, la sémantique peut varier mais pour garantir la sécurité, il faut assurer: o Des identifications certaines de façon à ce que seul l'utilisateur légitime puisse accéder au système et aux services o La confidentialité et le respect du caractère privé des informations, de façon à ce que les informations personnelles et sensibles soient protégés. o L'intégrité en s'assurant que les données, les plateformes et plus en général, le système n'ont pas été violés o La disponibilité des données en assurant que seuls les utilisateurs légitimes puissent y accéder à tout moment. Nous avons dressé une liste succincte des principes nécessaires à garantir la sécurité mais il faut bien comprendre que cette simplicité n'est qu'apparente dans un système complexe comme l'est nécessairement tout système en réseau dont l'intelligence est largement distribuée. La sécurité tire de toute façon son origine de la phase de conception du système, surtout parce que l'utilisation de la RFID -et à fortiori quand elle intervient dans une application de Supply Chain- constitue une rupture technologique par rapport à la façon avec laquelle nous étions jusqu'à présent habitués à projeter les systèmes. En effet elle rend inutile l'intervention humaine dans la gestion du flux des matériaux: ce n'est plus l'homme qui se déplace avec un terminal portable pour relever l'identité d'une Unité de chargement mais c'est l'Unité de chargement elle-même qui s'identifie au passage d'un portail de contrôle ou d'une zone de lecture. En d'autres termes, toutes les habitudes que nous avons développées depuis l'antiquité ont été mises à plat et nous avons transféré la responsabilité de l'identification du flux logistique de l'homme à l'Unité de Chargement, et donc au système et en même temps que la responsabilité, son efficacité, sa fiabilité et sa sécurité. Et en outre, une seconde révolution accompagne celle ci: l'interactivité entre les Unité de chargement et le système informatique. En effet la RFID non seulement véhicule des informations mais elle est également en mesure de dialoguer avec le système informatique et, si nécessaire, elle peut prendre des décisions comme celle de choisir la prochaine destination d'un paquet en fonction d'événements qu'elle aura identifiés au moyen des capteurs auxquels elle est reliée. Il se crée ainsi un lien intelligent entre le monde physique et le monde virtuel de l'informatique. A partir de ces considérations, on peut facilement comprendre qu'il est important d'adopter une approche holistique en phase de conception d'un système logistique qui inclut des systèmes RFID, intelligents ou non, afin être certain que le système sera par la suite fonctionnel mais surtout qu'il ne mettra pas en péril la sécurité du système de niveau supérieur dans lequel il est inséré. Les risques qu'il faut prendre en compte lors de la conception des systèmes Pour être plus clairs, prenons en exemple quelques points qui illustrent la façon dont devrait être conçu un système RFID sur le plan de la sécurité. Nous avons choisi de ne pas tenir compte ici du fait que certains risques paraissent réalistes et d'autres extrêmement improbables. En effet l'expérience a démontré qu'un risque improbable aujourd'hui peut devenir un risque sérieux au moment où on se l'attend le moins, surtout si le contexte change - parfois sans même que l'on s'en apercevoir de manière évidente-. Par exemple qui aurait pu imaginer il y a seulement six ou sept ans de cela que la capacité d'intrusion malveillante au sein des systèmes d'information d'autrui au travers du Web serait devenue aussi facile et pratiquement à la portée de n'importe quel expert des PC et des réseaux. L'augmentation de la puissance de calcul des PC a en effet permit la création de logiciels de scanning très puissants et de nombreux systèmes informatiques d'entreprises en ont fait les frais avant que n'aient été mis au point les systèmes de défense appropriés que sont les firewall. La communication entre le transpondeur et le lecteur se fait sans fil, ce qui veut dire qu'elle peut être interceptée de façon invisible. La transmission du transpondeur, qui dans des systèmes passifs est constituée de signaux très faibles - à l'heure actuelle, ils