[actus_l] WiFi et RFID : mélange savoureusement explosif

http://securite.reseaux-telecoms.net/actualites/lire-wifi-et-rfid-melange-savoureusement-explosif-16424.html

WiFi et RFID : mélange savoureusement explosif

Edition du 31/05/2007 - par Marc Olanié

La BBC nous offre un article débordant d'optimisme et de confiance sur l'usage
hybride des RFID actifs et des points d'accès WiFi. Ce mariage heureux,
estiment nos confrères britanniques, nous ouvre les portes d'une
géolocalisation permanente et précise dans le secteur des « entreprises,
hôpitaux et milieux éducatifs ». Une fois de plus, le prétexte de l'usage par
le corps médical est avancé, alors que le bien fondé de l'utilisation des RFID
dans le secteur pharmaceutique est de plus en plus contesté. Ce qui semble
bien plus inquiétant, c'est que ce système de flicage avancé -l'on invoque là
l'excuse d'un usage préventif en cas d'incendie ou de catastrophe naturelle-
met en oeuvre deux technologies très discutées. L'une, le WiFi, qui ne brille
pas toujours par sa solidité, l'autre, les RFID actifs, dont la « portée de
lecture » -et donc la portée d'indiscrétion- est considérablement plus étendue
que celle des étiquettes passives. Ne perdons pas de vue que le papier de la «
bib » explique que ces « RFID tags could track patients and equipment ». Mon
Dossier Médical Personnel (DMP) à la portée du premier Wardriver...

Le principal danger provoqué par l'association d'un réseau et d'un mécanisme
de stockage d'information, c'est la dissociation totale entre la notion
d'identification, souvent liée aux RFID, et le mécanisme d'authentification «
forte ». L'authentification « forte », c'est l'oeil exercé d'une personne qui
vérifie si le porteur de badge et bel et bien physiquement la personne qu'elle
prétend être... l'authentification « forte », ce n'est surtout pas une
technique biométrique utilisant l'empreinte digitale du porteur, numérisée sur
ce RFID actif et transmise via réseau. Tout simplement parce que ce contrôle
visuel est supprimé, remplacé par l'outil de « vérification à distance »
qu'est le réseau local sans fil. S'ajoute à ceci le risque de fuites de
données personnelles très prévisibles, fuites rendues possibles non pas par un
manque de fiabilité des technologies mises en oeuvre - aspect que tôt ou tard
des Adam Laurie ou des Sid ne manqueront pas d'analyser et dénoncer un jour-
mais par les failles propres à un mésusage de ces lasagnes technologiques de
plus en plus complexe, propres également aux difficultés techniques
rencontrées entre chaque « interface technologiques ». La transition du
support RFID vers WiFi, du WiFi vers le réseau local, du réseau local vers les
applications, des applications vers les bases de données stockant et gérant
lesdites informations... cela constitue bien des accumulations de risques
réels et immédiats * sous prétexte de contrer un autre risque, nettement moins
réel et absolument pas immédiat. Les RFID sont une merveilleuse technologie
que l'on s'évertue à mal utiliser.


* Aux nombres desquels on peut compter le sniffing, wardriving associé à une
attaque de chiffrement, écoute du réseau cuivre (eavesdroping) sql injection,
man in the middle -variante des travaux de Melanie Rieback- , usurpation
d'identité, vol d'étiquettes RFID etc. 


_____
Liste de diffusion d'informations relatives à l'informatique et aux libertés
Info, dés/abonnement : http://listes.samizdat.net/sympa/info/actus_l