C'est fantastique les RFIDs. Un peu comme les machines à voter, mais en moins cher et plus populaire. Et c'est tellement un pratique qu'on en voudrait partout. Et du coup, on s'en ramasse de plus en plus. Pour autant, dans le cas du RFID, il s'agit bien plus d'une mauvaise utilisation de cette technologie sans-fil que d'une idée vraiment saugrenue. Je veux dire le fait de vouloir substituer une forme d'identification qui vaut ce qu'elle vaut à pleins de pratiques qui réclament quelques attentions supplémentaires.

Comme le démontre la vidéo, et pleins d'autres au passage, activer un chip RFID n'est pas très compliqué. Récupérer les informations qu'il contient est donc un jeu d'enfant. Et sa réplication n'est pas moins simple, malgré les affirmations de certains... Il s'agit juste d'avoir le matériel et les logiciels qui vont bien, ce qui se trouve presque au coin de la rue. Maintenant, dans le langage populaire, cette grande famille des RFIDs ne se limite pas à ces simples tags qu'on excite et qui nous retournent un signal. On y trouve également une grande variété de systèmes plus ou moins compliqués et plus ou moins bien faits, passifs ou actifs, qui vont nécessiter des échanges, parfois cryptographiques, entre le tag et le lecteur avant de délivrer de l'information. Le tout pouvant aller jusqu'aux bonnes vieilles cartes à puce sans contact.

Le problème, c'est que mettre ces derniers éléments dans la même bassine que ce qu'on appellait à l'origine des RFIDs n'est pas forcément une bonne idée, dans la mesure où les problématiques ne sont clairement pas les mêmes. Par exemple, le problème d'un tag simple, c'est principalement son contexte d'utilisation. Je vais prendre un exemple d'actualité, en tout cas pour moi puisque j'en reviens, avec les forfaits de ski. L'Espace Killy[1] s'est doté il y a trois ans d'un système qui repose aujourd'hui intégralement sur des chips RFIDs. Après quelques recherches, on peut sans grand risque de se tromper penser que le système fixe est fourni par la société autrichienne Skidata[2].

On peut distinguer deux types de badges. Il y en a des cartonnés, qu'on achète sur place, et qui compte tenu des caractéristiques des lecteurs sont probablement des tags souples à 125kHz. Et il y en a des rigides au format carte de crédit, pour lesquels je penche plus pour de l'ISO 15693 qu'on trouve également implémenté dans certains hôtels. Bref, tout ça pour dire que ce sont de simples tags, des bons gros RFIDs de base. À partir de là, on peut se demander si l'utilisation qui en est faite correspond bien à ce que fournit ce type d'équipement. Par exemple, dans le cas qui nous intéresse, est-ce que l'usurpation d'un forfait est un problème ? Pour la régie qui gère les remontée mécanique et/ou pour l'usager. Pour la régie, un risque est évidemment le manque à gagner générer par des usagers utilisant des forfaits copiés. Pour autant, ce genre de duplication est encore rare[3] et on peut mettre en face des mesures, genre de la détection d'anomalies sur l'usage des forfaits. Pour l'utilisateur, la problématique est double. Il y a d'abord le problème des informations contenues sur le badge. Je n'ai malheureusement pas de lecteur à disposition immédiate pour vérifier, mais les diverses utilisation que je connais de ce standard ne laissent pas traîner d'informations personnelles genre nom, prénom, date de naissance, etc. Juste un identifiant unique. On supposera qu'il en va de même ici et qu'on peut écarte ce risque. Ensuite, il y a le risque de se faire voler, avec par exemple quelqu'un qui utiliserait son identifiant à son insu entraînant une facturation d'utilisation indue.

Pour ce dernier cas, le système de Val d'Isère, comme la plupart de ceux déployés en station, nécessite de la part de l'utilisateur qu'il recharge son forfait, soit en ligne, soit sur place. Les jours ainsi crédités sont valables entre des dates définies lors de l'opération. Dates auxquels l'utilisateurs va bien évidemment se trouver sur les pistes. Ce qui mitige énormément le risque à son égard : avoir quelqu'un qui usurpe son identifiant sur cette période ne devrait pas le pénaliser. On pourra sortir des cas tirés par les cheveux, du genre demande de remboursement[4] refusée parce que quelqu'un utilise votre identifiant pendant la période... Mais bref. Ceci m'amène à considérer une autre type de forfait, dont la carte Holiski est un bon exemple. Il s'agit d'un passe RFID valable sur plusieurs domaines. En grenouillant un peu à droite et à gauche, on s'aperçoit que leur badge est compatible avec le système Skidata et qu'il doit donc, encore une fois, s'agir de badges ISO 15693. Par contre, le concept d'utilisation diffère singulièrement puisque, si j'ai bien tout compris, il s'apparente plus à du télépéage : vous êtes facturé à la journée d'utilisation, après coup, sur la base des informations retournées par les lecteurs en station. Et là, ça devient tout de suite plus intéressant pour le mécréant qui, s'il parvient à dupliquer un tel badge, peut utiliser l'identifiant associé sur l'ensemble des stations disponibles sans trop se poser de questions, un peu comme ça avait été démontré sur les pompes à essence aux US. L'utilisateur légitime se voyant facturé des journées correspondantes...

Je ne vais pas épiloguer sur les scénarios d'attaque possibles et les possibles contre-mesures techniques et organisationnelles qui pourraient être mises en face, mais globalement, on voit ici que pour la même technologie et un besoin de base identique[5], on parvient à deux systèmes qui ne présentent pas le même niveau de vulnérabilité pour ses acteurs, juste à cause du contexte d'utilisation.

Les lecteurs curieux pourront aussi revenir à la présentation faite au SSTIC 2006 par Gildas Avoine sur la question, plus largement à quelques autres de ses publications dont certaines sont en français.


