Une nouvelle loi vient de passer en vigueur dans l'état de Californie : Il est désormais interdit de lire (ou de tenter de lire) le contenu d'un tag RFID appartenant à une personne sans son accord préalable. De même, il est interdit de diffuser des informations sur les systèmes pouvant faciliter la collecte d'informations de façon illégitime. Dans chacun des cas, la peine encourue maximale est de 1 an de prison et de 1.500USD.
Le texte disponible ICI (pdf) indique que la collecte d'informations reste possible par les officiers de police dans le cadre de leurs missions ou pour des raisons médicales ; ce qui reste assez normal me direz-vous.
Cette décision ferait suite à une démonstration de recopie de cartes RFID utilisées pour contrôler l'accès à des bâtiments de l'état de Californie. Cette attaque est assez simple à mettre en œuvre via des systèmes appelés "RFID Skimmer" et des tags RFID non-cryptés: Vous commencez par "écouter" le tag RFID et enregistrez son contenu pour ensuite le rejouer... Pour plus d'infos sur comment construire son appereil à faire du copy/paste de tags RFID (ie un "Skimmer RFID"), l'article "How to Build a Low-Cost, Extended-Range RFID Skimmer" vous donnera les détails (attention, des connaissances en électronique sont requises).
Ce que je trouve un peu bizarre dans tout cela : Il n'est pas demandé de se prémunir de ce genre d'attaques via l'utilisation de tags RFID sécurisés... On rends donc interdit les écoutes mais on ne cherche pas à s'en protéger... Vous pourriez dire que c'est mieux que rien : Oui c'est vrai ; mais c'est prendre le problème du mauvais coté... Et puis, vous pensez vraiment que cela va arrêter les "hackers" ? Oh que non....
Pour finir: Si vous souhaitez vous protéger des écoutes passives de vos tags RFID, il existe des pochettes spéciales comme celles de DIFRwear ou celles d'Identity Stronghold. Une approche plus originale (mais plus complexe) est d'utiliser un "brouilleur RFID" comme le RFID Guardian (pdf).
PS: La sécurité de certains Tag RFID "sécurisés" (Mifare en l'occurence) a été remise en cause. La sécurité des tags RFID est un sujet "chaud" en pleine évolution.
Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la sensibilisation à la sécurité. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens