La sécurité de l'individu numérisé

De
Publié par

Avec le Web 2.0, le DMP, la RFID, la "googleisation", qu'il s'agisse d'offrir de nouveaux services aux usagers de la Toile ou de suivre leurs déplacements, c'est d'un monde nouveau dont il est question. Quelle est la place de l'individu dans cet univers ? Comment gérer ses droits et ses libertés ? Comment assurer sa sécurité dans des circuits informationnels qui envahiront demain les centres commerciaux, les rues, les domiciles... Ces contributions réunissent archivistes, informaticiens, et juristes.
Publié le : jeudi 1 janvier 2009
Lecture(s) : 317
Tags :
EAN13 : 9782296217980
Nombre de pages : 302
Voir plus Voir moins
Cette publication est uniquement disponible à l'achat

La sécurité de l'individu numérisé
Riflexions prospectives et internationales

@ L'Harmattan, 2008 5-7, rue de l'Ecole polytechnique; 75005 Paris

http://www.librairiehannattan.com diffusion.hannattan@wanadoo.fr hannattan I@wanadoo.fr ISBN: 978-2-296-07612-9 EAN:9782296076129

Sous la direr:tion de

Stéphanie Lacour

La sécurité de l'individu

numérisé

Réflexions prospectives et internationales

Préface de Claude Kirchner Postface d'Isabelle de Lamberterie

Actes de colloque du programme de recherche Asphales ACI Sécurité informatique, Paris, 22 et 23 novembre 2007

L'Harmattan

Sommaire Avant-propos Stéphanie Lacour Préface Claude Kirchner
Sécurité, collecte et conservation la technique des données sans être un technicien

9 13

Cas de données Sécurité de la RFID : comprendre Gildas Avoine

a Priori indifférentes

17 29 47 71

Ubuquitous computing et Droit L'exemple Stéphanie Lacour Quelles limites à la « googleisation Pierre Trudel Identité numérique et anonymat: El Hassan Bezzazi Sécurité, collecte

de la radio-identification

» des personnes? concepts et mise en œuvre

et conservation et sécurisés

des données

Cas de données Dossiers personnels ubiquitaires Philippe Pucheral et al. Les données de santé, l'exemple Caroline Zorn

sensibles en elles-mêmes

85 105

du dossier médical personnel de voyage:

La donnée biométrique et le document le point du vue du praticien Nicolas Delvaux La donnée biométrique et le document le point de vue du juriste Claudine Guerrier

121
de voyage:

129

Sécurité

et exploitation

des données of personal data

Appropriation through 'webification' John Soren Pettersson

des données

Litcle Brother Is Watching You - commercialisation

155
et

La commercialisation des données personnelles, perspectives prospective: l'exemple des données de santé et du DMP Jean-Jacques Lavenue et Grégory Beauvais

171

Appropriation et eXploitation des bases de données: le droit sui generis, les mesures techniques de protection et les mesures anti-contournement peuvent-elles entraîner la monopolisation de l'information? Estelle Derclaye Base de données 2.0 : nouvelles approches d'extraction « loyale» des données Adel Jomm d'appropriation et

191

237

Sécurité et exploitation des données Persistance des données Réinventer l'art d'oublier et de se faire oublier dans la société de l'information? Antoinette Rouvroy Applications de la géolocalisation Gwendal Le Grand
La géolocalisation des biens et des individus dans l'espace public: liberté de circulation et réseau de télécommunications Gaylord Bauden-Hamerel et César Povéda Postface Isabelle de Lamberterie

249 279

289

299

8

Avant-propos
STÉPHANIE LACOUR Chargée de recherche, CECO)I-CNRS
L'individu, pourtant si valorisé dans nos sociétés modernes, est-il délaissé par la société de l'information? Comment gérer les droits et libertés de ceux, de plus en plus nombreux, qui possèdent une ou plusieurs identités dans le monde internationalisé et dématérialisé des réseaux? Plus fondamentalement encore, comment assurer leur sécurité dans des circuits informationnels qui ne se limiteront plus, demain, à des univers virtuels accessibles par le biais d'un écran mais envahiront les centres commerciaux, les rues, les domiciles mêmes des individus, tels que l'ubiquitous computing et la multiplication des caméras de surveillance l'annoncent? À ces questions, les spécialistes de la sécurité informatique, seuls, de même que les juristes, isolés, ont du mal à apporter des réponses. C'est de la rencontre fructueuse de leurs compétences que peuvent surgir, aujourd'hui, les éléments d'une bonne gestion des risques engendrés pour les individus de demain. L'interdisciplinarité est au cœur même de la problématique de la sécurité dans la société de l'information. C'est la raison pour laquelle elle fut également le noyau de la réflexion engagée en 2004, sous l'impulsion d'Isabelle de Lamberterie, par les équipes partenaires du programme de recherche Asphales. Ce programme de recherche a reçu, durant trois années, le soutien de 1'« Action concertée incitative - Sécurité et Informatique» du ministère de la Recherche. Il a rassemblé dans un même effort des équipes composées de chercheurs et d'enseignants chercheurs en droit et en informatique situées sur l'ensemble du territoire français 1.
1

Ces laboratoires de recherche sont: le CECO]I (UMR CNRS-Université de Poitiers) ; le CERDI (Université de Sceaux, Paris XI); le DANTE (Université de Versailles SaintQuentin) ; le DEFIS (INT-GET); l'ERIb (Université de Montpellier I) ; l'INRIA Rocquencourt) ; l'IREENA T (Université de Lille 2) auxquels s'est ajoutée la participation de la Direction des Archives de France.

