Panoptinet

Les puces RFID ou le pickpocket électronique

Les puces RFID commencent à peupler nos objets personnels pour simplifier les usages du quotidien grâces aux ondes radio qu’elles émettent : cartes bancaires, passeports, pass transport, etc. Mais ces ondes sont rarement cryptées, de sorte qu’il devient très facile de les intercepter, et même de les copier sur un autre support, et donc d’usurper l’identité d’autrui. La preuve en vidéo !

 

C’est quoi le RFID ?

Le RFID (Radio Frequency IDentification) est un procédé électronique qui permet la radio-identification. Il se matérialise souvent par des puces, intégrées à nos objets du quotidien, qui servent à nous identifier plus rapidement et plus simplement lors de nos passages dans les magasins, les aéroports, les transports publics, etc.

Si cette technologie est surtout répandue en Amérique de Nord ou au Japon, elle existe aussi en France, et est appelée à se développer dans les années à venir. Son usage peut s’avérer très pratique dans la vie de tous les jours, notamment pour gagner du temps, mais il apparaît aussi que les conditions de sécurité des puces RFID sont pour le moins inquiétantes, à tel point que l’usurpation d’identité peut devenir un jeu d’enfant.

En quoi le RFID peut présenter un problème de sécurité ?

Les ondes radios émises par une puce RFID servent à identifier une personne (et donc à autoriser un paiement par exemple). Le problème est que ces ondes radios sont émises « en clair », c’est à dire non-protégées par un cryptage quelconque. Si bien qu’en théorie, le premier passant qui frôle une de vos puces RFID peut capter son signal, le lire, le stocker, et même le copier sur un autre support (carte vierge par exemple). Auquel cas, le passant peut se faire passer pour vous, puisqu’il possède un double de votre puce RFID (ex : Passe Navigo). Quand l’usurpation d’identité devient un jeu d’enfant…

Aux Etats-Unis, ou la technologie RFID est beaucoup plus répandue qu’en France, un bidouilleur s’est livré à une expérience déconcertante dans une grande surface, attelé d’un dispositif technique précédemment acheté sur Internet, pour moins de 100$. Aucune malhonnêteté dans sa démarche, qui se veut purement didactique. Admirez la tête des gens qui se font « avoir » !

L’instigateur de cette expérience arrive en quelques secondes à « scanner » les puces RFID d’inconnus, et à récolter des numéros de carte de crédit, leur date d’expiration, et toutes les informations nécessaires pour fabriquer une carte clone.

Les prescripteurs de cette technologie sur carte bancaire (MasterCard, Visa, American Express) assurent que le procédé est équipé d’un « système de prévention des fraudes particulièrement sophistiqué« . Une garantie qui prend un sérieux coup de plomb dans l’aile lorsque l’on observe le protagoniste de la vidéo cloner une carte (sur une carte de chambre d’hôtel !) en moins de 30 secondes, et se servir de la copie pour acheter son déjeuner dans un célèbre fast food.

Les puces RFID ne concernent pas que les cartes bancaires, mais aussi de plus en plus les passeports, les cartes de transport, les badges d’accès, etc.

Comment protéger les ondes radio émises par RFID ?

Si vous possédez un support intégrant une puce RFID qui vous fait courir un risque d’usurpation d’identité, vous pouvez essayer de réduire ce risque, en attendant que les ondes RFID soient un jour cryptées :