Dangers et dérives de la puce RFDI sous-cutanée

A l’instar de n’importe quelle autre technologie de sécurité, les puces RFID, censées améliorer la traçabilité des produits ou le contrôle d’accès des individus, lutter contre la fraude ou encore sécuriser les passeports électroniques, sont piratables. Le ministère de l’intérieur américain vient ainsi de déconseiller l’utilisation des puces RFID en matière d’identification des êtres humains, et Verichip, leader du marché des implants sous-cutanés, reconnaît lui-même qu’il ne faut pas accorder trop de confiance à sa puce.

Ce qui n’empêche nullement le marché de se développer et d’envisager de nouveaux débouchés, du côté des jeunes branchés, des malades, des cadavres, et des immigrés.

L’enquête de la journaliste Annalee Newitz, pour Wired, détaille comment, en quelques secondes seulement, et muni d’un simple PDA et d’une petite antenne, il est possible de modifier le prix des denrées vendues dans certains supermarchés ou encore de lire puis de cloner le passe permettant d’entrer dans un bâtiment « sécurisé », une chambre d’hôtel ou une voiture bardée d’électronique.

Plus inquiétant, Annalee Newitz raconte comment Jonathan Westhues, un développeur de 23 ans, a également réussi à cloner la célèbre puce Verichip qu’elle s’était faite implanter dans le bras.

Accessoirement, nombreuses étant les puces RFID accessibles en écriture, il serait également possible d’y placer subrepticement des « cookies », à la manière de ceux qu’envoient les sites web, afin de suivre à la trace le trajet des objets ainsi identifiés.

Pour Ari Juels, des laboratoires RSA, spécialisés dans la sécurité informatique, « le monde des RFID ressemble à l’internet à ses débuts » : l’un comme l’autre n’ont pas été sécurisés « par défaut », et ce n’est que des années après que l’on en mesure vraiment les conséquences. On dénombre pourtant d’ores et déjà des dizaines de failles ou d’utilisations détournées des RFID.

Comme le soulignait récemment Marc Olanié, « les RFID ne sont qu’un moyen supplémentaire visant à accroitre la fiabilité d’une identification, ils ne peuvent en aucun cas remplacer les autres outils déjà en usage ». Sauf qu’à l’usage, précisément, trop nombreux sont ceux qui croient aveuglément aux seules vertus « high tech » des technologies de contrôle et de surveillance.

Le problème est d’autant plus sérieux que, à la différence du vol d’un objet physique, ce type d’interception, d’altération, de surveillance ou d’usurpation d’identité numérique est impossible à détecter.
Le ministère de l’intérieur US déconseille l’identification humaine par RFID

Le rapport sur l’utilisation de la RFID pour l’identification humaine que vient de rendre public le comité en charge de la vie privée au Department of Homeland Security (DHS) américain devrait, à ce titre, faire date.

On y lit en effet que « la RFID offre peu de bénéfices en comparaison de ses effets sur la vie privée et l’intégrité des données. Elle aurait même plutôt tendance à accroître les risques en matière de sécurité et de protection des données personnelles, sans avantage commensurable poure les performances ou la sécurité nationale (…) Pour ces raisons, nous déconseillons l’utilisation de la RFID pour l’identification et la traçabilité des êtres humains ».

Rappelant que « la RFID n’identifie pas les individus », mais qu’il s’agit d’un moyen commode de lire des données, le DHS tient à préciser que cette facilitation ne signifie pas pour autant, contrairement à ce qui est communément admis, que cela peut contribuer à accélérer la procédure d’identification. Celle-ci relève en effet de la biométrie, dont la prise d’empreinte, et la lecture, ralentit en fait le processus. Afin de limiter les risques de sécurité, le département d’Etat a ainsi conditionné la lecture des passeports électroniques au fait d’entrer un code PIN, rendant quasi-superflu l’utilisation même de la RFID.

La cryptographie s’avère en effet nécessaire, à double titre. D’une part parce que la RFID rend impossible le fait de savoir qui a eu accès à quelles données, quand et à quelles fins, et qu’il convient d’éviter toute lecture ou interception furtives des données par un tiers non autorisé. D’autre part parce qu’il convient aussi de limiter les risques d’altération ou de contrefaçon des données, si d’aventure elles étaient néanmoins interceptées, et clonées. Or, rappelle le DHS, il existe d’autres technologies remplissant, à moindre risque, ces deux conditions : encres spéciales, hologrammes, micro-impression, codes barre, pixelisation, puces avec contact… sans pour autant exposer les détenteurs de tels identifiants aux risques de sécurité et d’atteintes à la vie privée inhérents à la RFID.

Au final, l’utilisation de la RFID poserait plus de problèmes qu’elle n’en résoudrait, d’autant que les risques de surveillance illégale ou illégitime sont loin d’être encore clairement cernés : alors que nous sommes de plus en plus entourés d’objets dotés de puces RFID rendant possible la traçabilité, à leur insu, des individus, de leurs mouvements et activités, bien malin celui qui peut prédire les conséquences que cela engendrera.

