Les puces RFID

a) En général

Un système d’identification par radiofréquences (RFID153) est constitué de deux éléments154 : un marqueur (également appelé transpondeur ou « tag ») et un lecteur (également appelé interrogateur). Le marqueur RFID contient une petite quantité de mémoire pour la conservation des données. Chaque fois que le marqueur se trouve à proximité d’un lecteur RFID, le lecteur détecte sa présence et peut lire les données qu’il contient.

108

Le marqueur est qualifié de passif, car il n’a pas besoin d’énergie propre pour communiquer avec le lecteur. C’est ce dernier qui émet l’énergie qui sert à alimenter le marqueur et communiquer avec lui, sous la forme d’une onde radio à une fréquence donnée. La distance maximale pour assurer un fonctionnement correct dépend de la fréquence radio utilisée, et de la qualité du matériel. Elle est généralement comprise entre quelques centimètres et quelques mètres, voire jusqu’à plusieurs dizaines de mètres si le marqueur comporte une batterie. 109

La communication se base sur la propagation d’ondes radio, ce qui signifie que marqueur et lecteur n’ont pas besoin de « se voir » (comme pour les codes à barres). Il est donc possible de lire un grand nombre d’objets marqués presque 110

152

CAI, La biométrie, pp 17-18. 

153

Radio Frequency Identification. 

154

Pour une définition et une description du fonctionnement des puces RFID : HODGES / MCFARLANE, RFID, pp 62-65. Pour un aperçu des possibilités d’utilisation des puces RFID et les problèmes soulevés (avec de nombreux liens) : CAI, La technologie d’identification par

radiofréquence. Pour une approche technique : FINKENZELLER, RFID-Handbuch. Pour les questions liées à la protection des données lors de l’utilisatoin de puces RFID : PFPDT, 17ème

simultanément lorsqu’ils passent à proximité d’un lecteur. Mais cela implique également que la transmission peut être détectée par un autre équipement, qu’un lecteur non autorisé peut communiquer avec les marqueurs ou qu’un équipement pourrait générer des interférences et empêcher la communication entre un marqueur et un lecteur.

Actuellement, les marqueurs sont couramment utilisés pour la gestion de stocks (habits, agroalimentaires,…), la gestion de chaînes logistiques, l’enregistrement automatique des livres empruntés et rendus dans les bibliothèques ainsi que le contrôle du classement des ouvrages sur les rayons, les systèmes antivol, le contrôle d'accès à certains bâtiments, le paiement aux cafétérias, l’utilisation de photocopieurs, ordinateurs et autres imprimantes, etc. Une seule et même carte, contenant une puce RFID, peut remplir toutes ces fonctions (prestations multiservices). C’est le cas des cartes fournies par la société Polyright à de nombreuses universités, écoles et entreprises suisses155. Dans un avenir proche, les puces RFID devraient également permettre d’éviter de faire la queue à la caisse du supermarché. Elles indiqueront aussi à notre frigidaire que des produits sont périmés, ou qu’il n’y a plus de lait et qu’il est nécessaire d’en racheter. Elles sont également envisagées pour tracer les bagages dans les aéroports156. On mentionnera encore que le premier fournisseur mondial de puces RFID est une entreprise suisse, la société fribourgeoise Sokymat157.

111

L’Université catholique de Louvain en Belgique est en train de développer un marqueur RFID à placer dans les dents, afin de pouvoir identifier l’individu lorsque son corps est méconnaissable (accident d’avion, incendie, etc.)158. Il semble toutefois plus facile de fausser une puce RFID qu’une empreinte dentaire. Quoi qu'il en soit, ce type de marquage est déjà utilisé dans certains hôpitaux ou établissements médico-sociaux, pour éviter de perdre ou mélanger les prothèses dentaires !

112

155

Polyright SA est une société suisse membre du Groupe Kudekski et du Groupe Securitas Suisse, http://www.polyright.com. 

156

CHECOLA, Le scanner corporel. 

157

http://www.sokymat.com et http://sokymat.aaitg.com. 

158

A l’instar d’autres composants informatiques, et malgré leur petite taille, les puces RFID peuvent contenir des virus ou des vers159. Si la place n’est pas suffisante sur la puce, elle pourrait ne contenir qu’un code en JavaScript, qui infecterait les composants web du lecteur et le chargerait alors de compléter les données manquantes par Internet. Comme il n’est pas possible de réécrire sur la puce RFID, un virus ne peut pas y être introduit. Une puce réalisée pour contenir un virus, ou infectée lors de sa fabrication, peut en revanche contaminer les lecteurs et fausser le résultat des données lues, y compris lors de la lecture d’autres puces « saines », par exemple en modifiant la base de données à laquelle correspondent les puces160.

