RFID sous-cutanées : en avoir, ou pas ?

A l’instar de n’importe quelle autre technologie de sécurité, les puces RFID, sensées améliorer la traçabilité des produits ou le contrôle d’accès des individus, lutter contre la fraude ou encore sécuriser les passeports électroniques, sont piratables (voir La surveillance high tech est-elle soluble dans le low tech ?). Le ministère de l’intérieur américain vient ainsi de déconseiller l’utilisation des puces RFID en matière d’identification des êtres humains, et Verichip, leader du marché des implants sous-cutanés, reconnaît lui-même qu’il ne faut pas accorder trop de confiance à sa puce. Ce qui n’empêche nullement le marché de se développer et d’envisager de nouveaux débouchés, du côté des jeunes branchés, des malades, des cadavres, et des immigrés.

Du piratage des puces RFID (y compris sous-cutanées)

L’enquête de la journaliste Annalee Newitz, pour Wired, détaille comment, en quelques secondes seulement, et muni d’un simple PDA et d’une petite antenne, il est possible de modifier le prix des denrées vendues dans certains supermarchés, ou encore de lire puis de cloner le passe permettant d’entrer dans un bâtiment « sécurisé« , une chambre d’hôtel ou une voiture bardée d’électronique.

Verichip iconPlus inquiétant, Annalee Newitz raconte comment Jonathan Westhues, un développeur de 23 ans, a également réussi à cloner la célèbre puce Verichip qu’elle s’était faite implanter dans le bras.

Accessoirement, nombreuses étant les puces RFID accessibles en écriture, il serait également possible d’y placer subrepticement des « cookies », à la manière de ceux qu’envoient les sites web, afin de suivre à la trace le trajet des objets ainsi identifiés.

Pour Ari Juels, des laboratoires RSA, spécialisés dans la sécurité informatique, « le monde des RFID ressemble à l’internet à ses débuts » : l’un comme l’autre n’ont pas été sécurisés « par défaut« , et ce n’est que des années après que l’on en mesure vraiment les conséquences. On dénombre pourtant d’ores et déjà des dizaines de failles ou d’utilisations détournées des RFID.

Comme le soulignait récemment Marc Olanié, « les RFID ne sont qu’un moyen supplémentaire visant à accroitre la fiabilité d’une identification, ils ne peuvent en aucun cas remplacer les autres outils déjà en usage« . Sauf qu’à l’usage, précisément, trop nombreux sont ceux qui croient aveuglément aux seules vertus « high tech » des technologies de contrôle et de surveillance.

Le problème est d’autant plus sérieux que, à la différence du vol d’un objet physique, ce type d’interception, d’altération, de surveillance ou d’usurpation d’identité numérique est impossible à détecter.

Le ministère de l’intérieur US déconseille l’identification humaine par RFID

Le rapport (.pdf) sur l’utilisation de la RFID pour l’identification humaine que vient de rendre public le comité en charge de la vie privée au Department of Homeland Security (DHS) américain devrait, à ce titre, faire date.

On y lit en effet que « la RFID offre peu de bénéfices comparée à ce qu’elle induit en termes de vie privée et d’intégrité des données. Elle aurait même plutôt tendance à accroitre les risques en matière de sécurité et de protection des données personnelles, sans avantage commensurable en termes de performances ou de sécurité nationale (…) Pour ces raisons, nous déconseillons l’utilisation de la RFID pour l’identification et la traçabilité des êtres humains« .

Rappelant que « la RFID n’identifie pas les individus« , mais qu’il s’agit d’un moyen commode de lire des données, le DHS tient à préciser que cette facilitation ne signifie pas pour autant, contrairement à ce qui est communément admis, que cela peut contribuer à accélérer la procédure d’identification. Celle-ci relève en effet de la biométrie, dont la prise d’empreinte, et la lecture, ralentit en fait le processus. Afin de limiter les risques de sécurité, le département d’Etat a ainsi conditionné la lecture des passeports électroniques au fait d’entrer un code PIN, rendant quasi-superflu l’utilisation même de la RFID.

ePassportLa cryptographie s’avère en effet nécessaire, à double titre. D’une part parce que la RFID rend impossible le fait de savoir qui a eu accès à quelles données, quand et à quelles fins, et qu’il convient d’éviter toute lecture ou interception furtives des données par un tiers non autorisé. D’autre part parce qu’il convient aussi de limiter les risques d’altération ou de contrefaçon des données, si d’aventure elles étaient néanmoins interceptées, et clonées. Or, rappelle le DHS, il existe d’autres technologies remplissant, à moindre risque, ces deux conditions : encres spéciales, hologrammes, micro-impression, codes barre, pixelisation, puces avec contact… sans pour autant exposer les détenteurs de tels identifiants aux risques de sécurité et d’atteintes à la vie privée inhérents à la RFID.

Au final, l’utilisation de la RFID poserait plus de problèmes qu’elle n’en résoudrait, d’autant que les risques de surveillance illégale ou illégitime sont loin d’être encore clairement cernés : alors que nous sommes de plus en plus entourés d’objets dotés de puces RFID rendant possible la traçabilité, à leur insu, des individus, de leurs mouvements et activités, bien malin celui qui peut prédire les conséquences que cela engendrera.

