Des chercheurs universitaires se penchent sur les virus RFID

Une équipe de chercheurs néerlandais a montré qu’il était possible d’installer un virus dans une puce RFID mais des experts en sécurité ont indiqué à Vnunet.com que de telles pratiques ne constituaient pas une menace sérieuse.

L’équipe, qui est rattachée au département Computer Science de l’université Vrije d’Amsterdam, va présenter son étude lors de l’IEEE’s Pervasive Computing and Communications Conference en Italie cette semaine.

Le rapport, disponible en téléchargement au format PDF, est intitulé « Est- ce que votre chat est infecté par un virus informatique ? » (« Is Your Cat Infected With a Computer Virus ? »). Un titre que l’on comprend un peu mieux après avoir lu les exemples d’attaques potentielles (voir ci-dessous).

Les chercheurs estiment qu’il est possible d’insérer un virus dans les tags RFID, même les plus limités en termes de données hébergées à l’intérieur.

L’équipe a testé un virus sur une machine Windows tournant sous une base de données Oracle 10g associée à un lecteur RFID de marque Philips. Ils ont utilisé l’agent malveillant pour infecter une base de données leurre.

« Nous avons affaire à un mantra : plus une technologie est vulgarisée, plus elle fait l’objet d’attaques », déclare Gred Day, spécialiste de la sécurité IT chez McAfee. « Nous avons vu des virus d’une taille de moins d’un kilo octet, mais c’est possible. Mais, si vous croyez à une telle attaque en l’état actuel, cela me paraît improbable. Cette méthode de propagation de virus est vaine à moins de cracker au préalable le scanner RFID. », commente l’expert.

Pourtant, l’équipe néerlandaise a établi un nombre de scénarii d’attaques. Comme le fait de placer des tags RFID infectés sur les produits des supermarchés. Une technique qui permettrait d’accéder à la base de donnée d’approvisionnement du magasin. Les chercheurs ont émis également l’hypothèse d’infecter une puce RFID dans l’oreille d’un chat, ce qui pourrait obliger son maître à emmener son animal domestique chez son vétérinaire. En procédant à un examen, le virus pourrait du coup infecter la base de données des patients animaliers du vétérinaire.

« Dans le jeu du chat et de la souris, la propagation d’agents malveillants RFID pourrait entraîner le marché de la RFID dans un nouvel environnement encore non délimité », estiment les auteurs de l’étude.

« Des agents maléfiques RFID permettraient d’aboutir vers de nouveaux phénomènes comme le phishing RFID (ce qui permettrait de tromper les détenteurs de lecteurs RFID en plaçant des tags RFID maléfiques) ou le RFID war-driving (recherche de vulnérabilités sur les lecteurs RFID) », indique les chercheurs. « Chacun de ses cas devient de plus en plus évident au fur et à mesure que la RFID approche de la mâturité ».

Les auteurs de l’étude reconnaissent que, pour diffuser un virus par RFID, le hacker doit être informé d’une faille dans un lecteur RFID commercialisé mais des logiciels traditionnels dédiés à ce marché ne sont pas à l’abri de telles failles.

« N’importe quel élément permettant de stocker potentiellement des données pourrait abriter un virus« , estime Graham Cluley, consultant senior en technologies chez Sophos. « Mais cela n’assure pas qu’une propagation massive ou l’infection sur d’autres terminaux soit accomplie ».

« L’administrateur type a certainement des préoccupations plus importantes à régler en l’état actuel que le fait de considérer qu’un tag RFID implanté sur des lames de rasoirs achetées le matin puissent abriter un virus en théorie. », glisse l’expert sous forme de boutade.

(Traduction d’un article de Vnunet.com en date du 15 mars 2006)