atteignent difficilement un mètre de distance dans le cas de la fréquence 13,56 MHz et 3 ou même 4 m dans le cas de transpondeurs à 870 MHz (systèmes EPC) - ne constituent pas une véritable préoccupation. Mais, la question devient autrement plus délicate si on pense qu'avec des antennes paraboliques, qui pourraient très bien être cachées à l'intérieur d'une protection en plastique et placées sur un fourgon au delà des murs externes d'une entreprise, la distance de réception d'un transpondeur pourrait être largement augmentée ce qui permettrait d'intercepter sans difficulté la transmission d'un transpondeur a 870 MHz ou même à 13,56 MHz installés sur un portail de contrôle d'entrée ou de sortie de marchandises. Une personne mal intentionnée pourrait connaître tous les détails, les numéros de série, le code produit, les informations relevées par les capteurs qui sont éventuellement reliés au système, l'historique du parcours logistique de chacun Unité de Chargement, sa destination et toute les informations qui aurait été mémorisées. La transmission des lecteurs au transpondeur, qui est bien plus puissante, est déjà identifiable avec des antennes conventionnelles à des distances encore plus importantes, et cela en raison des caractéristiques techniques des lecteurs. Cet aspect représente une source encore plus importante de préoccupation si le lecteur est doté d'une fonction anticollision comme cela sera le cas dans la grande majorité des projets. Alors qu'un lecteur qui ne fonctionne pas en modalité anticollision émet uniquement des signaux afin d'activer la lecture de n'importe quel transpondeur qui passe dans son champs d'action, un système anticollision doit nécessairement, en raison de son architecture à arborescence, faire taire tous les autres transpondeurs qu'il ne souhaite pas lire à cet instant. Pour cela, il doit diffuser par radio au moins une partie de leur numéro de série. Cela veut dire qu'une personne malveillante qui serait à l'écoute aurait de bonnes probabilité d'entrer en possession d'au moins la partie initiale des numéros de série qui identifient les transpondeurs, et donc de savoir, sur la base de l'expérience, quelle famille de produit est manipulée. Il n'arrivera toutefois pas à connaître directement le détail de toutes les informations logistiques déjà citées. Dans les cas que nous avons pris en exemple, les informations pourraient être utilisées à des fins statistiques ou à des fins d'espionnage industriel comme la recherche d'informations sur les flux d'un concurrent ou, pire encore, dans le premier cas, pour générer directement des dommages en modifiant les informations contenues dans le transpondeur. Une modification des informations contenues dans les capteurs qui ne pourrait pas être décelée, permettrait d'envoyer une partie de l'expédition à une destination erronée ou encore de la faire mettre au rebus à son arrivée à destination. Il existe évidemment des solutions très simples pour éviter le premier type de problème (la lecture directe des transpondeurs) qui consistent à protéger les champs d'écriture des données non stratégiques, mais surtout la cryptographie. La cryptographie présente uniquement un problème de coût, qui n'est d'ailleurs pas très élevé en absolu, mais qui pourrait globalement devenir excessif pour certaines applications qui nécessitent de gros volumes et des transpondeurs mono usages utilisés sur des produits de faible valeur. Nous pensons donc que le marché s'orientera sans aucun doute vers des systèmes protégés au moyen de la cryptographie uniquement pour des transpondeurs à forte valeur ajoutée et spécialement pour ceux qui sont connectés à des capteurs, Il est en revanche difficile d'imaginer quelle solution sera adoptée pour les grandes quantités de transpondeurs à faible coût. Dans ce cas, les solutions doivent obligatoirement être pensées en phase de conception du système et s'orienteront vers le blindage électronique des portails de contrôle, le stockage obligatoire des marchandises dans des entrepôts électroniquement blindés à moins que les producteurs de transpondeurs n'arrivent à proposer des modèles activables ou désactivables au moyen de clés électroniques sûres et peu coûteuses.