113

Dans le cadre des mesures de surveillance, les puces RFID interviennent à deux titres. Premièrement, il est possible de déposer un marqueur sur l’objet de la surveillance, et être ainsi immédiatement informé de son passage à un point de contrôle, ou du fait qu’il quitte le champ de lecture. Il suffit ensuite de passer à proximité du marqueur pour retrouver l’objet161. Le recours aux marqueurs RFID est particulièrement intéressant en raison de leur faible coût, ce qui n’oblige pas à les récupérer en fin de surveillance. Un marqueur revient actuellement à quelques centimes et un lecteur à quelques centaines de francs, et ces coûts devraient encore baisser162.

114

Deuxièmement, on peut lire des marqueurs existants et utilisés dans un autre but. On peut ainsi obtenir de précieuses informations commerciales sur un objet, les coordonnées du détenteur d’une carte permettant de faire des photocopies ou encore ses droits accès (tant en termes de locaux que de périphériques informatiques par exemple).

115

159

Un groupe de chercheurs hollandais en a fait la démonstration lors d’un congrès à Pise (Italie) en mars 2006 : http://www.rfidvirus.org. 

160

Sur les problèmes de sécurité posés par les puces RFID et des propositions de solutions : LECHNER, RFID. 

161

Pour des exemples d’utilisation de puces RFID à l’insu de la personne concernée : APSIS,

RFID and Consumers' Privacy Rights. 

162

b) Dans les papiers d’identité

La technologie RFID est enfin utilisée pour les nouveaux papiers d’identité163. A la demande des Etats-Unis et sur la recommandation de l’Organisation de l’aviation civile internationale (OACI), les nouveaux papiers d’identité sont munis d’une puce contenant des données biométriques, notamment une photo du titulaire164. Les USA et les pays de l’UE ont introduit ce type de permis165. C’est aussi le cas des passeports suisses 06 produits depuis septembre 2006 dans le cadre d’un projet pilote166. La puce contenait, outre les données qui sont imprimées dans le passeport, une photo numérisée qui est la même que celle figurant dans le passeport.

116

Depuis mars 2010, il n’est plus possible d’obtenir un passeport suisse qui ne contienne pas de données biométriques167. Ce nouveau passeport contient une photographie du visage de face (élément biométrique principal) et deux empreintes digitales (élément biométrique secondaire)168. Les données peuvent être lues par les appareils de lecture à une courte distance, ce qui permet de comparer électroniquement l'image numérisée du visage et celle de la personne qui présente le passeport. La vérification de l'identité est effectuée de façon automatisée et accélérée, les falsifications de passeports sont plus difficiles, et la vérification de l'identité des voyageurs est accélérée. La protection des données

117

163

Sur l’identité biométrique et ses risques : GHERNAOUTI-HÉLIE, La cybercriminalité, pp 108-114. 

164

Voir à ce sujet le chapitre 8. Les données biométriques, p. 52 ci-dessus. 

165

Règlement (CE) n° 2252/2004 du Conseil du 13 décembre 2004 établissant des normes pour les éléments de sécurité et les éléments biométriques intégrés dans les passeports et les documents de voyage délivrés par les Etats membres modifié par le Règlement (CE) n° 44/2009 du Parlement européen et du Conseil du 28 mai 200529. 

166

PFPD, 13ème rapport, p. 44. 

167

A l’exception du passeport provisoire (appelé aussi passeport d’urgence) qui est une variante du passeport 03. Il n’est toutefois délivré qu’à des conditions particulières et sa validité est en principe limitée à la durée du séjour. La carte d’identité suisse ne contient pas d’éléments biométriques, mais les titres de séjours pour étrangers (Livrets B ou L) seront munis au plus tard en mai 2011 d’une puce contenant une image faciale et deux images d'empreintes digitales : ODM, Commentaire relatif à l'introduction de données biométriques

dans le titre de séjour. 

168

Art. 14a OLDI (Ordonnance sur les documents d’identité des ressortissants suisses, RS 143.11). 

et la sécurité des informations sont en outre garanties grâce à des signatures électroniques et des clés169.

Nous avons vu précédemment ce qu’étaient les données biométriques. Intéressons-nous maintenant aux conséquences de la présence de celles-ci dans un marqueur RFID, puisque contrairement aux informations officielles rassurantes, les voix de nombreux scientifiques s’élèvent contre ces passeports. La Commission d’accès à l’information du Québec se demande d’ailleurs si l’incorporation de puces RFID contenant des renseignements personnels dans des passeports ou permis de conduire, n’aura pas comme effet d’augmenter les risques d’usurpation d’identité170.

118

Le principal danger que représente la présence d’une puce RFID dans un passeport est la possibilité de la lire à distance. Lorsque l’on sait que le gouvernement américain a pour objectif de pouvoir contrôler les passagers d’un autobus entier depuis l’extérieur de celui-ci, on doit bien admettre que les passeports sont ou seront très prochainement lisibles à une distance qui dépasse quelques dizaines de centimètres. Les premières expériences ont montré qu’avec un matériel bon marché et accessible à tout un chacun, le passeport hollandais par exemple pouvait être lu à une distance de 30 centimètres171.