La sécurité de l'individu numérisé

Durant trois années, les partenaires d'Asphales ont parcouru de concert les chemins parfois tortueux des textes normatifs applicables à la société de l'information, dans le but non seulement d'évaluer la pertinence de ces textes vis-à-vis des technologies informatiques existantes mais aussi de faire évoluer la science informatique par une meilleure compréhension des besoins de régulation exprimés par le droit. Ces dialogues étaient encadrés selon une méthodologie précise, inspirée du modèle canadien, de lectures croisées. Partant du principe que les textes de droit positif applicables à la société de l'information sont en permanence confrontés aux évolutions des connaissances informatiques, lesquelles doivent, en retour, tenir compte du droit applicable pour se développer dans des conditions satisfaisantes, c'est autour de ces textes - lois, décrets, mais aussi normes techniques - que se sont réunies les compétences de tous les chercheurs impliqués dans Asphales. Ces lectures croisées ont abouti à la diffusion, librement accessible sur le réseau Internet 2, d'un corpus de textes normatifs de la société de l'information commentés par les deux communautés de chercheurs. « Le droit est un des moyens de créer la confiance, la sécurité informatique est un des outils pour assurer cette confiance. Trouver un bon équilibre entre le besoin de reconnaissance de la fiabilité d'une technique de sécurisation et un encouragement à la recherche de nouveaux procédés aptes à répondre à ce besoin constitue un défi permanent. » C'est ainsi que débutait le premier ouvrage issu des recherches menées dans le cadre d'Asphales publié dans cette même maison 3. Les équipes partenaires de ce programme ont toutefois souhaité poursuivre la réflexion et la diffusion des résultats de leurs recherches au-delà des travaux relatifs à l'état de l'art juridique et technique en matière de sécurité juridique et informatique. Le colloque terminal de ce programme de recherche s'est donc donné pour mission de recentrer les efforts collectifs sur l'individu et sa sécurité dans la société de l'information, mais également d'en étendre la portée à une vision plus internationale et prospective, comme le démontrent les pages qui suivent. Construits sur les bases mêmes de notre recherche commune, ces actes sont naturellement interdisciplinaires et émanent tout à la fois de chercheurs
2

3

Ce corpus est consultable à l'adresse: http://www.asphales.net.
réunies et coordonnées par

La sécurité alfjourd'hui dans la société de /'inf0l7l1ation, Contributions Stéphanie Lacour, L'Harmattan, 2007.

10

Avant-propos

confIrmés et des jeunes chercheurs, doctorants du programme. Y ont également été associées, afIn de donner aux travaux réalisés la perspective internationale que ces recherches méritent, les réflexions de chercheurs canadien, américain, belge et suédois. Malgré le caractère nécessairement territorialisé de la règle de droit, en effet, et les limitations inhérentes des compétences des partenaires d'Asphales, il est parfaitement impossible de penser la société de l'information autrement qu'à une échelle beaucoup plus large que celle de la France. En outre, la juxtaposition des réflexions de chercheurs provenant d'horizons géographiques et juridiques très divers ouvre des pistes de recherches inédites, tant au point de vue méthodologique qu'épistémologique. C'est donc sur le double axiome de la prospection et de l'internationalisation de leurs travaux que les partenaires d'Asphales ont souhaité clore les trois années de leur programme et ouvrir la voie à de nouvelles réflexions pour l'avenir. Dans ce cadre, le choix a été fait de conserver une présentation juridique des problématiques en jeu, qui oppose les questions relatives à la collecte et la conservation des données concernant les individus à celles qui concernent leur eXploitation. Le contenu des thèmes traités, toutefois, illustre parfaitement la démarche poursuivie d'un bout à l'autre de la recherche Asphales, puisque chaque question abordée l'a été sous l'angle de la sécurité informatique aussi bien que de la sécurité juridique. Tout comme « La sécurité, aujourd'hui, dans la société de l'information », cet ouvrage illustre la diversité des points de vue et des échanges auxquels notre recherche a donné lieu. Il est le résultat tangible des discussions et des questionnements qui nous ont rassemblés sur la société que nous sommes en train de construire pour les générations, numérisées ou non, de demam. . .

11

Préface
CLAUDE KIRCHNER Directeur délégué, INRIA Bordeaux
Comme le présente si bien Michel Serre, tout système physique ou vivant peut produire, stocker, émettre, recevoir de l'information. Cette remarque simple illumine notre compréhension des évolutions majeures de l'humanité. Nous sommes passés successivement de situations où l'information était transmise oralement, puis par l'écriture manuscrite et enfIn grâce à Gutenberg, sous forme imprimée. À chacune de ces transformations correspond une évolution majeure des sociétés humaines et aujourd'hui nos civilisations sont en pleine révolution par le passage de l'imprimé au numérique. Le mot révolution n'est pas trop fort et nous commençons seulement à en appréhender les diverses facettes et les implications profondes à tous les niveaux de nos activités et de nos sociétés. Une conséquence immédiate, majeure mais souvent peu visible a priori, concerne la sécurité. Lorsqu'ils se présentent sous une forme imprimée, nous pouvons protéger nos documents du temps, des intempéries ou des personnes en les mettant dans une armoire, un coffre ou chez une personne de confIance comme un notaire. Qu'en est-il aujourd'hui des photos numériques, de documents numériques de type pdf dont un État ou une personne privée peuvent souhaiter qu'ils restent secrets pendant cinquante ans par exemple? Clairement nous ne le savons pas bien. Qu'en est-il aujourd'hui du dossier médical de chacun? L'intérêt de le numériser est clair, notre vie peut en dépendre, celle de nos enfants dans le futur aussi grâce par exemple à la compréhension statistique des données accumulées. Mais que devient dans un tel contexte notre vie privée? L'économie de la sécurité du numérique est mal connue mais a des impacts socio-économiques et géostratégiques considérables. Comment l'évaluer et comment la réguler? Nous ne savons pas bien répondre à ces interrogations qui posent de tous points de vue des questions de recherche fondamentale et appliquée, scientifIquement intéressantes et techniquement cruciales.