Si, malgré tout, un système basé sur la RFID devait être adopté, le DHS recommande, entre autres :

de rendre publiques, à la manière des logiciels open source, l’intégralité de ses spécifications afin de permettre à la société civile d’en vérifier la pertinence, et l’intégrité,
de doter de tels systèmes de mécanismes de désactivation définitifs ou temporaires, voire de filtrage ou de blocage des flux de données, afin de laisser la possibilité aux individus de ne pas être surveillé,
d’indiquer au moyen d’icônes clairement identifiables et à la manière des systèmes de vidéosurveillance, les endroits où se trouvent les scanners RFID,
de déconnecter de l’internet les bases de données des identifiants RFID, et de n’en autoriser l’accès qu’aux personnels, et scanners, du DHS,
de mettre en place une campagne d’information afin d’expliquer à l’opinion ce qu’est (ou non) la RFID, et quels sont les droits et protections accordées aux individus.

Des puces RFID pour identifier les malades, les cadavres, et les immigrés

Le rapport du DHS, faut-il le préciser, ne concerne aucunement les implants sous-cutanés, mais bien l’utilisation de la RFID en tant que telle aux fins d’identification des êtres humains (contrôles d’accès, passeports et cartes d’identité électroniques) par le gouvernement et les services publics de police et de sécurité. Et si les USA, dans la foulée des attentats du 11 septembre 2001, ont réussi à entraîner une bonne partie des pays occidentaux à insérer des puces RFID dans leurs pièces d’identité, le secteur privé n’est pas en reste, loin de là.

Amal Graafstra, auteur d’un livre intitulé RFID Toys (« jouets RFID ») et qui s’est implanté, en guise de clefs, une puce RFID dans chaque main, sait pertinemment qu’on peut lui voler ses identifiants. Mais il n’en fait pas un problème majeur de sécurité, pas plus que de vie privée, et ne craint pas non plus de se faire couper les mains.

Partant du principe que la technologie est neutre, que ce sont ses usages qui peuvent s’avérer problématiques, il préfère se focaliser sur les aspects pratiques, et plus particulièrement ludiques, de tels implants électroniques, qui auraient été adoptés, à ce jour, par quelques 2500 personnes dans le monde.

Ce qui faisait encore peur il y a quelques années, et en effraie encore beaucoup aujourd’hui, participe ainsi d’un phénomène de mode dont le symptôme fut l’ouverture, dans deux boîtes de nuit de Rotterdam et Barcelone, d’espaces VIP réservés à une clientèle ainsi « pucée ».

Surfant sur la vague sécuritaire et le développement de technologies de contrôle et de surveillance, le distributeur mexicain de Verichip avait annoncé le lancement de VeriKid, une puce spéciale enfant, couplée à des scanners installés dans certains points stratégiques, et destinée à lutter contre les enlèvements.

Le projet semble avoir avorté, mais Verichip a déjà pucé le ministre de la justice mexicain et plusieurs des membres de son équipe, ainsi que des employés de CityWatcher, une société de vidéosurveillance américaine.

Interrogé par Annalee Newitz au sujet du piratage de sa puce sous-cutanée, John Proctor, directeur de la communication de Verichip, reconnaît qu’elle ne devrait jamais être utilisée seule, mais couplée à une vérification des papiers d’identité. Ce qui n’empêche nullement la société de continuer à en vanter les mérites pour ce qui est du contrôle d’accès, et plus encore.

Ayant gagné une partie de l’opinion publique à sa cause, la société cible aujourd’hui le secteur de la santé, afin de stocker le dossier médical dans le bras de certains malades (plus de 200 médecins et 90 hôpitaux participent à ce jour à son programme Verimed d’identification des patients).

Verichip vient également de proposer ses services en matière d’identification des cadavres lors des catastrophes naturelles, et des universitaires belges, poussant la logique un peu plus loin, viennent quant à eux de proposer d’implanter une puce RFID dans les dents, et de façon préventive, la dentition constituant la principale technique d’identification des cadavres anonymes.

En réponse à George Bush, qui venait d’évoquer le développement de mesures high tech afin d’endiguer l’immigration clandestine, Scott Silverman, président du conseil d’administration de VeriChip, vient enfin de proposer d’implanter ses puces dans les bras des travailleurs immigrés.

Nous utilisons des cookies pour personnaliser le contenu et les publicités, pour fournir des fonctionnalités de médias sociaux et pour analyser notre trafic. Nous partageons également des informations sur votre utilisation de notre site avec nos partenaires de médias sociaux, de publicité et d'analyse qui peuvent les combiner avec d'autres informations que vous leur avez fournies ou qu'ils ont collectées lors de votre utilisation de leurs services. Vous consentez à nos cookies si vous continuez à utiliser notre site Web.
Cookies settings
Accepter
Privacy & Cookie policy
Privacy & Cookies policy
Cookie name Active

Qui sommes-nous ?

