Les tags RFID encore trop vulnérables face aux tentatives de piratage

Par 26 août 2010

Selon les universités de Sains et de Delft, le protocole d'authentification PAP - qui vise à sécuriser les tags - rend possible leur localisation par un lecteur pirate, ce qui constitue une faille importante.

De plus en plus utilisées, les puces RFID ne sont pas exemptes de failles de sécurité, affirme une équipe de chercheurs de l'université Sains de Malaisie et de la faculté des technologies de Delft, aux Pays-Bas. Les scientifiques démontrent dans une étude* les faiblesses du protocole d'authentification baptisé PAP (pour "Privacy and Authentification Protocol"), dont le rôle est de protéger les systèmes de radio-identification. L'un des problèmes majeurs, selon les chercheurs, tient dans le fait qu'il est possible d'obtenir des informations sur la localisation de chacun des tags, en interceptant certaines informations. Les données délivrées par les tags RFID dits "passifs" sont en effet vulnérables. Les informations ne sont transmises que lorsque les tags sont sollicités par un lecteur.
Risque d'interception par un lecteur pirate
Selon les chercheurs, il est possible d'introduire alors un lecteur pirate, pour intercepter les données concernant la "localisation". "Les tags actuels sont limités en terme de circuit électrique, de stockage, et de consommation d'énergie", explique à L'Atelier Mu'awya Naser, l'un des scientifiques responsables de l'étude. "Aussi est-il difficile de concevoir des protocoles d'authentification efficaces et sécurisés". Les chercheurs ont effectué des attaques-test pour évaluer la solidité de la protection, et sont parvenus à localiser les tags. "L'une des principales inquiétudes liées à la protection des données repose dans ce risque de traçabilité par un lecteur non-authentifié", précise le scientifique.
La localisation des tags doit être sécurisée
En interceptant le message délivré par les puces au lecteur authentique, il est possible de localiser précisément l'ensemble des tags. "L'authentification du lecteur est essentielle car les système de tags RFID ne devraient communiquer qu'avec le lecteur légitime", souligne le chercheur. "Le protocole PAP rend possible la localisation des tags au moment de la réponse effectuée par ceux-ci au lecteur qui les sollicite", précise à L'Atelier Pedro Peris-Lopez, également associé au projet. En soulignant l'importance de corriger ces failles pour les tags RFID peu coûteux, les plus vulnérables.
* "Vulnerability analysis of PAP for RFID Tags"

Mentions légales © L’Atelier BNP Paribas