Mobile et NFC

Le salon "Carte et IDentification" se tiendra du 4 au 6 novembre 2008 au Parc des Expositions de Paris-Nord Villepinte.

Une bonne occasion de parler de l’usage du NFC dans le domaine de la sécurité et du contrôle d’accès. Vous pouvez également trouver des vidéos de l’édition 2007 ici.

Pour l’édition 2007, les USA sont à l’honneur. A ce titre, je vous propose cet article qui met en avant les usages du NFC aux États-Unis et son rôle de précurseur dans ce domaine.

Bon et sinon, vous êtres plutôt Hillary ou Obama ?

Les étudiants du Chaos Computer Club d’Allemagne associés aux chercheurs de l’université de Virginie viennent de craquer le schéma de cryptage d’une puce RFID très répandue : la MifareClassic de NXP. Selon le communiqué, celle-ci est utilisée dans bon nombre d’applications sans contact, dont les cartes de fidélité, les cartes d’abonnement de transports,et les cartes de contrôle d’accès. NXP minimise la signification de cette piraterie, en spécifiant que ce modèle de cartes RFID utilise une technologie ancienne et que le cryptage des nouvelles applications est bien plus sophistiqué le jour.

Je ne sais pas ce que vous en pensez, mais à mon avis, c’est ne sera pas la dernière fois que nous entendrons parler de hacking dans le domaine du NFC. Depuis la nuit des temps, le jeu du chat et de la souris pour cacher et découvrir des secrets ne s’est jamais interrompu. A ce titre, je vous recommande un best-seller passionnant qui est l’histoire des codes secrets de Simon Singh.

Source : http://www.filrfid.org

Vous pouvez participez à la consultation de l’union Européenne sur l’utilisation du RFID (Radio Frequency Identification, technologie à la base du NFC) ouverte jusqu’au 25 avril 2008. Il est prévu que la recommandation soit adoptée avant l’été 2008.

Cette consultation (téléchargeable en Français ici) porte sur les règles de sécurité, de confidentialité et de protection des données à mettre en oeuvre dans le cadre des technologies RFID. Plus particulièrement, pour les plus juristes d’entre nous, elle vise à ce que soient appliquées au niveau national les directives 95/46/CE, 99/5/CE et 2002/58/CE de l’union Européenne. Je vous conseille vivement sa lecture pour bien comprendre les risques lié au RFID.

J’ai parlé à plusieurs reprises dans ce blog de la nécessité d’une standardisation des technologies pour assurer le développement des usages du NFC. L’autre levier indispensable à la généralisation des usages est juridique. Il faut en effet contraindre les acteurs de la chaîne de valeur du RFID d’informer et d’assurer la sécurité et la confidentialité des données des utilisateurs.

• Voler mon mobile et obtenir les informations nécessaires (exemple : le code demandé lors d’un paiement sans contact) au paiement
• Obtenir mon numéro de mobile à mon insu lorsque je rentre chez un commerçant, dans la mesure à ce dernier serait doté d’une puce RFID à l’entrée
• Obtenir mon numéro de téléphone lorsque je l’utilise par exemple pour payer un commerçant et s’en servir à des fins marketing sans mon accord
• Obtenir la liste de tout les contacts présents dans mon répertoire
• Lorsque j’achète un paquet de riz doté d’une puce RFID (pour me donner par exemple, les caractéristiques nutritionnelles d’un grain de riz), ne pas transmettre mon nom à oncle Bens (malgré toute l’affection que je lui porte)
• Enfin, qu’on ne puisse tracer et exploiter tous les actes que je réalise avec une puce RFID (l’effet Big Brother…)

• Mesures de vie privée
• Codes de conduite
• Informations sur l’utilisation de la RFID
• Gestion des risques liés à la sécurité de l’information
• Utilisation de la RFID dans les applications de vente au détail
• Actions de sensibilisation
• Recherche et développement
• Suivi