L’adresse de notre site Web est : https://www.banquegratuite.com

Cookies publicitaires Google

Nous utilisons des cookies pour faciliter la diffusion des annonces sur les sites Web de nos partenaires, tels que ceux diffusant des annonces Google ou membres d'un réseau publicitaire agréé par Google. Lorsqu'un utilisateur visite ce type de site, un cookie peut être placé dans son navigateur. Les fournisseurs tiers, y compris Google, utilisent des cookies pour diffuser des annonces en fonction des visites antérieures des internautes sur votre site Web ou sur d'autres pages. Grâce aux cookies publicitaires, Google et ses partenaires adaptent les annonces diffusées auprès de vos visiteurs en fonction de leur navigation sur vos sites et/ou d'autres sites Web. Cliquez ici pour savoir comment Google utilise les informations fournies par les cookies

Utilisation des données personnelles collectées

Commentaires

Quand vous laissez un commentaire sur notre site web, les données inscrites dans le formulaire de commentaire, mais aussi votre adresse IP et l’agent utilisateur de votre navigateur sont collectés pour nous aider à la détection des commentaires indésirables. Une chaîne anonymisée créée à partir de votre adresse de messagerie (également appelée hash) peut être envoyée au service Gravatar pour vérifier si vous utilisez ce dernier. Les clauses de confidentialité du service Gravatar sont disponibles ici : https://automattic.com/privacy/. Après validation de votre commentaire, votre photo de profil sera visible publiquement à coté de votre commentaire.

Médias

Si vous êtes un utilisateur ou une utilisatrice enregistré·e et que vous téléversez des images sur le site web, nous vous conseillons d’éviter de téléverser des images contenant des données EXIF de coordonnées GPS. Les visiteurs de votre site web peuvent télécharger et extraire des données de localisation depuis ces images.

Formulaires de contact

Cookies

Si vous déposez un commentaire sur notre site, il vous sera proposé d’enregistrer votre nom, adresse de messagerie et site web dans des cookies. C’est uniquement pour votre confort afin de ne pas avoir à saisir ces informations si vous déposez un autre commentaire plus tard. Ces cookies expirent au bout d’un an. Si vous avez un compte et que vous vous connectez sur ce site, un cookie temporaire sera créé afin de déterminer si votre navigateur accepte les cookies. Il ne contient pas de données personnelles et sera supprimé automatiquement à la fermeture de votre navigateur. Lorsque vous vous connecterez, nous mettrons en place un certain nombre de cookies pour enregistrer vos informations de connexion et vos préférences d’écran. La durée de vie d’un cookie de connexion est de deux jours, celle d’un cookie d’option d’écran est d’un an. Si vous cochez « Se souvenir de moi », votre cookie de connexion sera conservé pendant deux semaines. Si vous vous déconnectez de votre compte, le cookie de connexion sera effacé. En modifiant ou en publiant une publication, un cookie supplémentaire sera enregistré dans votre navigateur. Ce cookie ne comprend aucune donnée personnelle. Il indique simplement l’ID de la publication que vous venez de modifier. Il expire au bout d’un jour.

Contenu embarqué depuis d’autres sites

Les articles de ce site peuvent inclure des contenus intégrés (par exemple des vidéos, images, articles…). Le contenu intégré depuis d’autres sites se comporte de la même manière que si le visiteur se rendait sur cet autre site. Ces sites web pourraient collecter des données sur vous, utiliser des cookies, embarquer des outils de suivis tiers, suivre vos interactions avec ces contenus embarqués si vous disposez d’un compte connecté sur leur site web.

Statistiques et mesures d’audience

Utilisation et transmission de vos données personnelles

Durées de stockage de vos données

Si vous laissez un commentaire, le commentaire et ses métadonnées sont conservés indéfiniment. Cela permet de reconnaître et approuver automatiquement les commentaires suivants au lieu de les laisser dans la file de modération. Pour les utilisateurs et utilisatrices qui s’enregistrent sur notre site (si cela est possible), nous stockons également les données personnelles indiquées dans leur profil. Tous les utilisateurs et utilisatrices peuvent voir, modifier ou supprimer leurs informations personnelles à tout moment (à l’exception de leur nom d’utilisateur·ice). Les gestionnaires du site peuvent aussi voir et modifier ces informations.

Les droits que vous avez sur vos données

Si vous avez un compte ou si vous avez laissé des commentaires sur le site, vous pouvez demander à recevoir un fichier contenant toutes les données personnelles que nous possédons à votre sujet, incluant celles que vous nous avez fournies. Vous pouvez également demander la suppression des données personnelles vous concernant. Cela ne prend pas en compte les données stockées à des fins administratives, légales ou pour des raisons de sécurité.

Transmission de vos données personnelles

Les commentaires des visiteurs peuvent être vérifiés à l’aide d’un service automatisé de détection des commentaires indésirables.

Save settings
Cookies settings