RFiD 2.0 : des puces ou des ordinateurs ?

Et si les étiquettes intelligentes (les puces RFiD) se mettaient en mode « 2.0« , et devenaient plus participatives et ouvertes aux usages des gens – selon la définition du web 2.0 qu’on en retient ? Plusieurs projets en revendiquent l’épithète. La question reste de savoir ce que cette « RFID 2.0 » exprime au juste. Et ce qui sera réellement fait, au-delà des propositions.

Pour certains, la RFiD « 2.0 » consiste à rajouter les données de traçabilité issues de la lecture des puces à des applications ou process existants, ou à les partager avec d’autres sociétés.

D’autres y voient un moyen d’aller plus loin dans la fouille de la réalité (« reality mining« , en anglais), à l’instar de cesservices de géolocalisation, dans l’espace et en 3D, capables de repérer des étiquettes RFiD à plusieurs dizaines de mètres de distance, au beau milieu d’un container truffé d’objets, de métaux et de liquides faisant écran par exemple. Le dernier en date à avoir utilisé l’expression « RFiD 2.0« , S3Edge, y voit pour sa part une façon d’optimiser la relation client, et d’accélérer le temps de réaction des fournisseurs, et se sert surtout du terme pour faire la promotion de la nouvelle plateforme Microsoft BizTalk RFiD Mobile.

Mais la vision de la RFiD 2.0 que propose Henrik Granau, de la société de sécurité RFiDSec est autrement plus stimulante. Elle a d’ailleurs été reprise (.ppt), telle que, par le projet Casagras qui, financé par l’UE, a pour objectif d’aider la Commission européenne à envisager l’évolution de la RFiD et de l’internet des objets.

La puce RFiD est un ordinateur

Granau part du constat que les puces RFiD ne servent plus seulement à remplacer les codes-barres, qu’il y en aura de plus en plus, avec de plus en plus de données dedans. Dans le même temps, les consommateurs sont de plus en plus nombreux à voir dans le maillage de ces puces « intelligentes » une forme d’érosion, sinon d’atteinte, à leur vie privée, ce que la consultation lancée par la Commission européenne en 2006 avait entre autres démontré.

Du temps où il était commissaire à la CNIL, Philippe Lemoine (qui préside également la Fing, éditeur d’Internet Actu) avait contribué à faire reconnaître les puces RFiD comme des identifiants personnels. Co-Président de GS1 France, l’organisme de standardisation des codes-barres et des puces RFiD, il avait aussi proposé de désactiver les puces lors du passage en caisse, afin de garantir la « clarté des « règles du jeu », le rappel au droit individuel d’être exposé ou non aux TICs, la dimension de confiance nécessaire entre consommateurs et acteurs du commerce, la transparence des objectifs et des moyens, la concertation de tous les acteurs et le partage de valeurs communes« .

Mais pour Henrik Granau, désactiver les puces reviendrait à empêcher l’internet des objets de se développer. Il propose donc de les considérer, non plus comme des étiquettes passives, mais comme des ordinateurs, dans toutes leurs potentialités :

RFiD 1.0 vs 2.0, par RFiDSec

Et pour que cette « RFiD 2.0 » puisse se développer, il convient d’en redonner le contrôle et le pouvoir à l’utilisateur, de sorte qu’il puisse définir qui a accès à quelles données, quand, et pour quelles utilisations, mais aussi de l’autoriser à écrire, et effacer, tout ou partie des informations :

RFiD 2.0, par RFiDSec

Pour Henrik Granau, l’internet des objets ne pourra se développer si le contrôle des puces n’est pas redonné à ceux qui, précisément, se retrouvent « pucés » :

« Nous sommes au début d’une nouvelle vague dans l’utilisation de la RFiD. La première visait à remplacer les codes-barres. La seconde étend considérablement l’horizon. Considérer les puces RFiD comme des ordinateurs, et s’assurer que les utilisateurs disposeront d’un contrôle complet et exclusif de leurs données et communications, rendra possibles de très nombreuses applications dans de nombreux secteurs. L’industrie de la RFiD doit donc résoudre dès aujourd’hui les problèmes de vie privée et de sécurité auxquels ils sont confrontés. »

Mais concrètement, à quoi pourrait-on s’attendre ? Comment contrôler des puces quand leurs identifiants appartiennent à des bases de données commerciales sur lesquelles on n’a aucun accès ? Dit autrement, et en cas de partenariat, par exemple, entre Gillette et la RATP pour tracer les acheteurs de rasoirs qui empruntent les transports en commun, à quoi aurions-nous accès, et que pourrions-nous contrôler ? La RATP nous demanderait-elle l’autorisation de tracer le fait que l’on a un rasoir Gillette dans notre sac ? Se contenterait-elle de nous indiquer que nous sommes tracés ? Et si oui, comment : par Bluetooth sur nos portables, par un affichage du type « Souriez, vous êtes pucés » similaire à celui relatif à la vidéosurveillance, par une mention rajoutée au service web répertoriant tous les accès à nos puces RFiD ? Ou, plus simplement, ne serons-nous informés de rien ?

