Décryptage

L’Union Européenne joue la prudence sur la RFID

Posté le 29 mai 2011
par La rédaction
dans Entreprises et marchés

Manque d'information, risque potentiel de débordement dans l'usage de la RFID... l'Union européenne a pointé 24 cas litigieux et continue de s'interroger sur ces technologies. Mais à quels problèmes sommes-nous confrontés ? La réponse à ce problème ne réside-t-elle pas plutôt dans la mise en place de bonnes pratiques ?

L’enjeu des technologies RFID dans l’Internet des objets est important [1] pour notre société. Grâce à elles, on pourrait vaincre la contrefaçon des produits pharmaceutiques, tracer les produits dangereux en circulation, ou mieux gérer les conteneurs dans le domaine du transport. Cette technologie pourrait améliorer notre sécurité (origine des aliments, marques, dates de consommation, qualité…), notre santé, les paiements, et les contrôles d’accès. Mais des craintes de violation de notre vie privée surgissent déjà et obscurcissent quelque peu l’avenir de cette technologie.

Les réserves de l’Europe

L’Union européenne veille d’ailleurs au grain. Dans un rapport [2] réalisé en juin 2007 pour le Parlement européen, 24 cas illustrant le manque d’information et le risque potentiel de débordement dans l’usage des technologies RFID sont pointés du doigt.

On y trouve notamment les détails (p 7) des manifestations contre « Metro Future Store » en Allemagne à propos de cartes de fidélité contenant des puces RFID. Wall Mart et Marks & Spencers ont également été mis à l’index par des associations lors de la mise en place d’applications pilotes RFID dans leurs magasins. C’est dans ce rapport qu’on découvre aussi que la RFID est utilisée par des parents pour retrouver leurs enfants dans le Legoland (p 15). Il y a, sans le dire, des RFID dans des sacs du zoo d’ Apenheul. Les tickets du stade de foot Madejski Stadium en Angleterre contiennent des RFID qui sont suivis par des lecteurs couplés à des caméras de surveillance. Mais le clou de ce rapport revient à l’utilisation de tag RFID (VeriChip) implantés sous la peau des clients VIP en maillots de bain du Baja Beachclud en Espagne et en Hollande (p 18). Des groupes religieux y ont trouvé « la marque de la bête » (p 19). Vous y découvrirez les détails de l’usage des RFID au travail chez Alcatel (p 22), mais aussi sur les prisonniers (p 23) et dans les passeports (p 24).

Le rapport mentionne ExxonMobile (p 10) qui a connu des déboires en 2005. Des chercheurs ont démontré la possibilité de cloner et craquer le système utilisé dans 6 millions de cartes de paiement « SpeedPass » et dans 150 millions de systèmes antivol (d’immobilisation) placés dans les clés de voitures.

Plus récemment [3] la CNIL a parlé d’incertitude à propos de la RATP qui remplace progressivement depuis janvier 2009 la carte orange par le pass navigo. Le projet de recherche Européen « OpTag » [5] achevé depuis 2007 et utilisant des tags RFID dans les billets d’avions couplés à des caméras de surveillance de l’aéroport pour localiser et récupérer les passagers retardataires, suscite lui aussi quelques questions.

Mais quelle est la nature des craintes soulevées dans ces nombreux cas ? Certes le rapport du Parlement européen [4] souligne qu’on trouve beaucoup d’exploits réalisés sur des systèmes RFID à bas prix, déployés en masse, et n’ayant aucune ou peu de fonctions sécurisées avancées (clés d’hôtels, tags implantés dans les mains des clients de discothèque). Mais à contrario, force est de constater qu’il y a peu de rapports d’attaques réalisées sur des systèmes RFID contenant des fonctions sécurisées sophistiquées. Il faut donc prendre garde à ne pas tirer trop vite des conclusions générales sur les failles de la technologie RFID en ne se basant que sur des exploits effectués sur les systèmes à bas coût. La réponse à ce problème ne réside-t-elle pas plutôt dans la mise en place de bonnes pratiques ?

Une meilleure protection des données privées

En Europe, les citoyens sont théoriquement bien protégés par les lois [6]. En matière de protection des données privées et de sécurité, la loi est indépendante de la technologie. Mais l’émergence des technologies RFID et de l’Internet des Objets renforcent la nécessité de rendre plus évidente la conformité des nouveaux services et applications offerts à ces lois.

Une conformité qui doit être garantie dès la conception du produit et qui doit être basée sur des standards (normes). Une déclaration publique de conformité vérifiable par un tiers en serait la preuve. Mais ce standard n’existe pas encore. Le nouveau mandat Européen M/436 sur la sécurité et la vie privée des applications et services RFID en est l’amorce (Phase 1 2009, Phase 2 à partir de 2010). Une communication de la CE sur la sécurité et la vie privée de l’Internet des Objet a été publiée jeudi 18 juin 2009, précisant un plan d’action en 14 mesures, dont une sur la standardisation (lire le communiqué de la Commission européenne). Pendant ce temps, on peut aussi espérer que l’innovation et la recherche [7] offrent d’autres solutions (amélioration ou révolution).

Suffira-t-il alors d’avoir une information claire de l’utilisation de la RFID avec des explications sur les données collectées, leur lien avec notre identification (directs et indirects) et leur emploi dans le temps ? L’information et le choix donné à l’utilisateur seraient déjà un grand progrès. Le risque de céder (volontairement) un peu de sa vie privée (en pleine connaissance des risques) pour obtenir des bénéfices importants concernant les prix, la qualité des services, la protection de l’environnement en vaut-il la peine ? Doit-on rendre anonymes ou silencieuses ces puces qui pourraient nous espionner ?

Dès qu’apparaîtront des nouvelles applications ou produits basés sur les technologies RFID que tout le monde voudra (killer application) nous verrons peut-être passer ces inquiétudes au second plan ? L’autre scénario est que surgisse une toute nouvelle offre [8] basée par exemple sur des systèmes de localisation RTLS [9], des senseurs et des capteurs miniatures sans batterie, des nano-systèmes, la radio logicielle SDR [10], d’autres gammes de fréquences (comme UWB [11] ou avec des multifréquences [12]) et les technologies de l’électronique imprimable (comme ceux réalisés par la société ASK basée à Sophia Antipolis qui a remporté l’appel d’offre des billets électroniques pour les J.O. de Pékin).

On le comprend, pour permettre l’avènement de l’Internet des Objets, il faudra résoudre au préalable un certain nombre de problèmes : ceux afférents à la sécurité et à la protection de la vie privée, à la standardisation et à l’interopérabilité, à la performance, à la gouvernance neutre, à l’allocation de spectre radio suffisant et non nuisible, à la protection de l’environnement, à la gestion des consommations énergétiques… Un vaste chantier et un défi du XXI siècle ! Pourquoi ne pas profiter des leçons apprises avec Internet pour construire un Internet des Objets socialement acceptable et respectueux de l’environnement.

 

Notes

[1] Ce qu’est la RFID, définition de l’Europe
[2] RFID and Identity Management in Everyday Life, parlement Européen
[3] Testing de la CNIL auprès de la RATP
[4] Article de Theregister.co.uk
[5] Le projet Op Tag
[6] Protection des données : les textes européens
[7] www.primelife.eu/deliverables, c’est un des projets du Cluster CERP-IoT www.rfid-in-action.eu/cerp 
[8] rfidupdate.com
[9] RTLS: real-time location system
[10] SDR :Software Define Radio, fr.wikipedia.org/wiki/Radio_logicielle
[11] UWB: Ultra Wide Band, fr.wikipedia.org/wiki/Ultra_wideband
[12] rfidupdate.com