L'acronyme RFID (Radio-Frequency Identification) désigne une méthode d'identification unique et automatique basée sur le stockage et la récupération à distance de données grâce à des dispositifs appelés étiquettes RFID. La technologie RFID, également connue sous le nom de DSRC (Dedicated Short Range Communication), utilise le couplage électromagnétique ou électrostatique dans la bande de fréquences radio (RF) du spectre électromagnétique (fréquences typiquement utilisées : 125 à 135 kHz pour les étiquettes LF passives ; 13,56 MHz pour les étiquettes HF ; 869 à 957 MHz ; et 2,45 GHz pour les étiquettes UHF) pour identifier de manière unique une personne, un animal ou un objet. Elle constitue une alternative plus performante aux codes-barres traditionnels. L'UPU (Union postale universelle) a récemment indiqué son intention d'adopter prochainement la RFID pour le suivi des délais de livraison du courrier international dans plus d'une centaine de ses pays membres. Gartner prévoyait que le marché de la technologie RFID atteindrait trois mille milliards de dollars d'ici 2010.
L'histoire de la technologie RFID remonte à 1948, avec le chercheur Harry Stokman. L'une de ses premières applications date de la Seconde Guerre mondiale, lorsque le Royaume-Uni utilisa des dispositifs RFID pour distinguer les avions britanniques de retour des appareils potentiellement allemands. En effet, le radar ne pouvait détecter que la présence d'un avion, sans pouvoir identifier son type (ami ou ennemi). L'utilisation commerciale de la RFID a débuté dans les années 1990, et ses applications sont aujourd'hui innombrables : suivi des produits dans les grandes enseignes de distribution, étiquettes RFID pour les patients hospitalisés, suivi des bagages dans les aéroports, suivi des passeports, suivi des livres en bibliothèque, capteurs RFID embarqués dans les véhicules pour détecter les mouvements, la température, la qualité des aliments, les niveaux de radiation, l'état des pneus, la position GPS, etc.
Parmi les nombreux avantages de la RFID, on peut citer : (i) Pour les fabricants et les distributeurs : réduction des stocks manuels et des stocks de sécurité, augmentation des ventes grâce à la diminution des ruptures de stock, meilleure
visibilité et disponibilité des stocks, réduction des coûts de transport et du volume des expéditions, prévisions et réapprovisionnements plus précis, réduction des risques et des perturbations de la chaîne d'approvisionnement, et amélioration de l'intégrité des produits. (ii) Pour les clients : meilleure sélection de produits, meilleure fraîcheur des produits périssables, identification plus facile des réclamations et meilleure disponibilité des produits en rayon.
Composants RFID
Les principaux composants d'un système RFID sont :
(1) Étiquette RFID Une étiquette RFID est un objet qui peut être fixé, injecté ou intégré à une personne, un produit ou un animal afin de permettre une identification unique à distance grâce aux ondes radio. Elle se compose d'un substrat (PVC, papier, etc.) sur lequel est placée une antenne (interface sans contact et fil de cuivre, encre conductrice, etc.) et sur lequel est placé un circuit intégré ou une puce (avec mémoire pré-masquée ou EEPROM et processeur). Elle peut inclure une alimentation électrique (en option) et l'ensemble est recouvert d'une couche de résine époxy, d'adhésif ou de papier.
Chaque étiquette RFID contient un code unique de 96 bits, appelé code électronique de produit (EPC), qui facilite son identification. Ce code comporte quatre champs : (i) En-tête : définit la version de l’EPC (8 bits) ; (ii) Numéro du gestionnaire EPC : identifie l’émetteur de l’EPC, c’est-à-dire le fabricant du produit (28 bits) ; (iii) Numéro de classe d’objet : décrit le type de produit (24 bits) ; (iv) Numéro de série : identifiant unique du produit (36 bits). Les étiquettes RFID peuvent être classées comme actives (entièrement autonomes), semi-passives (utilisant une batterie de secours pour compléter l’alimentation fournie par le lecteur), passives (nécessitant une alimentation du lecteur), en lecture seule, en lecture-écriture et à écriture unique. Les étiquettes passives sont programmées par le fabricant ou sur le site d’installation. Elles tirent leur énergie de l’énergie radiofréquence transmise par le lecteur ; elles ne possèdent pas de batterie et ne sont alimentées que lorsqu’elles se trouvent à portée d’un lecteur. Elles stockent généralement quelques octets, par exemple 128 octets, et peuvent lire des centaines d'étiquettes à une distance d'environ 30 centimètres à 5 mètres du lecteur. Les étiquettes actives sont dotées d'une batterie d'une autonomie de 2 à 6 ans, assurant une alimentation continue, et peuvent lire des milliers d'étiquettes à des distances de 100 mètres ou plus et à des vitesses allant jusqu'à 160 km/h. Elles possèdent une grande capacité de mémoire de plusieurs centaines de kilo-octets et peuvent intégrer des capteurs tels que la pression, la température, l'accélération, le champ magnétique, la position GPS, les radiations, un journal d'alarmes, le niveau de vibration, la luminosité, l'humidité, etc. Elles sont utilisées pour des objets de grande valeur tels que les personnes, les équipements électroniques, les conteneurs d'expédition, etc.
(2) Unités d'interrogation ou lecteurs. Elles servent à lire les étiquettes RFID et, dans certains cas, même à y écrire. La conception d'antennes intelligentes à gain élevé capables de lire les étiquettes RFID à plusieurs kilomètres de distance, voire par satellite, représente un danger croissant.
