Le problème, bien sûr, c'est que la sécurité des RFID est quasiment inexistante. Une puce RFID ne se soucie pas de savoir qui (ou quoi) est en train de la scanner : elle donne toutes les informations enregistrées sans discuter.

Un scénario tout à fait réaliste est de scanner discrètement des personnes et de conserver les informations dans un ordinateur portable afin de les trier après coup, pour ne garder que les plus intéressantes. Et comme ces informations ne sont généralement pas chiffrées, c'est souvent la cata...

De plus, les fabricants sous-estiment généralement la portée de leurs puces : de quelques cm normalement, des analystes sont ainsi passés à plusieurs mètres de distance ! Cela reste, bien sûr, hors de portée d'un satellite, mais largement suffisant pour récupérer plein d'informations discrètement.

Voir, par exemple, le site "rfidiot" (tout un programme !) qui donne des exemples très concrets : http://rfidiot.org/

Ca a l'air à la mode en tout cas, je venais juste de tomber sur ce billet dans mes feeds :
http://www.w3sh.com/2008/01/15/des-micro-puces-rfid-dans-la-peau-pour-les-prisonniers-en-angleterre/

@Noryungi
Gardons en mémoire qu'il existe aussi des puces RFID dotées de moyens de cryptage… Elles sont simplement plus chères. Mais à ma connaissance, Verichip reste la seule à avoir obtenu un feu vert de la FDA. Depuis, on a d'ailleurs trouvé qu'elle pourrait poser quelques problèmes de santé, y compris des risques de cancers… À suivre.
En ce qui concerne la portée, il y a beaucoup à dire. Elle dépend comme toujours de la puissance d'émission et de la sensibilité du récepteur, ainsi que de la taille de l'antenne. Tous ces paramètres sont fixes côté puce mais peuvent être bidouillés sur un "lecteur" revisité. Dans le cas (le plus courant) d'une puce RFID passive, il faut que le champ magnétique engendré à son niveau soit assez puissant pour qu'elle puisse y puiser l'énergie dont elle a besoin. À une distance de plusieurs mètres, cela commence à représenter un joli champ magnétique, qui pourrait être repérable…
Mais il n'y a pas de doute, en tout cas, qu'une puce puisse généralement être lue à une distance dix fois supérieure à sa "portée officielle". De toute façon, il ne manque pas de situations (genre métro, bistro…) où il est facile de s'approcher jusqu'à des décimètres d'un porteur de puce, afin de "pirater" une puce un peu bavarde.
Je me demande si par exemple notre Navigo (carte de transport parisienne) est dotée d'une puce simplette ou quoi. Si oui, le bidule à 20 $ de Jonathan Westhues devrait suffire à la cloner. Quelqu'un à des idées ?
La RFID n'apporte pas de sécurité dans un système, mais plutôt des problèmes de sécurité… parce que l'on ne voit pas quand elle parle, ni avec qui elle parle. La sécurité ne peut alors provenir éventuellement que d'une bonne "couche" de logiciel ad hoc, faisant appel à la crypto.

@ghismo
Un ami commun (si, si, lui) m'avait signalé cette news.

Je me demande ce qu'il y a de concret derrière cette histoire britiche d'implant "suivi par satellite" pour prisonnier. Parce qu'un truc implantable permettant la localisation par satellite, ce qui suppose GPS, donc antenne, donc batterie, plus émetteur… je n'en connais pas qui soit déjà opérationnel. Je crois que Verichip travaille sur un truc de ce genre, mais je suis curieux d'avoir des précisions : le truc sera forcément encombrant. Il sera donc encore plus scandaleux de l'imposer comme implant, alors que des solutions externes existent (bracelet).
Le plus ignoble dans la notion d'un dispositif sécuritaire implanté, c'est que son efficacité repose forcément sur un "chantage au charcutage". Est-ce qu'ils songent à l'implanter plus profondément pour éviter que l'on puisse s'en débarrasser d'un coup de canif ? J'ajoute que le "milieu" a toujours eu ses toubibs…

Pour Navigo, je me posais justement la question. Je ne serais pas du tout surpris d'apprendre (a) qu'il n'y a aucune sécurité et (b) que le numéro de carte bleue est dans la puce elle-même. Navigo, d'après ce que j'en sais, utilise le numéro de carte de crédit pour certaines cartes.