119

Les données de la puce RFID ne sont pas librement accessibles. Il faut pour communiquer avec le contenu de la puce avoir une clé d’accès. Cette clé est un nombre obtenu à l’aide des informations figurant sur la zone à lecture optique de la carte, ce qui signifie qu’elle ne peut être connue qu’en connaissant l’algorithme (partie de la clé connue de l’appareil de lecture) et les données figurant sur le passeport (partie de la clé en main du possesseur du passeport). 120

Steve BOGGAN et Adam LAURIE ont réussi en quatre heures seulement à trouver la clé d’un passeport britannique neuf, sans le sortir de son enveloppe et en connaissant seulement le nom et la date de naissance du titulaire172. Pour forcer la clé, ils ont recouru à ce que l’on appelle une méthode d’attaque en 121

169

Message du CF concernant le passeport biométrique, pp 4918-4919. 

170

CAI, La technologie d’identification par radiofréquence, p. 7. 

171

BOGGAN, Cracked it. 

172

force brute, c’est-à-dire en essayant toutes les combinaisons possibles. Aucune mesure n’est prise pour empêcher ces attaques, alors que si l’on procède de la sorte avec le code d’une carte de crédit, elle sera bloquée après trois essais. En été 2009, Adam LAURIE a réussi à pirater la nouvelle carte d’identité britannique munie d’une puce RFID. A l’aide d’un simple téléphone mobile et d’un ordinateur portable, il a trouvé l’algorithme de sécurité de la puce RFID et copié toutes les données qu’elle contenait, puis cloné la carte d’identité en seulement 12 minutes. Il a également réussi à modifier toutes les données de la nouvelle carte, soit les noms et prénoms, la date de naissance, les caractéristiques physiques et les empreintes digitales de son titulaire, mais également des informations comme le droit aux prestations sociales173.

122

Dès le moment où il est possible de lire les données contenues sur la puce, il est également possible de la copier comme l’a démontré Lukas GRUNWALD lors de la conférence Black Hat 2006 à Las Vegas174. Un nouveau faux passeport est obtenu, sans que le détenteur de l’original ne puisse le remarquer comme dans le cas d’un vol. Des membres du groupe The Hacker´s Choice auraient réussi à piéger un système de contrôle de passeport RFID dans un aéroport à Amsterdam, après avoir créé un faux passeport biométrique avec l'identité d'Elvis PRESLEY175. Pour les deux auteurs précités, les choses seraient plus compliquées en cas de comparaison des empreintes digitales et de reconnaissance faciale, puisque les données contenues sur la puce sont celles du vrai passeport et diffèrent de celles du porteur du faux passeport. Ils soulignent toutefois que les premières peuvent être falsifiées, d’autant plus facilement si le contrôle est automatisé, et que la seconde n’est actuellement pas encore suffisamment au point. Cet argument est renforcé par une étude de l’Université de Westminster qui arrivait à la conclusion que la sécurité n’était pas renforcée par la présence de photos sur les cartes de crédit176. De plus, les passeports étant réputés plus sûrs, une confiance plus grande leur sera accordée et la personne chargée de contrôler si la photo contenue sur la puce correspond au visage du

123

173

BOGGAN, New ID cards are supposed to be unforgeable. 

174

SCHNEIER, Hackers Clone RFID Passports. 

175

http://freeworld.thc.org/thc-epassport. 

176

porteur du passeport sera moins attentive puisque théoriquement ce passeport ne peut pas être un faux et que l’original n’a pas été volé.

Nombreux sont ceux qui ont dénoncé le risque que la puce RFID serve de déclencheur pour une bombe, qui n’exploserait qu’au passage de ressortissants d’un pays déterminé. Si dans un premier temps cela ressemblait plus à une rumeur qu’à un fait scientifique avéré, le risque est bien réel, comme l’a démontré la société Flexilis. La lecture des données devrait être protégée par la clé d’accès et le fait que le passeport ne peut pas être lu lorsqu’il est fermé. Toutefois, il suffit que le passeport soit légèrement entrouvert, ce qui est fréquemment le cas dans une poche ou un sac, pour que la puce puisse être lue. Ensuite, même en l’absence de la clé, l’empreinte des données émise permet d’identifier le pays177. Il faut dès lors admettre que le risque est bien réel de voir des tiers identifier le pays dont sont ressortissants les porteurs des passeports biométriques et d’utiliser automatiquement et instantanément ces informations. 124

Une autre méthode permettant d’utiliser les données d’un passeport qui n’est pas le sien consiste à détourner le signal radio d’un autre passeport, de sorte que lors d’un contrôle ce ne sont pas les données de la personne contrôlée, mais celles d’une autre puce à proximité qui sont transmises178. Si une photographie biométrique est transmise et qu’elle ne correspond pas au visage du porteur du passeport, cette méthode est inutile. En revanche, elle permet de passer sans encombre un contrôle visant à détecter la présence de certaines personnes (liste noire) dans un lieu, un véhicule ou d’autoriser le passage d’une porte.

125