Risques de violation de la vie privée et systèmes pour les éviter Puisque nous nous occupons de l'interception des informations qui sont mémorisées dans les transpondeurs, voyons brièvement le problème de l'interception qui peut intervenir après que le transpondeur soit sorti du circuit logistique et lorsqu'il arrive au consommateur final, par exemple dans son panier de commissions ou sur l'étiquette du vêtement qu'il porte. Une interception éventuelle ne poserait pas un problème de sécurité mais plutôt d'atteinte à la vie privée. Précisons tout de suite qu'il n'existe pas de solution parfaite pour résoudre tous les problèmes mais que les producteurs réalisent actuellement des recherches et des essais pour trouver des solutions efficaces. La première possibilité consiste à désactiver de façon permanente, au moyen d'une commande killer, l'étiquette avant qu'elle n'entre en possession du consommateur. L'étiquette désactivée de cette façon là ne pourrait en aucun cas être de nouveau activée. Il faut toutefois bien se rendre compte que cette solution pourra rarement être utilisée. En effet le consommateur pourrait souhaiter que l'étiquette reste active même après qu'il soit entré en possession du produit pour pouvoir par exemple transmettre à un four à micro-onde les instructions de cuisson d'un plat. Les premières applications intelligentes au service du consommateur existent d'ailleurs déjà. Citons celle de Prada à New York: les étiquettes des vêtements que le client porte sont lues afin de mieux orienter le choix des accessoires que l'on peut lui proposer. D'autres applications déjà en service concernent le contrôle d'accès, la protection contre les vols et les cartes de crédit et de paiement sans contact. Il est très probable, pour ne pas dire certain, qu'une technologie low cost aussi puissante que celle des étiquettes RFID sera utilisée dans de nombreuses applications que nous ne parvenons même pas à imaginer aujourd'hui. Il est donc nécessaire que les étiquettes électroniques restent actives même quand elles rentrent en possession des consommateurs. Ces considération rendent donc impraticable l'approche Killer. Nous avons dressé un inventaire significatif d'un certain nombre d'applications probables des étiquettes RFID dans un box en marge de l'article. Une autre solution consiste à blinder les transpondeurs au moyen de cages de Faraday, imperméables aux ondes radio et constituées de filets métalliques fins ou d'une pellicule d'aluminium. Bien que cette solution semble être utilisable pour des portefeuilles ou des sachets shopper qui connaîtront sans doute une large diffusion, elle ne peut pas être utilisée pour des montres, des vêtements ou même des êtres humains. Il y a ensuite la solution de l'Active Jamming, qui consiste pour le consommateur à porter sur lui un petit émetteur radio qui produit des ondes radio sur la même fréquence que les étiquettes électroniques de façon à empêcher les communications des étiquettes. Cela nous semble une solution difficilement praticable en raison des risques d'interférence RF avec d'autres systèmes et du bombardement RF constant auquel cette personne ainsi que les personnes qui lui sont proches seraient soumises. Il est donc probable que des dispositifs de ce type seraient rapidement interdits par le législateur. Un autre solution est celle de l'Hash-Lock » qui permet de bloquer une étiquette de façon à ce qu'elle refuse de fournir son ID. L'opération de blocage attribue à l'étiquette une valeur y, une sorte de meta-ID qui peut être déverrouillée avec un code personnel dont la valeur x s'exprime par la fonction y = f(x). Mais cette solution implique que le consommateur se souvienne du code personnel de chacun des transpondeur en sa possession; à moins qu'on ne trouve une solution qui permette de donner à tous les produits achetés par un consommateur le même code personnel par exemple au moyen d'un dispositif de signature électronique standardisée. Pour les transpondeurs qui se trouvent sur des produits d'une certaine valeur, et qui ont eux même un certain coût et disposent d'une mémoire assez puissante, la solution meilleure reste certainement la cryptographie: le décodage serait assuré par l'étiquette électronique elle-même lorsqu'elle serait interrogée par une personne habilitée. Une étiquette possède en effet la capacité de réaliser le décryptage sur des systèmes externes au transpondeur mais cette solution aurait probablement un coût excessif en raison de la nécessité de mettre en œuvre de nombreux contrôles dans les lieux publics ou dans les divers environnements où le transpondeur est utilisé. Une dernière possibilité est représentée par le système « blocker tag » qui simule lorsque cela est nécessaire, c'est à dire uniquement quand il relève une interrogation RFID, tout le spectre des numéros de série univoques de tous les transpondeurs possibles, en bloquant de fait la possibilité du lecteur de lire les étiquettes électroniques qui se trouvent autour de la personne