A quoi peut servir un RFID ? et surtout qu’est-ce qu’un RFID ? Il y a quelques années, ces choses-là étaient claires : le RFID était le successeur pressenti du code à barre, fonctionnant en très grande majorité dans la bande HF des 13 MHz, avec une distance de lecture de quelques centimètres maximum. Au rencart la douchette, vive le sans contact, sans « sens de lecture », sans « orientation préalable ». Cette définition simple, simpliste même allait être bousculée par une foultitude de problèmes. A commencer par un usage abusif Outre Atlantique qui eut pour conséquence une campagne de dénigrement assez violente orchestrée par quelques défenseurs des libertés individuelles. A commencer par Katherine Albrech. Avec le développement des premiers RFID ont également fait surface les carences évidentes en matière de sécurité. Des « serial hackers » de talent, dont Adam Laurie et son site RFidiot ou Melanie Rieback de l’Université Libre d’Amsterdam, voire les Charlies Miller ou Cesare Cerrudo ne sont pas les moins connus dans la longue histoire de la chasse aux trous constellant les étiquettes « intelligentes ».
Tout comme les transmissions Wifi, excessivement fragiles à leurs débuts, puis de plus en plus résistantes avec l’arrivée des WPA de tous poils, les étiquettes radio ont pu combler peu à peu leurs défauts. La situation est encore loin d’être parfaite, mais elle est bien meilleure qu’il y a encore 5 ans. En outre, la majorité des usagers ont parfaitement intégré la notion d’analyse de risque liée à l’adoption de cette technique d’étiquetage radio. Tous les RFID n’ont pas nécessairement obligation d’être chiffrés ou d’être inaltérables, impossible à reproduire. Se sont donc constitués différentes strates de sécurité, empilées selon la destination finale et les exigences de leurs usagers.
Autre point délicat, celui du prix du RFID, considérablement plus élevé que celui du code à barre. De quelques dizaines de centimes par pièce, le RFID est passé en dessous de la barre des 8 à 10 cts dernièrement. Mais cette évolution ne s’est pas faite en un jour, et reste supérieure à ce que coûte une bande de 5 centimètres de papier autocollant recouverte d’un peu d’encre. Durant ce laps de temps également, le code à barre a reconquis quelques parts de marché là où on ne l’attendait pas. Dans le secteur Internet notamment, grâce à l’apparition des appareils photos sur smartphone qui ont popularisé les QRcodes. Des smarphones qui sont encore loin d’être tous équipés de lecteurs RFID d’ailleurs.
Ces petits hiatus ne sont rien comparés à la confusion croissante qui caractérise le monde des RFID dans son ensemble. Car le mot englobe beaucoup de choses. Les étiquettes 13,56 MHz elles-mêmes et leurs différentes normes (dont font partie par exemple les tags « myfare », clef d’hôtel, forfaits de ski, conteneurs biométriques des passeports etc.), les NFC de nos cartes bancaires et autres identifiants sans contact à très faible portée, mais également les dispositifs UHF consultables jusqu’à 10 mètres avec une vitesse de défilement de 50 km/h. Des RFID UHF qui, d’ailleurs, tendent de plus en plus à remplacer les étiquettes électroniques « old school » sur 13 MHz, car plus souples, plus faciles à « lire » , plus adaptées aux secteurs des transports, du stockage, voir même du contrôle d’accès, chasse gardée des RFID « HF » jusqu’à présent (et pour certaines, plus facilement hackables, ne serait-ce qu’en collectant les métadonnées). En utilisant des fréquences plus hautes, il devient plus facile, grâce à des antennes directives de taille acceptable, d’effectuer des lectures sectorielles, d’orienter un lobe de rayonnement de manière précise dans une direction donnée, de restreindre la distance de lecture de manière plus fine que ne le ferait un aérien dans la bande décamétrique.
Mais les étiquettes HF ont encore de beaux restes. Car dans cette famille, si l’on trouve des composants à lecture seule quasiment passifs, il existe également des systèmes intégrant un processeur ARM, un bloc de chiffrement DES, 32 k d’Eeprom, 28 k de mémoire ram, un capteur de température, un port externe pour récupérer les informations d’un accéléromètre (ou autre capteur), un port SPI… le tout communiquant par radio à un peu moins d’un Mb/s. Lorsqu’un paquet parvient à destination, l’on peut immédiatement savoir si le conteneur sur lequel il a été collé a été choqué, s’il a brisé la chaîne du froid, s’il a franchi telle ou telle étape de validation en fonction des données contenues en mémoire. Défaut de ses qualités, ce sont précisément ces performances techniques qui, associées à l’identité d’une personne, peuvent se transformer en véritable mouchard environnemental et contrevenir aux recommandations d’une Cnil quelconque …