La sécurité de l'individu numérisé

La révolution numérique en cours, transforme nos vies, nos relations et nos sociétés. Elle transforme donc profondément notre droit. Par exemple, dans quelles circonstances avons-nous le droit de copier un document comme une lettre, une photo, une œuvre musicale... Qui a le droit d'accéder aux données nous concernant? La numérisation rend le droit actuel caduc, souvent inapproprié ou incorrect, voire juste inexistant. C'est dans ce contexte que le ministère de la Recherche a décidé en 2003 de lancer un programme de recherche fondamentale consacré aux aspects de sécurité liés à l'informatisation globale. Le projet Asphales a été financé dans ce cadre à partir de 2004 et s'est terminé par un colloque dont le présent ouvrage rassemble la plupart des contributions.

Le travail effectué - et le recul qu'il permet de prendre - est remarquable et va permettre tant aux citoyens qu'aux décideurs de mieux comprendre les implications profondes de la sécurité numérique dans notre droit national et international. Ce que les sciences et technologies de l'information et de la communication nous apportent doit être maîtrisé par le droit approprié. Cette réflexion profondément multidisciplinaire a été conduite de manière magistrale dans le projet Asphales. Je vous laisse le plaisir et l'intérêt de la découvrir. Elle nous permet de mieux envisager l'ampleur des capacités que nous donne cette ère numérique, mais aussi la responsabilité profonde qui en découle pour la maîtriser et la comprendre.

14

Sécurité, collecte conservation

et

des données

Cas de données a priori indifférentes

Sécurité de la RFID : comprendre Gildas AVOINE

la technique

sans être un technicien

Ubuquitous computing et Droit. L'exemple Stéphanie LACOUR Quelles limites à la « googleisation Pierre TRUDEL Identité numérique et anonymat: El Hassan BEZZAZI

de la radio-identification

» des personnes?

concepts

et mise en œuvre

Sécurité de la RFID : cornprendrelatechrrique sans être un technicien
GILDAS AVOINE Professeur, DCL, Louvain-la-Neuve, Belgique Il est aujourd'hui difficile de parler de RFID sans que ne viennent à l'esprit les termes de «sécurité de l'information» et de «protection des données personnelles». L'évocation même de ces notions crée généralement une réaction épidermique chez les fournisseurs et fabricants de solutions RFID. Les experts en sécurité donneraient-ils une mauvaise image de la RFID ? Comme le vieil adage le rappelle pourtant, il n'y a pas de fumée sans feu et comprendre l'étendue de l'incendie constitue leur mission. L'évolution de la technologie RFID

Contrairement à ce que l'on pourrait croire, la RFID n'est pas une révolution technologique du vingt-et-unième siècle, mais de la première moitié du vingtième 1. Elle a cependant beaucoup évolué depuis lors et celle qui nous entoure aujourd'hui n'a plus grand-chose à voir avec la RFID de nos aïeux. Bien sûr, les principes physiques sur lesquels elle repose restent les mêmes, mais les progrès réalisés en électronique ont radicalement changé la donne: le prix d'un tag peut atteindre une quinzaine de centimes d'euros et sa taille est parfois inférieure à un grain de riz. Ces valeurs extrêmes ne doivent cependant pas cacher la réalité, car à chaque application correspond un tag qui lui est adapté: il est inutile d'utiliser un tag minuscule 2 (et donc coûteux) pour une application qui ne le nécessite pas, et il est impossible d'utiliser un tag à 15 centimes d'euros pour une application qui requiert de
1

La première application largement déployée est attribuée à la RqyalAir Forceet à son sys-

tème IdentificationFriend or Foe qui permettait de distinguer les aVions alliés des avions ennemis dès 1aSeconde Guerre mondiale. 2 Le l'lus petit tag commercialisé est le ~-tag, proposé par Hitachi, qui mesure 0,4 mm de côté. En 2007, Hitachi a également annonce la sortie d'unnouveau tag dont la taille n'est que de 0,05 mm de côté, mais l'antenne n'est pas incluse dans le tag dans ce cas-là. 17

La sécurité de l'individu numérisé

la sécurité. Il existe donc une large gamme de tags avec des caractéristiques très variées qu'il est impossible d'étudier séparément. L'une d'entre elles, pourtant, est une caractéristique discriminante de la nouvelle vague RFID : c'est la manière dont le tag est alimenté. Les tags qui possèdent une batterie intégrée sont dits « actifs ». Ils sont relativement coûteux et leur taille est évidemment contrainte par la taille de la batterie. Ils sont généralement utilisés pour des applications nécessitant des capacités de calcul ou des distances de communication importantes. On les trouve notamment pour l'ouverture des portes de voiture, pour les péages autoroutiers, pour la localisation de containers, etc. Les tags sans batterie sont dits « passifs ». Ils obtiennent leur énergie à partir du champ électromagnétique émis par le lecteur. Cela signifie que les tags doivent être présents dans le champ du lecteur pour communiquer et éventuellement effectuer des calculs. Ils répondent donc à la sollicitation d'un lecteur mais n'initient pas eux-mêmes de communication. Ils ont une distance de communication substantiellement plus faible que les tags actifs, pouvant aller de quelques centimètres à quelques mètres selon la technologie utilisée. Ce sont ces tags passifs qui sont aujourd'hui sur le devant de la scène et il est même devenu usuel d'utiliser simplement le terme « RFID » pour désigner la RFID passive et de dire explicitement « RFID active» dans le cas contraire. Les tags passifs les moins chers ne sont dotés que d'une mémoire contenant un identifiant unique 3. La communication entre le lecteur et le tag est alors très simple: sur sollicitation du lecteur, le tag envoie son identifiant, comme le ferait tout simplement une personne à qui l'on demanderait son nom. La communication peut parfois bénéficier de mécanismes légèrement plus évolués: certains tags ne fourniront leur identiftant que si le lecteur envoie un mot de passe correct, convenu à l'avance, lors de la fabrication ou de l'initialisation du tag. Le déploiement des tags à très bas coût a été renforcé et même catapulté par la création d'un consortium aux États-Unis en 1999, l'Auto-ID Center 4, qui a pour but de standardiser et de promouvoir l'utilisation de la RFID dans les chaînes logistiques, en particulier dans la
3