qui porte sur elle le blocker tag. Un blocker tag peut être programmé pour protéger uniquement une certaine série d'identificateurs univoques. C'est également un dispositif économique puisqu'il s'agit pour l'essentiel d'un transpondeur modifié qui trompe le lecteur en transmettant en même temps un 0 et un 1 quand le lecteur interroge le bit de la position n, au travers de la procédure d'interrogation du premier au dernier bit. Puisque la valeur du bit interrogé est 0 ou 1, le fait que le blocker tag présent dans la zone indique que le bit est à la fois 0 et 1 empêche toute possibilité au lecteur de comprendre quelle est la valeur du bit qu'il est en train de lire. Le lecteur relance alors l'interrogation jusqu'à ce que le nombre programmé d'interrogations soit atteint et que l'appareil se bloque. Mais un blocker tag pourrait aussi être utilisé à des faits malveillantes pour attaquer et bloquer une application. Une personne qui porterait sur elle un écran physique, impossible à identifier à l'oeil nu ou aux rayons X, pourrait masquer toute la série des numéros possibles de certains transpondeurs. Il lui suffirait pour cela de répondre avec des codes 0 et 1 dès la première interrogation ce qui rendrait impossible l'identification la série de numéros d'un producteur spécifique. Une étiquette de ce type pourrait être utilisée pour saboter et boycotter des applications ou faire passer des produits sous son contrôle à des fins frauduleuses. On peut également penser qu'il sera possible de mettre au point des systèmes qui permettraient d'éviter ce risque. Mais à l'heure actuelle, les systèmes qui pourraient contrer les blocker tags -comme d'ailleurs les blockers tags eux même ne sont pas encore disponibles. Ces systèmes pourraient exploiter la possibilité de distinguer les différences entre deux transmissions radio (en identifiant par exemple les petites différences de modulation ou de tout autre caractéristique technique). L'émission de la véritable étiquette électronique répond en fournissant une seule valeur, alors que l'autre, celle du blocker tag, répond avec les deux valeurs 0 et 1. Mais il existe peut être une solution simple à laquelle il semble qu'on ne pense pas assez. La caisse du magasin pourrait simplement modifier de façon définitive l'état logique de l'étiquette, en la rendant illisible en cas d'interrogation RF, au moins que le consommateur, qui a en garderait la possibilité, ne décide de l'activer. Cette activation pourrait être commandée au moyen d'une légère pression sur un interrupteur qui se trouverait dans l'étiquette au moment où celle ci est interrogée. Elle pourrait également être activée au moyen d'un dispositif physique simple contrôlé par la personne qui possède le produit à ce moment là.

Réseaux et EPC Pour terminer nous voudrions évoquer le problème constitué par les réseaux. Nous avons déjà parlé des risques d'interception malveillante des transmissions RF générées par les étiquettes électronique. Le problème de la sécurité ne s'arrête bien évidemment pas là, mais doit être pris en compte globalement, dans un cadre plus large, celui de protéger les données de l'entreprise contre les intrusions externes, spécialement de celles qui proviennent d'Internet. Il s'agit là d'un problème qui est désormais bien connu des entreprises. Nous croyons en revanche que la protection des données de l' "Internet des Objets » comme on appelle aussi le projet EPC représente une problématique à ne pas négliger. Dans le cadre de ce projet, les informations voyageront sur Internet de façon native et c'est pourquoi il convient d'adopter dès le début du projet des protections adaptées pour lutter contre n'importe quelle intrusion malvaillante qui viserait à s'approprier les informations ou qui aurait pour but de boycotter une entreprise concurrente. Nous serions heureux que ce thème fasse l'objet de plus d'attention et que les différents sites Internet dédiés à ce projet par ailleurs passionnant, fournissent plus d'informations sur le sujet. Conclusion Nous avons cherché dans ces deux articles à analyser le thème du “respect de la vie privée” et de la sécurité des transpondeurs. Il y a quelques années, on considérait les transpondeurs pratiquement comme des codes à barres qui présentaient par rapport à ces derniers l'avantage de pouvoir être lus même au travers d'obstacles et de pouvoir être réécrits. Progressivement, nous avons en revanche compris qu'un transpondeur était beaucoup plus que ça, car, grâce à son intelligence et à ses capacités d'interactivité, il ouvrait toute une série de nouvelles possibilités mais présentait aussi de nouveaux dangers à l'instar de n'importe quelle nouvelle technologie. Nous avons également perçu le fait que les transpondeurs constituaient une des briques qui contribueront à la construction de l'Ubiquitous Computing. Il est important que nous prenions conscience de cela. Nous devons même nous en réjouir, sans avoir de fausse pudeur car cette technologie pourra porter des avantages et