Quand on utilise du RFID, le gros problème reste la sensibilité, donc la protection, des données contenues par le tag. Leur extraction donne lieu à un champ de possibilités assez vaste. Ces derniers temps, l'attention s'est focalisée sur le passeport dit biométrique, c'est à dire répondant au standard ICAO 9303 et équipé d'une puce ISO 14443, avec la possibilité de le lire, ce qui s'avère trivial quand on l'a entre les mains, de le dupliquer, là encore pas trop de difficultés, ou d'en créer un faux, ce qui a donné lieu au coup du vrai faux passeport d'Elvis.

Mais je dois avouer que toute cette agitation me laisse un peu sceptique. S'il est évident que la protection des informations sensibles que contient un passeport biométrique est quelque peu insuffisante à mon goût, je dois avouer que des attaques comme la modification des données ou la démonstration de Chris Paget m'ont laissé pour le moment sceptique. La première parce qu'elle pose quelques problèmes pratiques, clairement pas insolubles, mais pour moins ennuyeux. On sait tous par exemple, parce qu'on a lu les slides des présentations faites sur le sujet, que les informations contenues dans le chip sont signées. S'il est clair que la PKI associée pose des soucis d'implémentation, il n'en reste pas moins que pour faire passer un vrai faux passeport, il faut que le système qui le lit ne vérifie pas les signatures. Ce qui est probablement le cas de la borne attaquée par les gens de THC. Maintenant, est-ce que la même attaque passera la douane, c'est déjà moins sûr, ne serait-ce que parce qu'on ne pourra pas filer le tag programmable avec[6].

Et la dernière, le clonage version wardriving, parce qu'on sait aussi que la lecture du passeport nécessite la fourniture d'une clé, à savoir le contenu de la MRZ. Et là on s'interroge. Si l'accès au données en aveugle a déjà été démontré, l'auteur de la performance a quand même mis quatre heures pour y parvenir, et disposait déjà d'indications intéressantes, comme le nom du propriétaire du passeport et une idée assez précise de sa date de délivrance. Chris Paget, lui, par contre, ne sait absolument rien sur l'identité des gens dont il lit le passeport. Ce qui pose une question de fond : comment il fait pour déchiffrer le contenu ?

C'est typiquement une question à laquelle il a répondu dans le talk qu'il a donné à Shmoocon. Si on n'a pas les slides, on a au moins une vidéo de la présentation qui est très intéressante. Je vous la recommande chaudement. Intéressante en particulier parce que, pour revenir à la question initiale, on s'aperçoit qu'il n'y répond pas. Mais pour une très bonne raison : comme les internautes attentifs l'auront remarqué, à la différence d'un certain nombre de rapporteurs européens, il ne parle pas du tout des passeports classiques tels que nous les connaissons. Ces travaux s'appliquent aux tags utilisés sur les mini-passeports définis par une initiative appelée Western Hemisphere Travel Initiative poussée par le gouvernement américain pour les déplacements sur le continent américain. Et devinez quoi ? Ben il n'a aucune sécurité dedans, ce qui, considérant encore une fois les informations contenues à l'intérieur est plutôt inquiétant, pour rester dans l'euphémisme. Piece of cacke...

Heureusement, il semblerait que la prise de conscience commence à pointer le bout de son nez sur ce sujet...


Tout ça pour dire que quand on parle RFID, on touche à pleins d'applications et de technologies différentes, qui ne présentent pas du tout les mêmes vulnérabilités, et que le mélange des genres n'est bon pour personne. Ce mélange est d'ailleurs la base d'un discours marketing rampant visant à nous faire prendre des vessies pour des lanternes, un peu dans la même veine que celui qui voudrait nous faire confondre agrément et certification pour pousser des joujoux que j'affectionne particulièrement, et donc à fourguer des RFIDs au sens strict du terme là où il faudrait des équipements plus évolués...

En définitive, ce qui m'inquiète le plus dans ces histoires de RFIDs, c'est surtout le vol d'informations qui conduit inévitablement à l'usurpation d'identité à pleins de fins différentes, pratique considérée par les autorités comme un des risques majeurs liés à l'écosystème numérique. Mais comme on vient de le voir, on s'en ramasse à toutes les sauces, puisque tout le monde trouve ça diablement sexy. Au point de s'en servir d'argument de vente, comme des cartes de crédits transparentes pour bien montrer le tag à l'intérieur. À quand le vote par RFID ? ;) Dans le même temps, l'utilisateur lambda n'a juste aucun moyen de vérifier ce que contiennent les tags en terme d'informations, et comment elles sont protégées. Il n'a aucune idée non plus de l'usage qui peut être fait de ces informations, aussi bien par le gestionnaire du système, lequel dispose de possibilité de tracking et de profiling énormes, que par un acteur extérieur au système un minimum équipé. Sans parler de la corrélation de l'ensemble des informations récupérées depuis tous les tags qu'on portera, volontairement ou pas, consciemment ou non, dans notre porte-feuille, dans nos poches, voir carrément sur ou à l'intérieur de nous... Scary...

Et quand on voit le coût de ces systèmes, on se dit que cet argent serait mieux employé à prendre le temps de la réflexion, surtout quand c'est pour aboutir à des déploiements bancals dans lesquels on a juste oublié de mettre à disposition des personnes qui vont bien... les lecteurs...

Pendant ce temps, lex curieux, eux, sont équipés...

Notes

[1] Tignes et Val d'Isère.

[2] C'est pratique le web quand même... Je ne parle même pas des press releases...

[3] Pour combien de temps encore ?...

[4] Suite à une blessure par exemple...

[5] Identifier le skier.

[6] La carte blanche posée au dessus du passeport sur la vidéo.