Si, malgré tout, un système basé sur la RFID devait être adopté, le DHS recommande, entre autres :
. de rendre publiques, à la manière des logiciels open source, l’intégralité de ses spécifications afin de permettre à la société civile d’en vérifier la pertinence, et l’intégrité,
. de doter de tels systèmes de mécanismes de désactivation définitifs ou temporaires, voire de filtrage ou de blocage des flux de données, afin de laisser la possibilité aux individus de ne pas être surveillé,
. d’indiquer au moyen d’icônes clairement identifiables et à la manière des systèmes de vidéosurveillance, les endroits où se trouvent les scanners RFID,
. de déconnecter de l’internet les bases de données des identifiants RFID, et de n’en autoriser l’accès qu’aux personnels, et scanners, du DHS,
. de mettre en place une campagne d’information afin d’expliquer à l’opinion ce qu’est (ou non) la RFID, et quels sont les droits et protections accordées aux individus.

Des puces pour identifier les malades, les cadavres, et les immigrés

Le rapport du DHS, faut-il le préciser, ne concerne aucunement les implants sous-cutanés, mais bien l’utilisation de la RFID en tant que telle aux fins d’identification des êtres humains (contrôles d’accès, passeports et cartes d’identité électroniques) par le gouvernement et les services publics de police et de sécurité. Et si les USA, dans la foulée des attentats du 11 septembre, ont réussi à entraîner une bonne partie des pays occidentaux à insérer des puces RFID dans leurs pièces d’identité, le secteur privé n’est pas en reste, loin de là.

Implant RFIDAmal Graafstra, auteur d’un livre intitulé RFID Toys (« jouets RFID ») et qui s’est implanté, en guise de clefs, une puce RFID dans chaque main, sait pertinemment qu’on peut lui voler ses identifiants. Mais il n’en fait pas un problème majeur de sécurité, pas plus que de vie privée, et ne craint pas non plus de se faire couper les mains.

Partant du principe que la technologie est neutre, que ce sont ses usages qui peuvent s’avérer problématiques, il préfère se focaliser sur les aspects pratiques, et plus particulièrement ludiques, de tels implants électroniques, qui auraient été adoptés, à ce jour, par quelques 2500 personnes dans le monde.

Ce qui faisait encore peur il y a quelques années, et en effraie encore beaucoup aujourd’hui, participe ainsi d’un phénomène de mode dont le symptôme fut l’ouverture, dans deux boîtes de nuit de Rotterdam et Barcelone, d’espaces VIP réservés à une clientèle ainsi « pucée« .

Verichip Process

Surfant sur la vague sécuritaire et le développement de technologies de contrôle et de surveillance, le distributeur mexicain de Verichip avait annoncé le lancement de VeriKid, une puce spéciale enfant, couplée à des scanners installés dans certains points stratégiques, et destinée à lutter contre les enlèvements.

Le projet semble avoir avorté, mais Verichip a déjà pucé le ministre de la justice mexicain et plusieurs des membres de son équipe, ainsi que des employés de CityWatcher, une société de vidéosurveillance américaine.

Interrogé par Annalee Newitz au sujet du piratage de sa puce sous-cutanée, John Proctor, directeur de la communication de Verichip, reconnaît qu’elle ne devrait jamais être utilisée seule, mais couplée à une vérification des papiers d’identité. Ce qui n’empêche nullement la société de continuer à en vanter les mérites pour ce qui est du contrôle d’accès, et plus encore.

Ayant gagné une partie de l’opinion publique à sa cause, la société cible aujourd’hui le secteur de la santé, afin de stocker le dossier médical dans le bras de certains malades (plus de 200 médecins et 90 hôpitaux participent à ce jour à son programme Verimed d’identification des patients).

Verichip vient également de proposer ses services en matière d’identification des cadavres lors des catastrophes naturelles, et des universitaires belges, poussant la logique un peu plus loin, viennent quant à eux de proposer d’implanter une puce RFID dans les dents, et de façon préventive, la dentition constituant la principale technique d’identification des cadavres anonymes.

En réponse à Georges Bush, qui venait d’évoquer le développement de mesures high tech afin d’endiguer l’immigration clandestine, Scott Silverman, président du conseil d’administration de VeriChip, vient enfin de proposer d’implanter ses puces dans les bras des travailleurs immigrés.

À lire aussi sur internetactu.net

7 commentaires

  1. Nous commençons donc vraiment à rentrer dans le débat…
    Reste à définir ce qui est souhaitable et ce que l’on veut vraiment pour le monde de demain…
    L’utilisation des RFID peut être très utile (elle l’est en effet déjà dans de nombreux domaines) maintenant il est clair qu’il faut bien en cibler les objectifs pour ne pas s’orienter vers des dérives à la « Bienvenue à Gattaca »…
    Les USA ont l’air de se diriger tout droit dans cette direction…
    Espérons que nous serons discerner la limite de l’acceptable pour conserver chacun nos libertés individuelles.