des bénéfices importants à l'humanité. Mais nous devons également être conscients du fait que comme toute technologie peu coûteuse et très performante, les transpondeurs peuvent être la source de nombreux risques que seule une approche holistique, qui tienne compte de tous les aspects du problème et s'insère dans un environnement qui aura été étudié et défini dans le détail, pourra permettre de diminuer et de limiter les risques sans toutefois les éliminer complètement : il serait présomptueux de penser le contraire. La carte de la sécurité ‹La carte de la sécurité est un visualisation graphique de la sécurité. La présence de la sécurité constitue l'environnement d'un test de sécurité, composé de six sections correspondant aux six sections d'un manuel de sécurité défini par l'ISECOM, l'Institut pour la Sécurité et pour les Méthodologies Ouvertes : le manuel OSSTMM 2.1., manuel open-source pour la méthodologie des tests de sécurité. Il est intéressant d'observer à travers la superposition de tous les champs d'application qu'un test sur la sécurité, quelque soit la section à laquelle il appartient, doit inclure, pour être efficace, tous les éléments des autres sections. Probables applications futures des étiquettes RFID qui impliqueront les consommateurs Il est probable que les producteurs utiliseront de plus en plus l'information contenue dans l'étiquette électronique en cas de retour sous garantie. Il faudra donc qu'elle soit lisible. Obligation de lisibilité pour les process de recyclage à la fin de la vie d'un produit. Les grands magasins pourraient émettre des tickets de caisse incluant des étiquettes électroniques pour disposer des détails de la transaction en cas de restitution. « il est probablement que les cartes de visite dotées d'étiquettes électroniques se généraliseront. Elles permettront de créer automatiquement une lien Internet sur le système informatique de la personne qui les reçoit. Un utilisateur pourrait souhaiter maintenir actives les étiquettes électroniques pour être informé , après avoir lu toutes les étiquettes en sa possession, d'un éventuel rappel d'un produit qu'il possèderait. Cette procédure pourrait déclencher une alarme automatique dans le cas où le consommateur aurait mémorisé dans une base de données toutes ses étiquettes électroniques. Cette mémorisation pourrait s'effectuer dans le futur simplement en passant la porte d'entrée de son habitation. des produits en location comme les CD, les DVD, les livres ou l'outillage, ont déjà ou pourront avoir des étiquettes électroniques qui permettent à leur propriétaire de mieux gérer leur inventaire et d'être averti de la date prévue de restitution. Un frigo ou une armoire pourrait avertir le consommateur lorsqu'un aliment ou un médicament arrive à la date d'échéance ou lorsqu'il est périmé. Les billets d'avion et les cartes d'embarquement contiendront des étiquettes électroniques pour faciliter la traçabilité des passagers à l'intérieur de l'aéroport. La même chose vaut pour les bagages. Les entreprises pourraient utiliser les étiquettes électroniques embarquées sur des enveloppes ou des coupons à restituer pour faciliter leur classement à la réception. Les consommateurs eux même pourraient utiliser les étiquettes dotées de transpondeurs pour différentes applications, les inventaires à domicile, les étiquettes des bagages, etc... Structures binaires à arborescence La série de bit qui compose l'identificateur univoque des transpondeurs peut être imaginée également comme une structure à arborescence dont le premier bit à gauche est représenté par le premier point en haut - qui peut être un 0 ou un 1- se divise en deux branches de la même valeur. Le second bit est représenté par deux points placés sur un niveau immédiatement inférieur et ainsi de suite en descendant. A partir de chaque point partent toujours deux branches dont celle de gauche a la valeur 0 et celle de droite la valeur 1, le tout se développant bien sûr à chaque niveau selon un facteur 2. Le troisième niveau représenté ci dessous correspond ainsi à 23 soit 8 combinaisons possibles de valeurs 0 et 1. Le niveau successif (qui n'est pas représenté) serait composé de 16 points, puis 32, etc... Grâce à la structure à arborescence, on met en évidence de façon graphique la logique des combinaisons possibles que peut adopter un système de 3 cases qui peuvent toutes avoir une valeur de 0 ou 1. Comme on le voit graphiquement, le nombre maximum des combinaisons possibles est 23=8, où le 2 représente le nombre de branches, soit les combinaisons possibles pour chaque point (en terme mathématique, la base) et le 3 le niveau (en terme mathématique, la puissance). D'un point de vue numérique, la base 2 représente les différentes combinaisons possibles de notre bit (d'information), alors que la puissance 3 représente la longueur de notre chiffre, composé de 3 espaces qui peuvent chacun avoir la valeur de 0 ou 1. L'ensemble constitue un nombre de 3 chiffres en base 2, appelé également numéro binaire.