(3) Intergiciel. Il s'agit de l'interface indispensable entre les bases de données de l'entreprise et le logiciel de gestion de l'information. Il offre diverses fonctions : filtrage des données, surveillance du système et coordination de plusieurs unités de lecture.
(4) Logiciel d’application métier. Il sert à gérer les données collectées. Les deux derniers points ne sont pas exempts de toutes sortes de menaces à la sécurité de l’information.
Menaces liées à la RFID :
La technologie RFID offre des possibilités sans précédent de vol, de suivi discret et de profilage comportemental. Sans contrôles appropriés, des attaquants peuvent lire illégalement les étiquettes RFID et suivre subrepticement la localisation de personnes, d’animaux ou d’objets (en corrélant les images des étiquettes). L’espionnage est possible en interceptant les communications entre l’étiquette et le lecteur. Les attaquants peuvent également manipuler les systèmes RFID (par exemple, les systèmes de paiement en magasin) en clonant les étiquettes, en modifiant les données existantes ou en empêchant leur lecture. Diverses contre-mesures ont été proposées pour lutter contre ces menaces. La solution la plus simple consiste à désactiver les étiquettes RFID, soit définitivement (par des techniques telles que la destruction via la commande Hill EPCglobal, le découpage (rupture mécanique partielle ou totale de l’antenne), le RFID-Zapper (qui permet la désactivation/destruction permanente des étiquettes passives) ou le grillage), soit temporairement à l’aide de cages de Faraday, de modes veille/réveil ou de générateurs de brouillage. En cryptographie, de nouveaux algorithmes ont été conçus pour les étiquettes RFID, notamment des primitives cryptographiques à clé publique, des chiffrements par blocs, des chiffrements de flux et des protocoles d'authentification à faible consommation de ressources. Des mécanismes de contrôle d'accès ont également été développés, à la fois sur l'étiquette elle-même (verrous basés sur le hachage et sur les pseudonymes) et en externe, tels que des bloqueurs d'étiquettes ou des proxys d'amélioration RFID. Parmi les implications en matière de protection de la vie privée, on peut citer : (i) la détection de la présence d'une étiquette RFID, qui indique généralement la présence d'une personne ; (ii) la détermination de l'origine de la personne portant l'étiquette ; (iii) le suivi, c'est-à-dire la corrélation de plusieurs observations de l'identifiant de l'étiquette/entité RFID ; (iv) le référencement illégal, l'attaquant possédant une liste préexistante d'étiquettes/entités qu'il souhaite identifier ; (v) la réécriture des étiquettes, par exemple à l'aide de cookies ou de logiciels malveillants. Les principales préoccupations relatives à la protection de la vie privée concernant la RFID sont les suivantes : les identifiants sont uniques pour chaque objet dans le monde ; une corrélation massive des données est possible ; les individus peuvent être suivis et leurs profils comportementaux obtenus ; les données stockées sur une étiquette peuvent être altérées. Les étiquettes peuvent être lues à distance (même par satellite) ; les lecteurs et l’emplacement des étiquettes RFID peuvent être dissimulés à l’aide d’étiquettes leurres que le client peut détruire. RFtracker.com permet d’effectuer des recherches par numéro d’étiquette RFID et une base de données contient les noms des personnes associées. RFtracker.com gère deux bases de données : l’une associant les numéros d’étiquettes aux personnes possédant des articles portant ces numéros, et l’autre stockant les enregistrements des lectures d’étiquettes RFID effectuées par des lecteurs du monde entier, incluant la date, l’heure, le lieu et le numéro d’étiquette.
Considérations finales :
Notre groupe de recherche travaille depuis plus de quinze ans sur la technologie RFID, où l’informatique omniprésente représente un présent et un avenir illimités sous divers angles : offensive, défensive, conception d’étiquettes, synthèse d’unités de lecture non conventionnelles, antennes, gestion des risques, tests d’attaque et contre-mesures, etc.
Cet article s’inscrit dans le cadre des activités menées au sein du LEFIS-APTICE (financé par Socrates).
Bibliographie
- Areitio, J. « Sécurité de l’information : réseaux, informatique et systèmes d’information ». Cengage Learning-Paraninfo. 2009.
- Areitio, J. « Considérations de sécurité concernant la technologie RFID ». Conectrónica Magazine. N° 105. Mars 2007.
- Areitio, J. « Analyse des technologies de dissimulation d’informations ». Conectrónica Magazine. N° 109. Juillet-août 2007.
- Areitio, J. « Analyse de la sécurité forensique, des techniques anti-forensiques, de la réponse aux incidents et de la gestion des preuves numériques ». Conectrónica Magazine. N° 125. Mars 2009.
- Lee, W., Wang, C. et Dagon, D. « Détection des botnets : contrer la plus grande menace pour la sécurité ». Springer. 2007.
- Howard, R. « Cyberfraude ». Auerbach Publishers, Inc. 2009.
- Flegel, U. « Détection d'intrusion respectueuse de la vie privée ». Springer. 2007.
Auteur:
Prof. Dr. Javier Areitio Bertolín – E.Mail :
Professeur à la Faculté d'ingénierie. ESIDE.
Directeur du groupe de recherche sur les réseaux et les systèmes.
Université de Deusto.
