Aucune des cartes de crédit dotées de RFId et actuellement utilisées aux Etats-Unis n’a résisté aux attaques d’une équipe d’universitaires américains. En Europe, les citoyens en appellent à un renforcement de l’appareil législatif afin de pouvoir désactiver, voire détruire, ces mouchards électroniques.

C’est la première fois qu’une consultation publique de la Commission européenne – qui parle de « record »- connaît un tel succès : 2190 personnes (dont 43 % d’Allemands, et 24 % de Français) ont répondu à son questionnaire sur la révolution de la RFId, qui se penchait, entre autres, sur les risques d’abus en matière de RFId :

61 % de ces personnes estiment cependant qu’elles ne disposent pas de suffisamment d’informations sur la question, et que les étiquettes de radio-identification des biens de consommation devraient être automatiquement désactivées au sortir des magasins. Les deux tiers des répondants réclament une identification claire (de type « CE ») des étiquettes radio, la même proportion estime que la législation européenne en matière de protection de la vie privée n’est pas adaptée, et un répondant sur deux demande une modification de cette législation afin de renforcer leurs droits.

70 % estiment enfin que les recherches en matière de technologies de protection de la vie privée, qu’il s’agisse de pouvoir lire, désactiver, voire détruire les puces, devraient être encouragées, ce à quoi s’est engagée Viviane Reding. Pour la commissaire européenne à la Société de l’information, « nous devons faire de considérables efforts pour expliquer au grand public les risques et bénéfices de la RFId ; ce n’est plus une question du seul ressort des techniciens et des juristes« .

Rappelant qu’on estime qu’en 2015 nous co-existerons avec quelques mille millards de capteurs liant les mondes physique et numérique, elle a insisté sur le fait que cet « internet des objets » est aussi un « internet du peuple« , basé sur la transparence et la liberté de consentement, qu’il convient d’encadrer afin que les citoyens contrôlent l’utilisation qui est faite des informations les concernant.

Aucune des cartes de crédit RFId n’est sécurisée

Le New York Times, de son côté, vient de publier les résultats d’une étude universitaire du RFID Consortium for Security and Privacy (RFID-CUSP) portant sur la première génération de cartes de crédit dotées de puces RFId. Lancées en 2005 (y compris sous forme de clef USB, cf. l’illustration), elles sont d’ores et déjà utilisées par 20 millions d’Américains et plus de 150 000 magasins : pour le porte-parole de Visa, « c’est la première fois dans l’histoire de l’industrie qu’une nouvelle technologie de paiement est adoptée aussi rapidement« .

Les universitaires, eux, sont plus circonspects : aucune des 20 types de cartes qu’ils ont testé n’a résisté à leurs attaques, et toutes faisaient fuiter les noms, numéro de carte, date de validité et autres données contenues dans les puces, de sorte qu’il est possible de les cloner sans grande difficulté (vidéo). Certaines des cartes étant envoyées par la poste, alors qu’il est possible d’en lire la puce (non protégée) sans même avoir besoin d’ouvrir l’enveloppe, l’organisation Caspian, qui lutte contre l’utilisation commerciale de la radio identification, appelle leurs utilisateurs à ne surtout pas renvoyer leurs cartes par courrier, et les compagnies bancaires à procéder à un rappel de toutes les cartes afin de les remplacer par des cartes à puces sans étiquettes radio.

Pour Liz McIntyre, de Caspian, « les sociétés de crédit ne nous ont pas écoutés lorsque nous leur demandions de ne pas utiliser la RFID. Aujourd’hui, l’industrie bancaire se trouve menacée d’un désastre sans précédent en termes d’image et financier« . Voire : l’industrie ayant toujours refusé de labelliser les etiquettes de sorte que l’on sache si tel ou tel produit ou carte contient une puce RFId, nombre de ses utilisateurs ne savent même pas qu’ils en sont équipés. Ce qui, aux Etats-Unis comme en Europe, est tout à fait légal.