L’univers des RFID serait apollinien et son avenir barbouillé de rose-Barbie si l’on s’en tenait là. Mais l’art de coller un « machin qui cause » à un système d’interrogation radio ne connaît pas de frontières. Bon nombre d’intervenants présents lors du Congrès RFID de Marseille parlaient même d’Internet des Objets (IoT). Abus de langage ? Que Nenni ! vision prospective et débouchés commerciaux. Se retrouvent ainsi raccrochés les wagons des smart-meters, des appareils de télé-contrôle des feux de signalisation urbains, des biochips dans le secteur médical, des réfrigérateurs sous IPv6, des bus de commande, des capteurs et des actuateurs du secteur automobile, des périphériques d’authentification de personnes, des appareils liés à des réseaux domotiques et de divertissement audio-vidéo, des capteurs de température/pression/humidité, des systèmes industriels, des instruments de mesure…
On est bien parti pour que cette évolution logique des objets interrogeables par radio finisse par constituer une faune polymorphe innombrable, dont strictement personne ne pourra, ne saura déterminer ni le périmètre, ni la valeur des données communiquées entre différents systèmes, entre différentes architectures. L’Internet des Objets est en passe de ressembler à la chanson des Frères Jacques : Il y a un machin et un truc. Quand on a l’bout qui a le truc, Faut trouver l’bout qui a l’machin, On tâte et on trouve des tas d’trucs, Mais on ne trouve jamais l’machin. Autrement dit, il est toujours possible de savoir où se trouve l’objet de l’Internet (puisqu’il se trouve à portée radio), mais connaître avec précision les frontières du machin, sur combien de niveaux de profondeur, sur combien de réseaux et vers quels serveurs transitent et échouent les données captées, mystère.
A l’exception peut-être de systèmes tels que Shodan et certainement des robots et automates estampillés Google, Apple ou Microsoft. A peine sortie d’une phase de normalisation et de sécurisation, voilà que le RFID s’engage vers une nouvelle course à la technologie débridée, et risque fort de commettre à nouveau les mêmes erreurs… en plus grand encore. Le magazine en ligne Stuffi offrait en début de semaine à ses lecteurs un florilège de hacks IoT. Le compteur qui coupe le courant, l’ampoule connectée qui espionne ou le « bébé-phone » et le téléviseur piratés par des imprécateurs au vocabulaire rabelaisien ne sont que les premiers signes d’une nouvelle forme d’attaques seulement subversives aujourd’hui, qui se transformeront rapidement en razzias d’informations personnelles pour le compte de mafias Russo-sino-mafieuses.
Face à une telle perspective, il est évident que le Centre de National de Référence du CNRFID a un rôle à jouer. Tant sur le plan de la normalisation des solutions (normalisation qui assurerait une traçabilité des informations stockées et véhiculées) que sous l’angle sécurité. Un problème totalement négligé jusqu’à présent, si l’on excepte les efforts, nécessairement parcellaires, des constructeurs eux-mêmes. Or, en matière de sécurité appliquée aux réseaux de communication, les points de faiblesse sont rarement là où on les cherche (généralement au niveau de chaque maillon) mais sur les passerelles, les points de jonctions, là où une rupture ou traduction de protocole constitue une voie d’eau potentielle, là où se commettent ce que les anglophones appellent les « implementation errors ». Sans une instance capable de donner un avis impartial sur la fiabilité d’une chaîne complète mettant en œuvre des RFID (autrement dit que le CNRFID se dote d’un laboratoire d’analyse totalement neutre et indépendant des fabricants et intégrateurs), l’internet des objets se transformera en un fantastique terrain de jeu pour blackhats.
1 commentaire