  2. Je suis loin d’avoir compris tous les enjeux (bien malin celui qui prétend avoir tout saisi) mais c’est l’éternel problème de l’orgueil et de la méchanceté du coeur de l’Homme. Après un moyen sécuritaire en vient un autre, puis un autre. Et toujours cette insécurité au fond du coeur qui le pousse à chercher le repos là où il ne le trouvera pas « Vanité des vanités, tout n’est que vanité » dit l’Ecclésiaste dans la Bible. A bon entendeur, salut!

  3. D’un coté, c’est vrai que le contrôle d’accès par RFID est pratique, rapide, que ce soit le NaviGo de la RATP ou les serrures de mon université tard le soir : pas besoin de sortir la carte du portefeuille, la portée (quelques cm) me semble correcte pour ne pas me faire « scanner » à mon insu, quant à la neutralisation, très simple, il suffit de laisser la carte dans un tiroir chez soi 🙂
    D’ailleurs, je pense que les personnes qui remettent en cause ces applications sont minoritaires (bien que présentes).

    Les RFID sont en revanche parfois cachés (affaire des rasoirs jetables), là, c’est plus génant, car il n’y a pas d’information au porteur du RFID.

    Et ce qui me gêne le plus, ce sont les RFID intégrés au corps, si je ne m’abuse, c’est comme un tatouage, 5 minutes à faire, limite chirurgie pour le défaire. Quelle est la pérénité de ce truc ? Comment ça se comportera dans 30 ans ? Je me fais injecter une puce, c’est définitif, mais le format n’est pas fixe, dans 2 ans, on me dira qu’elle est dépassée ?

  4. je crois fermement a cette puce sous cutané
    je suis certaine en avoir une je vie une vrais histoir de foue depuis 2ans
    pouver vous me contacter pour discuter du sujet croyer moi je suis saine desprit
    je voudrait biensavoir si ses posible quon vous fasse cela contre votre gré
    je croix que oui svp contacter moi lise_hunt@hotmail.com

  5. bonjour, j’aimerai mettre ce procédé à mon enfant car j’ai une peur terrible de le perdre et j’aimerai savoir la démarche à suivre , les endroits où l’on peut injecter la puce en france ( marseille) et le côut – merci

  6. Les quelques 30 grandes sociétés du monde l’ont pourtant déclaré en 2001 : baisse de la sécurité, ce qui fait que les gens vont demander à être plus sécurisé quitte à ce que leur liberté soit diminué, ceci pour que chaque humain soit muni de cette puce RFID qui sachez-le sera amélioré, le fait qu’elle soit si basique actuellement alors que tout le monde sait que la technologie en permet une très sophistiqué à bas prix, c’est pour qu’elle ne paraisse pas dangereuse, sinon comment faire que les gens demandent eux-même à être pucer, simple, baisse des aides sociales, si vous avez cette puce, l’état n’aura rien à vous reprocher et vous récupérerez vos aides.Imaginez juste un instant, toute votre famille est pucée et un étranger y rentre alors qu’il ne l’est pas, on va en avoir peur, la publicité va reposer la-dessus, car vous pouvez être surveillé et pas eux donc ils sont dangereux donc soit vous vous pucez à votre tour soit on vous exclu petit à petit de la société. Et imaginez les améliorations facile de cette puce, si vous vous apprêtez à faire quelque chose de mal, une détection de vos signes vitaux, une libération de qqchose par la puce pour vous y contraindre à ne pas le faire, cette application médicale est simple à réaliser au vu des dernières recherches. D’autres diront, en quoi c’est mal de stopper une mauvaise action, je répond, quand vous rouspétez un enfant, vous élevez la voie, quand quelqu’un vous attaque physiquement, vous répondez, quand vous n’allez pas au toilettes pour une quelconque raison, vous savez que c’est pas bon pour votre corps => Obligation de suivre une ligne droite. Toutes choses nouvelles que l’ont fait provoque un malêtre de l’organisme.

    Autre chose, concernant l’informatique, quelqu’un rentre dans le système et se cherche une personne particulière, du genre il lui faut un donneur d’organe, une petit fille à faire disparaître, … il suffit de quelques minutes pour trouver la personne la moins en sécurité correspondant au profil recherché, on lui change ses données biométriques dans la base de donnée et le tour est joué. Ce que je veux dire par là, c’est que la puce RFID n’est qu’un moyen de contrôle de la position des gens, pas un moyen de sécurité, qui peut servir à n’importe qui et même facilité la criminels qui ont des moyens. L’être humain s’est passé de cette puce pendant des milliers d’années, elle ne résoudra rien, à part une peur chez certaines personnes et si peur il y a, je vous conseille plutôt d’aller voir un psychiatre, car quelques temps après l’installation de la puce, cette peur reviendra.

    Mon message fait bizarre à lire, mais ce sont les possibilités déclarés en 2001 par certaines grandes sociétés lors des usages possibles de la puce RFID.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *