16/06/2008, par David Maume
Réunis à Lille les 11 et 12 juin derniers lors de la première édition de l'International Contactless Technologies Forum (ICTF), les professionnels du secteur ont fait le point sur ces applications très prometteuses mais aussi sur les défis qu'elles posent en termes de sécurité.
Dans chaque secteur, les débouchés sont énormes, mais les applications s'accompagnent de nouveaux risques, qu'il faut prévenir. « La fraude est devenue une industrie de plusieurs milliards de dollars sur Internet, et il est évident que les technologies sans contact seront également une cible de choix », prévient Engin Kinda, chercheur en sécurité à Eurecom-Sophia Antipolis.
Prise de contrôle à distance
Pour les technologies sans contact, qui communiquent par liaison sans fil et dont la portée sétend de quelques centimètres à plusieurs dizaines de mètres, le principal risque est celui d'une interrogation ou d'une prise de contrôle à distance non désirée d'un objet.
Pour chaque type d'application, des parades existent. « On peut toujours intervenir au niveau de la couche physique et/ou de la couche logique de la technologie pour mettre en place des verrous efficaces, mais cela a un coût. Le problème n'est finalement pas technique mais économique », explique François Vacherand, chef du service architecture et sécurité des technologies de l'information au Léti (1).
Selon lui, en termes de sécurité, il faut distinguer la famille des cartes à puce sans contact, conçues d'emblée avec une préoccupation forte en termes de sécurité, et les étiquettes RFID, qui ne disposent pas de ressources de calcul suffisantes pour se protéger, et ce pour des raisons de prix. « Dans le domaine de la santé, de l'identification (passeport électronique) ou du paiement sur mobile, le coût de la sécurisation peut atteindre plus de 1 euro par objet, mais pas avec les étiquettes RFID », explique François Vacherand. « On ne peut pas mettre en oeuvre les mêmes solutions de sécurité dans un téléphone mobile et dans une étiquette RFID qui coûte 5 centimes d'euro », confirme David Simplot-Ryl, professeur à l'Inria.
La traçabilité en question
Autre risque des étiquettes RFID : le détournement de leur capacité d'identification. Les industriels de la distribution prévoient de remplacer les codes-barres (déjà 30 ans de bons et loyaux services !) par des étiquettes RFID communicantes. Le standard d'étiquette RFID que souhaite adopter la grande distribution (EPC Class 1 Gen 2) améliore la traçabilité des produits et permet de réaliser des inventaires en temps réel sans avoir à scanner chaque article.
Ces innovations représentent des économies très importantes mais présentent aussi des risques. Il est en effet possible d'identifier une personne qui vient d'acheter une veste ou une montre grâce au numéro unique contenu dans l'étiquette du produit. En outre, « des cambrioleurs bien équipés peuvent eux aussi faire l'inventaire des biens équipant un magasin ou une maison avant de les "visiter" », explique François Vacherand.
Inquiètes, les organisations veillant au respect de la vie privée, comme la Cnil, demandent la destruction de ces étiquettes après le passage en caisse. Mais, pour les industriels, ce serait du gâchis, car les étiquettes RFID peuvent servir après la vente, notamment pour optimiser la gestion des retours ou encore pour accélérer la maintenance. Afin de renforcer la sécurité à moindre coût, ils envisagent d'effacer le numéro de série qui différencie deux produits identiques lors du passage en caisse afin de rendre les achats anonymes.
« Mais c'est déjà une mesure qui alourdirait fortement le coût de la technologie, surtout en phase de lancement sur des catégories restreintes de produits », explique Stéphane Cren, de GS1 France, entité française de l'organisation mondiale GS1, qui travaille à la standardisation des étiquettes RFID pour la distribution. Le débat des industriels avec la société civile ne fait que commencer.
(1) Léti : laboratoire d'électronique et de technologie de l'information du CEA (Commissariat à l'énergie atomique).
Aucun commentaire:
Enregistrer un commentaire