Le système d'information comprend alors une base de données qui contient les identifiants des tags et les données qui leur sont liées. Par exemple, la base de données qui enre~stre les chiens en Belgique est consul table librement sur Internet (www.abiec-bvirh.be) : etant donné un numéro de tag RFID d'un chien enregistré dans les fichiers de l'ABIEC, tout un chacun peut obtenir les informations concernant l'animal ainsi que les coordonnées de son propriétaire (identité, adresse et numéro de téléphone). 4 L'auto-ID Center s'est ensuite scindé pour donner naissance à l'EPC Global Network et aux Auto-ID Labs. 18

Sécurité de la RFID : comprendre la technique sans être un technicien

grande distribution.

À l'opposé,

certaines
5

organisations
6

de défense des liber-

tés individuelles comme CASPIAN

ou FOEBUD

tentent de limiter, voi-

re de stopper, leur propagation. Un autre exemple de tag, cette fois plus coûteux, est un tag qui possède des capacités de calcul importantes et capable d'effectuer des opérations 7. Celles-ci permettent cryptographiques de sécuriser le système RFID considéré notamment en chiffrant la communication entre le lecteur et le tag. Ces tags possèdent également une mémoire pour stocker des données, généralement un ou deux kilo-octets, mais des valeurs bien supérieures peuvent être atteintes, comme c'est le cas avec les passeports biométriques. Ces derniers peuvent contenir 70 kilo-octets 8 de données, soit environ 70 000 caractères - voire plus si des techniques de compression sont utilisées - ou plusieurs photos de taille et de qualité raisonnables. Un tag de ce type possède une distance de communication de l'ordre de quelques centimètres (ISO 14443) ou décimètres (ISO 15693).

Deux familles d'applications: identification et authentification
S'il existe plusieurs types de tags, c'est bien parce qu'il existe aussi plusieurs types d'applications. On en distingue deux grandes familles. L'une dont le but est uniquement d'apporter des fonctionnalités nouvelles ou d'améliorer des fonctionnalités existantes et dont le souci majeur n'est pas la sécurité (remplacement des codes-barres, tatouage du bétail, etc.). L'autre dont l'objectif est de sécuriser un système (badge d'accès à un immeuble, clef de démarrage d'une voiture, abonnement aux transports publics, etc.). Le point fondamental qu'il faut retenir est que le but du lecteur RFID est d'obtenir l'identité de l'objet interrogé dans le premier cas, mais aucune preuve de cette identité n'est requise: les échanges entre le lecteur et le tag constituent alors un protocole d'identification. Dans le second cas, il est important qu'une preuve de l'identité soit fournie: on parle de protocole d'authentification. Par abus de langage, protocole RFID désigne aussi bien un

Consumers Against Supermarket Privary Invasion and Numbering (CASPIAN) est un groupe dont le but est de combattre les cartes de fidélité dans les supermarchés. (www.nocards.com) 6 www.foebud.org 7 Selon les modèles de tags, ces opérations cryptograpruques peuvent être réalisées en logique câblée ou par un microprocesseur. 8 La taille de la mémoire peut varier d'un pays à l'autre, selon la solution technologique retenue, mais reste de l'ordre de plusieurs kifo-octets. 19

5

La sécurité de l'individu numérisé

protocole d'identification qu'un protocole d'authentification, mais il faut bien garder à l'esprit que ces deux concepts ne sont pas équivalents et les problèmes de sécurité auxquels ils doivent faire face sont différents. Plus précisément, identification et authentification doivent résister aux attaques de type vol d'informations, traçabilité malveillante et déni de service, mais l'authentification doit en plus résister au vol d'identité.

Vol d'identité
Comme nous l'avons dit, l'identification n'a pas pour but de prouver l'identité d'une personne ou d'un objet, mais seulement d'annoncer une identité. Quiconque écoute la communication entre un lecteur et un tag est donc en mesure« d'entendre» cette identité mais il ne s'agit pas là d'un vol. En revanche, un protocole d'authentification doit assurer au lecteur qu'il communique réellement avec la personne ou l'objet prétendu. Il existe pour cela des procédés dits «d'authentification faible» et des procédés dits « d'authentification forte », que nous introduisons ici. Dans le cas de l'authentification faible, le tag prouve son identité en envoyant une information secrète au lecteur, en quelque sorte un mot de passe. Cette information peut être écoutée par quiconque à proximité du tag, qui peut ensuite se faire passer pour celui-ci en utilisant cette information. C'est tout simplement la technique utilisée par Ali Baba pour ouvrir la fameuse caverne d'Abdul. La différence entre «identification» et « authentification faible» est donc très mince en RFID puisque la seule différence est que l'information envoyée par le tag est publique dans le cas de l'identification alors qu'elle est secrète dans le cas de l'authentification faible, mais peut être obtenue par quiconque interrogeant le tag ou écoutant une communication entre le lecteur et le tag. L'authentification forte ne permet pas de faire une «attaque à la Ali Baba », que l'on appelle plus sérieusement une « attaque par rejeu». Le principe que l'on trouve dans la majorité des tags aujourd'hui est le suivant: le lecteur envoie une question au tag telle que seul celui-ci est capable d'y répondre. Chaque fois que le lecteur souhaite authentifier le tag, il envoie une nouvelle question pour éviter qu'un pirate ayant écouté une précédente réponse ne puisse se faire passer pour ledit tag. Techniquement, chaque tag possède un secret unique partagé avec le lecteur et l'utilise pour répondre à

