Oui, on peut parler de RFID et de virus dans la même phrase

Le par  |  10 commentaire(s)
puces RFID

Les caisses-enregistreuses n'ont qu'à bien se tenir : les virus propagés par des puces RFID sont peut-être sur le point de débarquer.

Les caisses-enregistreuses n'ont qu'à bien se tenir : les virus propagés par des puces RFID sont peut-être sur le point de débarquer.


Petite cause, gros effets
Puces rfidPour l'heure, ce n'est qu'une expérience menée en laboratoire, mais elle entr'ouvre des perspectives à faire frissonner caissières et gestionnaires de stocks : des chercheurs de l'Université Libre d'Amsterdam sont parvenus à insérer un code malicieux (comprenez : un virus) dans la mémoire d'une puce RFID (Radio Frequency IDentification), du genre qui commence à se généraliser dans les commerces de gros. En cas d'élargissement de cette technologie aux magasins de détail, les conséquences pourraient aller d'une simple erreur de lecture, obligeant l'hôte(sse) de caisse à entrer à la main le code produit, à une corruption totale de la base de données par laquelle le stocks du magasin sont gérés.

Pour mémoire, les puces RFID se présentent sous la forme de films transparents en matière plastique, et renferment une minuscule puce mémoire, un tout aussi petit processeur, et une antenne radio, grâce à laquelle elles peuvent transmettre des informations à des lecteurs adaptés. Elles sont appelées à remplacer à court ou moyen terme les traditionnels code-barres, mais sont surtout utilisées pour l'instant dans la gestion des stocks, en amont de la mise en rayon. Nos chercheurs néerlandais, en parvenant à faire entrer 127 malheureux octets de code malicieux dans l'espace restreint de la mémoire d'une telle puce, ont lancé  un pavé dans la mare...


Croq(uettes) en stock
Jusqu'ici, le consensus était que même dans le cas où des données corrompues étaient chargées en mémoire sur une puce RFID, elles ne pourraient affecter les logiciels de lecture et d'interprétation des données, et encore moins infecter tout un système. Apparemment, il n'en est rien, comme l'a prouvé l'expérience tentée dans les laboratoires de l'université batave. Le code malicieux a d'abord été injecté dans une puce RFID affecté à l'identification d'un carton de nourriture pour chat. Poursuivant son chemin sur une chaîne d'approvionnement imaginaire, le virus a successivement infecté un grossiste fictif, puis plusieurs détaillants putatifs, à la manière dont aurait pu le faire un code malicieux dans la "vraie vie". Certains spécialistes n'excluent pas une forme de terrorisme informatique par le biais de la technologie RFID, dont les lecteurs vont bientôt devoir adopter des solutions antivirus.

Comme le souligne Mikko Hypponen chez F-Secure, "les puces RFID sont des micro-ordinateurs--presque--comme les autres, et présentent donc les mêmes dangers, malheureusement." Ce qui rassurant, c'est que les chats auxquels la nourriture était destinée, lors de l'expérience, ne risquaient rien, eux...

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #120168
Oh... Combien d'applications (crapuleuses) possibles avec ça ! La langouste au prix du riz ...

Quelque chose me dit que ces failles vont être rapidement colmatées!
Le #120176
Un Mac au prix d'un PC bas de gamme '!
Le #120194
Ici elle a juste servie à injecter un code malicieux dans un terminal de lecture apparemment... En gros, comme un code barre ou une clée USB.

EDIT: jamais entendu parler d'un systeme de calcul dans une puce RFID. <img src="/img/emo/confused.gif" alt=":'" />
Le #120222
Et l'information contenue dans la mémoire, elle passe comment vers l'antenne ' Par l'opération du saint-tesprit...'
Le #120240
Quel est donc la nature de ce code malicieux '

Une simple requete SQL classique '

Si c'est le cas, il n'y a qu'a fouetter les developpeurs des bornes de saisie. Jusqu'a preuve du contraire, toute SGBD digne de ce nom possede au moins une API qui filtre les séquences d'échappement.
Le #120243
Juste une précision, à l'intention d'Olivier, qui m'a écrit sur le site, mais n'a pas eu la décence (ou le courage ') de fournir une adresse e-mail valide afin que je puisse lui répondre... Tant pis pour lui, voici in extenso le texte que je comptais lui adresser :

<< D'abord, bonjour...

Ensuite, en supposant que vous parliez anglais, je vous renverrai à ce
passage :

"Melanie R. Rieback, Patrick N. D. Simpson, Bruno Crispo, and Andrew S.
Tanenbaum have published a paper called "RFID Viruses and Worms." In it,
they reveal some disturbing information. "Up until now, everyone working
on RFID technology has tacitly assumed that the mere act of scanning an
RFID tag cannot modify back-end software, and certainly not in a malicious
way. Unfortunately, they are wrong.

"In our research, we have discovered that if certain vulnerabilities exist
in the RFID software, an RFID tag can be (intentionally) infected with a
virus and this virus can infect the backend database used by the RFID
software. From there it can be easily spread to other RFID tags." The
paper goes over three possible scenarios in which this could be exploited
in a harmful fashion.

It also details how to create such worms and viruses. This isn't quite as
bad as it sounds, the group explains. "When talking to people in charge of
RFID systems, they often dismiss security concerns as academic,
unrealistic, and unworthy of spending any money on countering, as these
threats are merely &#8216;theoretical.' By making code for RFID
&#8216;malware' publicly available, we hope to convince them that the
problem is serious and had better be dealt with, and fast."

(Tiré de :
http://www.webpronews.com/topnews/topnews/wpn-60-20060717RFIDTechnologyVulnerableToMalware.html
)

Voir aussi : http://www.rfidvirus.org/index.html

Bonne lecture, et on en reparle...

A+

AG >>
Le #120260
Que je sache, un virus, c'est un programme capable de se dupliquer de lui même. Là il n'en est rien, tout ce qui semble y avoir, c'est une faille dans l'analyseur de donnée qui a conduit à une corruption de la base de donnée.
Rien ne dit que ca soit faisable avec une autre version du logiciel serveur (ou de caisse enregistreuse) ou avec un logiciel concurent.
Le #120292
Je crois qu'on coupe un peu les cheveux en quatre, là : on a appelé virus des codes malicieux parce qu'ils étaient capables de se propager d'un hôte à l'autre, notamment en se dupliquant, mais l'analogie avec la médecine s'arrête là ; un virus, un vrai, comme celui de la variole, par exemple, ou du SIDA, est d'autant plus dangereux qu'il est capable de "faire des petits" dans le corps de l'hôte (on parle alors de charge virale), tandis qu'il suffit d'UN SEUL (pardon pour les majuscules) virus informatique pour compromettre un système.

Dans ce cas, on pourrait parler de code malicieux, ou de programme malveillant, mais le but de l'expérience était de prouver que nul n'est besoin d'un programme important pour corrompre toute une chaîne d'approvisionnement. Et ce qui est valable pour de la nourriture pour chats l'est aussi pour, au hasard, les rations de nos soldats sur un théatre d'opération... Ou de ceux de George de la Jungle de Washington d'Ici...
Le #120312
eu... a defaut je prend ceux de georges de la jungle de washington de labas... en plus ils passent leurs temp a se plaindre que c'est aps bon leurs ration alors......
Le #120380
Va falloir revenir au boullier
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]