WiFi et RFID : mélange savoureusement explosif

• Imprimer

La BBC nous offre un article débordant d'optimisme et de confiance sur l'usage hybride des RFID actifs et des points d'accès WiFi. Ce mariage heureux, estiment nos confrères britanniques, nous ouvre les portes d'une géolocalisation permanente et précise dans le secteur des « entreprises, hôpitaux et milieux éducatifs ». Une fois de plus, le prétexte de l'usage par le corps médical est avancé, alors que le bien fondé de l'utilisation des RFID dans le secteur pharmaceutique est de plus en plus contesté. Ce qui semble bien plus inquiétant, c'est que ce système de flicage avancé -l'on invoque là l'excuse d'un usage préventif en cas d'incendie ou de catastrophe naturelle- met en oeuvre deux technologies très discutées. L'une, le WiFi, qui ne brille pas toujours par sa solidité, l'autre, les RFID actifs, dont la « portée de lecture » -et donc la portée d'indiscrétion- est considérablement plus étendue que celle des étiquettes passives. Ne perdons pas de vue que le papier de la « bib » explique que ces « RFID tags could track patients and equipment ». Mon Dossier Médical Personnel (DMP) à la portée du premier Wardriver... Le principal danger provoqué par l'association d'un réseau et d'un mécanisme de stockage d'information, c'est la dissociation totale entre la notion d'identification, souvent liée aux RFID, et le mécanisme d'authentification « forte ». L'authentification « forte », c'est l'oeil exercé d'une personne qui vérifie si le porteur de badge et bel et bien physiquement la personne qu'elle prétend être... l'authentification « forte », ce n'est surtout pas une technique biométrique utilisant l'empreinte digitale du porteur, numérisée sur ce RFID actif et transmise via réseau. Tout simplement parce que ce contrôle visuel est supprimé, remplacé par l'outil de « vérification à distance » qu'est le réseau local sans fil. S'ajoute à ceci le risque de fuites de données personnelles très prévisibles, fuites rendues possibles non pas par un manque de fiabilité des technologies mises en oeuvre - aspect que tôt ou tard des Adam Laurie ou des Sid ne manqueront pas d'analyser et dénoncer un jour- mais par les failles propres à un mésusage de ces lasagnes technologiques de plus en plus complexe, propres également aux difficultés techniques rencontrées entre chaque « interface technologiques ». La transition du support RFID vers WiFi, du WiFi vers le réseau local, du réseau local vers les applications, des applications vers les bases de données stockant et gérant lesdites informations... cela constitue bien des accumulations de risques réels et immédiats * sous prétexte de contrer un autre risque, nettement moins réel et absolument pas immédiat. Les RFID sont une merveilleuse technologie que l'on s'évertue à mal utiliser.

* Aux nombres desquels on peut compter le sniffing, wardriving associé à une attaque de chiffrement, écoute du réseau cuivre (eavesdroping) sql injection, man in the middle -variante des travaux de Melanie Rieback- , usurpation d'identité, vol d'étiquettes RFID etc.