20

Sécurité de la RFID : comprendre la technique sans être un technicien la question 9. La réponse est obtenue en effectuant une opération cryptographique 10sur cette question à l'aide du secret partagé 11.Ainsi, il n'est pas possible de créer un tag piraté sans posséder le secret, qui est en fait protégé dans la mémoire du tag et n'est jamais révélé. L'authentification faible ne devrait évidemment pas être utilisée pour des applications sensibles. Toutefois, depuis le déploiement soudain de la RFID, il n'est pas rare de voir des locaux à accès strictement contrôlé protégés uniquement avec de l'authentification faible. Défaillance volontaire ou involontaire? Qui est le responsable? Qui est informé de cette faiblesse? Il n'est pas facile d'apporter des éléments de réponse à ces questions car le système utilisé est généralement livré « clef en main» et perçu comme une boîte noire par le client. Connaître la réelle sécurité du système nécessite d'être un fm limier car, même mandaté officiellement par le client, retrouver parmi les interlocuteurs (responsable logistique du client, responsable informatique du client, fournisseur de solutions RFID clef en main, vendeur du contrôle d'accès, fournisseur du tag, fournisseur du microcircuit, fournisseur du système d'exploitation embarqué dans le tag, etc.) celui qui connaît le contenu de la boîte dans sa globalité et qui accepte d'en parler est particulièrement difficile. Une solution serait certainement de créer un label de type « solution d'identification », « solution d'authentification faible », « solution d'authentification forte» qui permettrait de mettre un nom sur le responsable, si une solution d'identification ou d'authentification faible est vendue en lieu et place d'une solution d'authentification forte. Pour noircir le tableau, soulignons que, en pratique, de nombreux systèmes d'authentification forte utilisent des fonctions cryptographiques propriétaires pas assez expertisées. Le problème peut venir de l'utilisation de secrets trop courts, donc facilement « devinables» (c'est en fait assez fréquent) ou la fonction employée peut être tout simplement mal conçue 12.
9 Également appelée « défi» ou « challenge », la question n'est autre qu'un nombre aléatoire. 10 Il s'agit d'une signature numérique ou d'un chiffrement reposant sur de la cryptographie symétrique (plus rarement, sur de la cryptographie à clefs publiques). Cette fonction est publique et donc potentiellement connue de tous, mais le paramètre de la fonction, c'est-àdire le secret, n'est connu que du lecteur et du tag. Il Seuls les possesseurs du secret partagé sont capables de calculer et vérifier la réponse, et la connaissance de la réponse ne revèle aucune information sur le secret partagé. 12 Attaque sur les clefs de démarrage de voitures utilisant le module DST de Texas Instrument, ainsi que sur la carte de paiement américaine SpeedPass. Attaque sur les passeports biométriques : http://www.avoine.net/rfid/passports.htlm Attaque sur les dispositifs KeeLoq d'ouverture des portes de voitures, presentée par Bart Preneel à la Rump Session de la conférence Crypto 2007. 21

La sécurité de l'individu numérisé

Vol d'informations
Alors que l'usurpation d'identité ne concerne que les tags qui ont pour objectif de réaliser de l'authentification (par opposition à l'identification), le problème du vol d'informations concerne potentiellement tous les tags. Il se pose dès lors que les données envoyées par le tag révèlent des informations sur l'objet qui le porte. Par exemple, un document d'identité ou une carte de paiement peut révéler des informations confidentielles. Une carte de transport public peut révéler les dates et lieux des derniers passages de son porteur. Plus préoccupant, les produits pharmaceutiques marqués électroniquement, comme préconisé par la Food & Drug Administration aux États-Unis, pourraient indirectement révéler les pathologies d'une personne, etc. Une parade consiste à ne stocker qu'un identifiant sur le tag et à stocker les données confidentielles dans une base de données. C'est ce qui se passe généralement, ne serait-ce que parce que cela réduit le coût du tag. Le risque de divulgation d'informations personnelles au niveau du tag est ainsi en quelque sorte éliminé, mais le problème se translate sur la base de données, comme nous le verrons plus loin. Une autre manière de traiter le problème est de faire en sorte que le tag chiffre les données qu'il envoie ou exige que le lecteur s'authentifie avant toute discussion. Car le problème est bien là : le tag répond à toute sollicitation sans accord exprès de son porteur. Ces deux approches nécessitent toutefois une gestion des secrets partagés 13 assez contraignante car chaque tag doit avoir son propre secret. Elle nécessite également une capacité de calcul relativement importante, que les tags à très bas coût ne possèdent pas. Cette approche est cependant aujourd'hui très répandue, par exemple pour le contrôle d'accès physique. Mais la fuite d'informations, ce n'est pas seulement le vol d'informations personnelles. Un problème rarement évoqué est l'espionnage industriel. Celui-ci peut prendre différentes formes. Au lieu de soulever la bâche d'un camion de la société concurrente, il est aujourd'hui plus facile de découvrir leur contenu en les scannant lorsqu'ils sortent de l'entrepôt ou lorsqu'ils
13