A qui profite la puce ?

Le modèle proposé par Granau est séduisant, mais il ne résoudra pas les problèmes de confidentialité posés par les sites de réseaux sociaux et du « web 2.0« , que certains qualifient d' »esclavage 2.0 » dans la mesure où leur modèle économique repose en tout ou partie sur la commercialisation des informations et données personnelles que nous leur confions sans contrepartie financière, et bénévolement.

On le sait, les utilisateurs du web 2.0 et des sites sociaux se fichent » (à tous les sens du terme) de ces questions de vie privée, ne serait-ce que parce que les services offerts en échange leur donnent l’impression de valoir ces libertés qu’ils acceptent de concéder, et les risques associés. Mais la question ne se pose pas de la même manière avec l’internet des objets.

L’internet, qui n’a pas été conçu pour être sécurisé, s’est développé grâce aux usages et contenus créés par ses utilisateurs. A l’inverse, l’internet des objets et la RFiD ne se développent pour le moment qu’au profit de l’industrie, et ne pourront faire l’économie de la sécurité -ne serait-ce que pour éviter l’espionnage industriel. Des conditions de leur rencontre, et de leur interconnexion, dépendra notre future vie numérique. Mais il n’est pas certain que des outils permettant des usages aussi différents arrivent facilement à trouver des points d’entente, d’accroche qui ne soient pas des points de frictions.

Sans compter que d’un côté, nous avons des industriels, qui veulent fluidifier leurs flux et process, et en assurer une meilleure traçabilité. De l’autre, nous avons des professionnels de la sécurité informatique qui démontrent que les puces sont piratables, et en appellent à plus de respect de la vie privée de ceux qui, indirectement, seront pucés. Entre les deux, nous avons des instances de régulation qui en appellent au « silence des puces« .

Pour l’instant, les usages de la RFiD sont essentiellement industriels, mais touchent de plus en plus les consommateurs. Alors que Benjamin Bayard, président de FDN (French Data Network), le plus vieux fournisseur d’accès Internet français, tirait récemment la sonnette d’alarme en déclarant que les principaux acteurs industriels des réseaux ont « intérêt à transformer l’internet en Minitel » (question qui se pose également en matière de téléphonie mobile), la question reste de savoir si l’internet des objets sera « au service » de ses utilisateurs, considérés comme coproducteurs, à l’instar de ce que propose Granau, ou bien au seul profit des prestataires de service (et sans réelle valeur ajoutée dont ils pourraient profiter).

Dans le premier cas, nous aurons des puces fonctionnant comme autant de briques informatiques (logicielles et/ou matérielles) et dont les usages seront définis par la communauté. Dans le second, une infrastructure « top-down » pour qui les clients finaux ne seront que des consommateurs ou usagers etiquetés, à la manière de ce qui se passe, par exemple et pour l’instant, avec le passe Navigo.

Dans les deux cas, les problèmes de surveillance et de traçabilité posés par la RFiD restent entiers, nos objets seront pucés, et nos activités tracées. Il faudra donc, non seulement sécuriser l’infrastructure, mais aussi en rassurer les utilisateurs, ce qui n’est pas tout à fait la même chose.

À lire aussi sur internetactu.net

5 commentaires

  1. Sur ce même sujet :
    Une interview (54mn) de Michel Alberganti et Pierre Georget sur les enjeux des puces RFID à l’occasion de la sortie du livre «La RFID, quelles menaces, quelles opportunités ?» vient compléter un dossier sur la Radio Frequency IDentification sur le site CultureMobile.net

  2. Brisons un tabou: Pourquoi tout simplement ne pas interdire les puces RFID. Je pense que personne n’en voudrais si on présentait les vrais enjeux qui sont derrière. Il est aberrant que la seule réponse apportée à une nouvelle technologie soit, nous devons réglementer. La première question à se poser est est-ce utile?
    Demandons l’interdiction pure et simple de ces « little brothers »

  3. Le RFID ou la servitude volontaire 2.0

    J’ai quelques doutes sur l’utilité sociale réelle du RFID :

    Cloning RFID Passports

    « It’s easy to clone RFID passports. (To make it clear, the attacker didn’t actually create fake passports; he just stole the data off the RFID chips.) ».

    Mobile RFID scanning

    « The video above demos reading and logging unique IDs of random tags and Passport Cards while cruising around San Francisco. He’s using a Symbol XR400 RFID reader and a Motorola AN400 patch antenna mounted inside of his car. »

  4. Excellent article, et bravo pour la reprise dans LeMonde.fr

    Il me semble que définir une puce (programmable, piratable) comme un ordinateur et non plus comme un « code-barres intelligent » (contradiction dans les termes), c’est un changement de terminologie qui relève du bon sens et qui permettra un débat plus constructif.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *