:: Actualité ::
[Les News] [Recherche avancée] [SecALERT]
RFID, le crash juridique (le remake)
Alors que les tribunaux Hollandais viennent d’estimer que les inconsistances de sécurité liées aux RFID sont de la responsabilité du fabricant, et non de celui qui découvre la faille (voir article précédent ), les juges américains, dans un premier temps, semblent penser le contraire. Le tribunal de Boston, à la demande de la régie des transports du Massachusetts (MBTA), impose le silence à trois étudiants du MIT, dont les travaux sont intitulés « Anatomy of a subway hack ». Des travaux devant faire l’objet d’une présentation durant la DefCon de Las Vegas. Il va sans dire que cette tentative de censure a immédiatement provoqué un tollé général dans le milieu de la sécurité, entraînant même une réaction de l’Electronic Frontier Foundation qui, en volant au secours des étudiants, a immédiatement fait appel. Cryptome publie, minute après minute, les documents retraçant cette épopée juridique, Plausible Deniability se joint au cœur des supporters, Infoworld relate sans prendre parti alors que Wired crie au scandale. Chez les Français, Cedric Blancher se penche sur la question…
Accès physique aux infrastructures du métro de Boston, puis à son réseau interne, hacking du ticket à « pistes magnétiques », enfin hacking des cartes d’abonnement à RFID, l’équipe du MIT s’est livré à une véritable revue de détail. C’est précisément cette approche « horizontale » de l’analyse de vulnérabilité de l’entreprise qui est passionnante. A remarquer également l’usage immodéré –une fois de plus- d’un récepteur SDR ( l’usrp de Matt Ettus ) associé à la base logicielle Gnu Radio. Le tout réalisé dans une ambiance potache et bon-enfant, si l’on en juge par le très humoristique projet de « WarKarting » poussé par ces mêmes universitaires. Le hacking à coup de caddies de supermarché, c’est la sécurité des mobiles à la portée des ménagères…
D’un point de vue politique, la bataille des étudiants du MIT est déjà gagnée. La couverture médiatique de l’événement est telle que les tentatives désespérées du MBTA cherchant à étouffer l’affaire ont abouti à un résultat inverse de celui escompté. Pis encore, la virulence des moyens mis en œuvre, la hargne procédurière engagée dans cette bataille dessert considérablement toute l’industrie des RFID. Les éventuels clients –et surtout les usagers- ne retiendront de cette histoire que « l’on » cherche à cacher quelque chose autour des RFID, ergo, l’usage des RFID est dangereux. Si Katherine Albrecht, la passionaria de Spychip, avait été à la tête de la MBTA, elle n’aurait pas mieux agi.
|