L'utilisation de cryptographie à clefs publiques est particulièrement délicate en raison des faibles capacités des tags ce qui oblige à utiliser de fa cryptographie symétrique malgré la difficile gestion des secrets: chaque tag doit posséder son propre secret, qu'il parta~e avec le lecteur. L'utilisation d'un même secret pour tous les tags d un système donné n est pas envisageable car la compromission d'un seul tag (secret révélé) mettrait en péril tous les autres tags du système. 22

Sécurité de la RFID : comprendre la technique sans être un technicien

sont stationnés sur les aires de repos. Car aujourd'hui, nombre de cartons, palettes ou containers sont déjà marqués avec des tags RFID. Mais faire de l'espionnage industriel, c'est aussi obtenir de l'information sur ses concurrents par le biais de ses clients. Par exemple, en se rendant dans la société d'un client pour y faire du démarchage, du suivi de commande ou de l'expertise, il est possible de scanner les lieux aftn de détecter la présence de tags provenant d'un concurrent. Soulignons enftn un phénomène a priori indépendant de la RFID mais qui, dans les faits, y est fortement lié, la « log-mania ». L'installation d'une solution RFID dans une société entraîne généralement une refonte de la structure informatique de gestion. Enregistrer tous les faits et gestes liés aux objets marqués électroniquement est tentant en raison de la facilité de mise en œuvre. Le moindre déplacement ou modiftcation d'un objet est alors enregistré dans les ftchiers. Le vol d'informations dans une base de données par un concurrent ou la fuite accidentelle d'informations (perte d'une sauvegarde ou d'un ordinateur portable, etc.) existe aujourd'hui avec tout système d'information, mais le risque et les conséquences sont accentués avec la multiplication des systèmes RFID et l'augmentation des informations qu'ils enregistrent. Par exemple, étant donné l'identiftant d'un tag, il est possible aujourd'hui de retrouver chez le fournisseur le lieu et l'heure de sa fabrication ou des contrôles qu'il a subis, voire l'identité de la personne qui l'a contrôlé. Au niveau de l'exploitant du système RFID, on pourra par exemple retrouver dans la base de données d'une société de transport public les lieux et heures de passage de tous les clients. La base de données RFID devient alors une cible idéale pour la concurrence. Enftn, l'individu lui-même peut souffrir de cette « log-mania» car la quantité d'informations personnelles enregistrées informatiquement tend à s'accroître. Comme nous l'avons dit, ce n'est pas une conséquence directe de l'utilisation de la RFID, mais la RFID semble bien attiser ce phénomène. Les informations ainsi recueillies peuvent ensuite être divulguées volontairement ou involontairement. Un employé ayant accès à la base de données pourrait obtenir voire vendre des informations conftdentielles 14. Nous verrons dans la section suivante le cas des transports publics de la ville de Boston aux États-Unis, mais citons ici un autre exemple, celui du tatouage animal. Chaque animal domestique possède en Europe un tatouage, de plus en
14 Dans un cadre différent, plusieurs affaires judiciaires récentes ont mis en cause des policiers et gendarmes 'lui ont vendu des informations à des détectives privés, en abusant de leurs privilèges d'acces à des fichiers confidentiels (Le Figaro, 14 avriI2006). 23

La sécurité de l'individu numérisé

plus souvent électronique. Le tag injecté sous la peau de l'animal ne contient lui-même qu'un simple identifiant, qui est enregistré dans un fichier national. À cet identifiant, correspond dans le fichier un ensemble de données sur l'animal mais aussi sur son propriétaire. Prenons le cas de la Belgique. L'organisme chargé de l'enregistrement des animaux domestiques canins est l'Association belge d'identification et d'enregistrement canins 15.À partir du numéro de tatouage, électronique ou non, il est possible d'obtenir publiquement sur le site web de l'association l'ensemble des données concernant l'animal ainsi que l'identité, l'adresse et le numéro de téléphone du propriétaire 16.

Comme nous l'avons vu, le risque de vol d'informations au niveau du tag peut être fortement réduit si des techniques cryptographiques (chiffrement ou authentification) sont utilisées. L'usage de ces techniques sur des tags à très bas coût ne peut toutefois pas être envisagé. Dans ce dernier cas, seul un identifiant est émis par le tag, mais cette donnée peut déjà constituer une information de grande valeur, notamment pour un concurrent.

Traçabilité malveillante Le problème de la traçabilité malveillante est plus délicat à traiter. Quelle que soit l'information envoyée par le tag, elle peut potentiellement être utilisée pour le tracer, par exemple pour déterminer l'heure d'arrivée et de départ d'une personne de son poste de travail. Pour ne pas permettre la traçabilité malveillante, le tag doit n'envoyer aux lecteurs que des réponses qui « semblent» être aléatoires 17sauf pour le lecteur autorisé 18. Cette technique n'est presque jamais employée car elle présente plusieurs inconvénients majeurs: (1) le tag doit avoir les capacités suffisantes pour utiliser de la cryptographie; (2) pour pouvoir lire ifficacement les données reçues, le lecteur doit connaître l'identité du tag (pour savoir quel secret utiliser), mais pour connaître l'identité du tag, il doit savoir lire les données reçues; (3) pour pouvoir communiquer, le système RFID utilise
15 http://www.abiec-bvirh.be/. 16 En France, l'accès à l'intégralité des fichiers répertoriant canins et félins semble aux professionnels. 17 La valeur renvoyée par le tag peut être par exemple l'identifiant de celui-ci, chiffré secret partagé par le lecteur et le tag. Il faut alors que le chiffrement soit randomisé, dire que chiffrer une même valeur deux fois doit produire deux résultats différents. 18 En utilisant le secret partagé, le lecteur peut déchiffrer la réponse du tag et ainsi son identifiant. 24

réservé avec le c'est-àobtenir

Sécurité de la RFID : comprendre la technique sans être un technicien un protocole d'évitement de collisions 19 qui repose souvent sur le fait que chaque tag possède un identifiant d'évitement de collisions unique et fixe (OlD) ; en conséquence, même si le protocole RFID évite la traçabilité malveillante, le protocole d'évitement de collisions peut permettre la traçabilité du tag et donc de son porteur. Le seul exemple que nous connaissons où le problème de la traçabilité malveillante est pris en compte est le passeport biométrique. En effet, dans le cas du passeport, le tag ne délivre des informations intelligibles qu'à partir du moment où le lecteur s'est correctement authentifié 20. En outre, l'identifiant d'évitement de collisions n'est pas fixe: il est généré aléatoirement chaque fois que le tag est sollicité par un lecteur. Seul bémol, même s'il n'est pas possible de tracer en théorie un passeport, sa présence peut être détectée: avant de s'authentifier auprès du passeport, le lecteur envoie une commande pour sélectionner l'application « passeport» sur le tag. Si le tag ne renvoie pas de message d'erreur, cela signifie bien que le lecteur est en présence d'un passeport. Illustrons la traçabilité, certainement pas malveillante, mais faite à l'insu des utilisateurs, par le cas du métro de Boston. La MBTA, la compagnie de transports publics du Massachusetts, enregistre depuis l'introduction de son nouveau système RFID les passages dans les portillons des voyageurs munis de la Charlie Card, sésame des transports bostoniens qui peut contenir un abonnement ou un porte-monnaie électronique. Si la Charlie Card est rechargée avec une carte de crédit, alors le numéro de la carte de crédit est associé au numéro de la Charlie Card dans les fichiers de la MBTA. Enfin, troisième élément, les stations de métro de Boston regorgent de caméras de surveillance. En associant ces trois éléments, MBTA et police ont été en mesure d'arrêter plusieurs dizaines de malfaiteurs depuis la mise en service du système, en décembre 2006. Il Y a quelques semaines, Richard Stallman proposait aux membres du CSAIL, laboratoire du MIT auquel appartient le célèbre défenseur des libertés individuelles, de se réunir pour une séance d'entre-échange de Charlie Card, juste histoire de brouiller les pistes...

Un protocole d'évitement de collisions permet de lire un tag même si un autre tag se trouve dans le champ électromagnétique du lecteur. Sans un tel protocole, la présence de deux tags en même temps à proXlfTlÎté d'un lecteur empêche celui-ci de fonctionner correctement. 20 Le secret permettant au lecteur de s'authentifier est imprimé dans le passeport, et lu par un dispositif optique. 25

19

La sécurité de l'individu numérisé

Déni de service Enfm, le piratage peut ne pas concerner un tag donné, mais un système donné en cherchant à déstabiliser son infrastructure. Cela peut être fait de manière inintéressée, au même titre qu'un pirate informatique déface un site web ou qu'un délinquant dessine des graffitis sur les murs, ou cela peut être le fruit d'un travail élaboré et prémédité. Ce dernier cas est tout à fait envisageable dans une situation de concurrence entre deux sociétés. Il pourrait être tentant de déstabiliser son concurrent en anéantissant le système RFID qui contrôle sa chaîne de production. Les techniques qui permettent de faire cela sont diverses et variées et dépendent fortement de la technologie RFID utilisée. Une technique simple est d'utiliser un brouilleur électromagnétique qui empêche la lecture des tags présents dans son environnement. Ce brouilleur peut être introduit chez la victime ou, s'il est assez puissant, placé à l'extérieur des locaux de la victime. Plus subtil, des tags falsifiés peuvent être introduits chez la victime pour '2122 pertur b er son systeme .
Notons également qu'il est facile de «cacher» de manière électromagnétique un tag RFID en le plaçant dans une cage de Faraday qui peut être constituée d'une simple feuille métallique 23. Cette technique est redoutable dans un magasin qui utilise de la RFID et dont le contrôle de sortie est effectué par le client lui-même en utilisant une caisse self-service. L'étude des dénis de service dans les systèmes RFID n'en est qu'à ses premiers balbutiements. Ce domaine profite d'une longue histoire et de l'expérience dans le domaine plus général de l'informatique qui pourront être utilisées, à bon ou mauvais escient, dans le domaine plus restreint de la RFID.

Conclusion Cette succincte présentation de la sécurité de la RFID a pour but de présenter et de clarifier les menaces qui pèsent aujourd'hui sur cette technolo21

Notons que le blocker tag proposé par Ari Tuels, Ronald Rivest et Michael Szydlo dans le but de préserver la sphère privee est malgré lill aussi un outil de déni de service qill permet de perturber les systemes RFID d'autrtÙ au niveau du protocole d'évitement de collis1ons. 22 Une technique fortement étudiée depills peu est la conception de virus transportés par des tags RFID. 23 Du film alimentaire en aluminium est suffisant pour faire barrage aux ondes électromagnétiques. Des solutions plus élégantes mais dont le principe est tout aussi simple peuvent etre achetées sur Internet, par exemple sur le site www.rfid-shield.com. 26

Sécurité de la RFID : comprendre la technique sans être un technicien

gie. Sans aborder les aspects purement techniques, elle permet de distinguer ce qui est réalisable de ce qui ne l'est pas, tant en termes d'attaques qu'en termes de contre-mesures. Vol d'identité, vol d'informations, traçabilité malveillante et déni de service sont autant de menaces qu'il faut considérer sérieusement. Certaines d'entre elles trouvent incontestablement leur parade dans l'usage de la cryptographie. D'autres sont plus délicates à traiter. Mais il est un point important qu'il faut garder à l'esprit: les techniques mises en œuvre pour sécuriser la RFID repose sur le postulat que les attaques proviendront d'un pirate extérieur au système. Une menace majeure, pourtant, concerne l'utilisation abusive voire frauduleuse des données par les personnes même qui les recueillent licitement.

