BlackHat 2004 : Les étiquettes RFID, nouvelle cible pour les pirates

C'est lors d'un séminaire sur la sécurité qui s'est tenu à Las Vegas que Lukas Grunwald, un consultant allemand expert en sécurité, aurait mis en garde les vendeurs utilisant la RFID en indiquant que cette technologie pouvait facilement être hackée grâce à des produits appropriés.

Il aurait ainsi aidé à concevoir un logiciel pour lire et reprogrammer des tags RFID. Appelé RFDump, le programme serait capable d'afficher les metadatas d'une étiquette RFID et de les modifier en utilisant un éditeur Hex ou ASCII.

 


Il permettrait à un utilisateur équipé d'un lecteur RFID, un ordinateur portatif ou un PDA et une alimentation de réécrire les données stockées dans les étiquettes ISO 15693, les plus communes utilisées pour recueillir l'information EPC (Electronic Product Code), information traditionnellement stockée dans les codes barres.

Lukas Grunwald, cité par News.com, a développé à l'origine le procédé pour permettre aux consommateurs de se protéger. "Chacun devrait avoir le droit de pouvoir effacer les étiquettes RFID une fois l'achat réalisé" dit-il. Supprimer l'information sur les étiquettes permettrait en effet aux personnes de stopper toute traçabilité sur les produits qu'ils acquièrent, notamment dans les centres commerciaux.

Mais il reconnaît que le procédé peut être facilement détourné. Des étiquettes RFID sont déjà utilisées sur des produits vendus par des détaillants aux Etats-Unis pour faciliter notamment leur inventaire. Des gens malhonnêtes pourraient facilement duper les vendeurs en changeant l'identité des marchandises, en modifiant le prix d'un article par exemple et en le passant par la suite à des caisses de paiement automatisées. Des jeunes hackers pourraient essayer de dévier les restrictions d'âge sur les boissons alcoolisées et les films pour adultes, les plus espiègles créer une confusion en permutant aléatoirement les étiquettes, nécessitant alors un inventaire manuel des magasins, indique le consultant.

Trouver une solution pour résoudre ce problème de sécurité risque d'être chose difficile. S'il est possible de chiffrer les données RFID, il n'y a pas encore beaucoup de matériel disponible pour craquer les clés cryptographiques. Et les étiquettes capables de réaliser ces tâches sont parmi les plus chères du marché. Grunwald indique que les propriétaires de magasin pourront avoir un serveur de données qu'ils utiliseront pour pister leurs marchandises en utilisant un numéro de série inchangeable sur l'étiquette RFID, mais cela risque de complexifier davantage l'adoption de cette technologie.

A propos de RFDump
Descriptif
RFDump permet de détecter les étiquettes RFID et d'afficher leurs méta- informations (tag ID, tag type, nom du fabricant…). Les données mémorisées des étiquettes peuvent être modifiées en utilisant un éditeur Hex ou ASCII. RFDump fonctionne avec les lecteurs multi-étiquettes ACG ou un matériel similaire de lecture de cartes.
Versions disponibles
Application Java pour Windows et Linux avec un GUI intuitif
Application Gtk pour Linux avec un GUI similaireà l'implémentation Java
Perl script rudimentaire pour Linux (PC or PDA) avec une interface console-based.
Tags types supportés
ISO 15693 : Tag-it ISO, My-d, I-Code SLI, LRI512, TempSense
ISO 14443 A: Mifare Standard(1,2), Mifare UltraLight(1,2)
ISO 14443 B: SR176(1,2)
Tag-it®
I-Code®
Matériel recommandé
PC Linux/Windows ou HP iPAQ PDA avec Linux
ACG Multi-Tag Reader, CF-Flash Socket ou PCMCIA Adapter
Etiquettes 13.56 MHz pour tester

© Laëtitia BARDOUL (JDNet)  (Le 30/07/2004)   
 

F-VNS Security Audits de Sécurité & Tests Intrusifs Mailing Listes Advisories Service Publicitaire

Tous droits réservés © 2002-2004 K-OTiK Security Voir Notice Légale   

actualité informatique  Exploits