Sécurité IT : une brêche sérieuse dans les tags RFID passifs

Cloud

Au Pays-Bas et en Malaisie, des chercheurs ont mis en lumière des faiblesses dans le protocole censé protéger les tags RFID passifs. La sécurité est à revoir pour éviter des fuites de données.

La technologie RFID (Identification par radio fréquence) prend une place de plus en plus importante dans notre vie quotidienne mais aussi dans les secteurs professionnels (on pense à celui de la distribution en premier lieu).

Elle sert à identifier un objet, d’en suivre le cheminement et d’en connaître les caractéristiques à distance par le biais d’étiquettes émettant des ondes radio attachées ou incorporées à des objets.

Mais les dispositifs RFID comportent aussi des failles de sécurité. C’est en tout cas ce qu’affirme une équipe de chercheurs de l’université Sains de Malaisie et de la faculté des technologies de Delft aux Pays-Bas.

Dans une étude repérée par l’Atelier (cellule de veille IT du groupe BNP-Paribas), ils ont tenu à démontrer les faiblesses du protocole d’authentification PAP (Privacy and Authentification Protocol) censé protéger les systèmes de radio-identification.

Il serait notamment possible de recueillir des informations sur la localisation de chacun des tags en interceptant certaines données.

Les tags « passifs » en première ligne

Ce sont les données délivrées par les tags RFID « passifs » qui sont vulnérables (les moins onéreuses et donc les plus exposées).

Et pour cause, les informations ne sont transmises que lorsque les tags sont sollicités par un lecteur.

C’est l’un des points faibles. Un lecteur pirate pourrait ainsi être utilisé pour récupérer des données sans laisser la moindre trace.

« L’une des principales inquiétudes liées à la protection des données repose dans ce risque de traçabilité par un lecteur non-authentifié« , explique Mu’awya Naser, l’un des scientifiques responsables de l’étude.

Avant d’ajouter que « l’authentification du lecteur est essentielle car les système de tags RFID ne devraient communiquer qu’avec le lecteur légitime. »

Une sérieuse brèche RFID à colmater au nom de la protection des données.

Lire aussi :