27

U buquitous computing 1 et Droit
L'exemple de la radio-identification
STÉPHANIE LACOUR Chargée de recherche au CECO]I-CNRS
Lassée de jouer dans l'herbe du parc, Alice s'assoupit. À l'instant où elle s'endormait, son regard fut attiré par le passage d'un lapin blanc, habillé d'un costume trois pièces de marque et équipé d'une magnifique montre à gousset, qu'il consultait fébrilement. Le lapin s'inquiétait à voix haute: «Je ne vais jamais avoir suffisamment de temps! ». Intriguée par ce manège et désireuse de lui apporter son aide, Alice décida d'accompagner le lapin... Arrivé à quelques mètres de son automobile, celui-ci l'ouvrit grâce à une clé RFID. La fillette se permit alors de lui faire remarquer qu'ils gagneraient certainement du temps en prenant les transports en commun. « Qu'à cela ne tienne », répondit le lapin, et ils se dirigèrent vers le bus le plus proche. Une fois montés à bord et enregistrés sur le système par leurs cartes sans contact, les deux compères se dirigèrent vers un centre commercial. Le lapin savait en effet que le dernier album de son groupe préféré, les « Lièvres verts », était dans les bacs, et il souhaitait en acquérir un exemplaire numéroté. L'album dans sa besace, ils quittèrent le magasin en jetant un regard à la montre, qui leur conseilla au passage, grâce aux informations de son lecteur RFID, de se rendre dans le magasin de vêtements du centre pour y acquérir le tee-shirt promotionnel des Lièvres verts, qui venait d'être livré, ainsi qu'un chapeau pour Alice, dont la puce implantée signalait un risque d'insolation. Les deux amis décidèrent de ne pas tenir compte de ces conseils. Ils savaient que leurs systèmes embarqués avaient tendance à les pousser à la consommation. En outre, le lapin avait promis à Alice un verre de jus de carottes ainsi qu'une copie de l'album des Lièvres verts, qu'elle ne connaissait pas.

L'ubiquitous computing,expression inventée par Mark Weiser, du Xerox Parc de Palo Alto, en Californie, est un système constitué d'ordinateurs invisibles et omniprésents, embarqués dans notre environnement. Les RFID prennent une part centrale dans ce dispositif cauipassait pour futuriste il y a encore quelques mois mais semble désormais à nos portes. A ce sujet, on l'eut lire Everyware: The Dawning Age

1

0/ Ubiquitous

Computing de Adam

Greenfield,

New Riders Publishing, 2006.

La sécurité de l'individu numérisé

Dans le terrier du lapin, la porte équipée d'un lecteur RFID s'ouvrit automatiquement. Le réfrigérateur fut moins coopératif et lui indiqua qu'il ne pouvait offrir à son invitée le jus promis, la date d'expiration contenue dans l'étiquette électronique de ce dernier étant expirée depuis 2 heures. Ils se contentèrent donc d'un verre d'eau et Alice copia le disque du lapin avant de quitter celui-ci, qui devait maintenant recevoir le livreur de jus de carottes, appelé par l'ordinateur central du terrier. Elle ne savait pas, pauvre enfant, que son lecteur de disques refuserait, en l'absence de RFID valable, de lire cette copie... Il n'est pas habituel, pour un juriste, de commencer son exposé par une
2

allégorie. Il s'agissait, tout d'abord, de rendre hommage à Lewis Caroll

et à

son univers fantasmagorique, dans lequel on a parfois l'impression de plonger lorsque l'on travaille sur les technologies de l'information. Il s'agissait également de rappeler à nos souvenirs communs certaines des caractéristiques des deux personnages centraux de cette première partie de son œuvre. Alice, tout d'abord, est l'une des figures récurrentes qui ont hanté les travaux qui ont rassemblé le CECO]I, la DAF et les chercheurs en cryptographie de l'INRIA. Ces derniers font en effet systématiquement usage de ce nom pour désigner le premier maillon des chaînes de transmission d'informations dont ils testent la sécurité, le second étant Bob. Alice a donc régulièrement fait l'objet de nos conversations. Le Lapin, ensuite, qui a été choisi pour emblème par l'une des sociétés 3 qui a investi très tôt, en France, le champ de l'informatique ubiquitaire et qui vient de lancer, ces dernières semaines, une campagne de publicité commune avec une grande société d'édition pour promouvoir son application RFID. Ce petit lapin est en effet équipé d'un lecteur RFID qui lui permet non seulement de retrouver, selon ses concepteurs, tous les objets « pucés» qui se trouvent dans son périmètre, mais aussi d'exempter les parents de la fastidieuse corvée de la lecture du soir, puisque les livres équipés de ces « timbres» et dont les éditeurs ont adhéré à la technologie en cause seront tout simplement lus par le lapin luimême à leurs enfants... Nous ne discuterons pas, ici, du caractère souhaitable ou pas de ce genre de gadgets... En revanche, le discours de l'un des fondateurs de la société qui développe cet objet, lui, présente quelque intérêt pour qui souhaite examiner les scénarii prospectifs existant en matière de technologies de l'information et de la communication. Pour lui, les produits de sa société
V. Lewis Carroll, Alice au Pi!Ysdes meroeilles,traduction de Jacques Papy, illustrations de Sir John Tenniel, Gallimard Jeunesse/Denoël, 1999. 3 Pour en savoir plus sur cette société, v. http://www.nabaztag.com/en/index.html. 30 2

Soyez le premier à déposer un commentaire !

17/1000 caractères maximum.