Je vais devoir "passer" à Navigo et j'en profiterais bien pour faire des économies sur mes frais de transport en commun... :-)

Sinon, dans le genre gros dérapage technologique, le summum, c'est quand même la liste RISKS. C'est un de mes plaisirs pervers...

@Noryungi
Je n'ai aucune info exclusive sur le sujet. Mais je me dis qu'il serait étonnant que Navigo soit à la fois non sécurisée et porteuse d'infos importantes. Si l'appli est très "online", on peut imaginer que la carte ne contienne qu'un simple numéro de titulaire. Le n° de CB ? Pour quoi faire ?
Ceci dit, je ne suis pas expert…

D'un autre côté, vu le niveau (lamentable, c'est le mot) de sécurité de la plupart des cartes utilisant les RFID... Ce ne serait pas surprenant que Navigo soit une passoire.

Sur le numéro de CB : il semblerait (mais je dois confirmer cela auprès d'une personne bien renseignée) que les Navigo "anonymisées" sont, en fait, identifiées par le num. de CB du propriétaire. De là à dire qu'elle contient bien ce numéro de CB, c'est vrai qu'il y a de la marge. Mais... On ne sait jamais.

Je n'y connais pas grand-chose dans le domaine sinon que Tommy Thomson,ex-ministre (grosso modo) de la santé aux USA est maintenant membre du conseil d'administration de Verichip et use de son carnet d'adresse pour convaincre le gouvernement américain de "pucer" les immigrants.
http://www.livescience.com/technology/060531_rfid_chips.html
Mais bien sûr, ne soyons pas paranos et vive la science

@babette
Oui, une partie du scandale VeriChip se situe là. Un mélange de genre bien classique, et même tristement banal.

Les puces dénommées "tags" à 134 khz sont de simples marqueurs. Elles n'ont aucune sécurité, par définition. Inutile de faire croire à quoi que ce soit.
Le Navigo est perçable tout comme la Técély mais là n'est pas le souci. Pour quoi faire ? Pour voyager à l'oeil ? Oui bon soit mais c'est illégal.
Le souci c'est la concentration des données individuelles. Pour le Navigo il est dommageable qu'il faille payer en plus (sans garantie du reste) pour obtenir que ces données ne soient pas "stockées".
db

Bonjour !

Certaines puces RFID fonctionnent avec une portée de 300 mètres !

S'il y a un capteur à 300 mètres d'un porteur et que la puce est lue, le capteur récupère les informations...

Toute borne de lecture de puce doit être affichée, mais s'il y a de l'argent à se faire, elle ne le sera pas systématiquement !

@Rolex
Je ne sais pas quel produit précis vous évoquez, mais je suis certain que si la "portée" est de 300 mètres, il ne s'agit pas d'une puce RFID passive, mais d'un modèle actif, donc doté d'une alimentation électrique. Il y a un monde entre cet objet minuscule et très bon marché (le "tag RFID", passif) auquel on pense généralement lorsque l'on parle de RFID sans préciser, et des engins plus sophistiqués, plus chers et dépendants d'une source d'énergie qu'il faut maintenir (la balise RFID active).
Le tag RFID passif tire son énergie d'un champ magnétique émis par le lecteur. C'est cela qui limite assez sérieusement la portée. On peut imaginer des antennes sophistiquées capables de focaliser à distance le champ magnétique idoïne sur un tag à quelques mètres. Mais si l'on passe aux kilomètres, on se retrouve à manier des énergies considérables, qui ne peuvent plus passer inaperçues !

Avant d'entendre parler de RFID, nous avions déjà la balise Argos, qui permet à un navigateur solitaire d'appeler au secours en cas de naufrage. Dotée d'une pile ou batterie, elle émet en direction de satellites qui passent à 850 Km au dessus de nos têtes. Il en existe un modèle incorporé dans une monte, des biologistes en installent d'autres, pesant parfois seulement des dizaines de grammes, sur des animaux qu'ils veulent pister, mais à chaque fois, le truc marche aussi longtemps que la pile.

With us, you'll have a wide range of RFID products to choose from. We offer RFID Card,Contact IC Card and Laundry tag etc.

All the products are undering an ISO 9001:2000-certified management system. Small MOQ (1000pcs) which will be shipped in one seven working days.

Inquire today and we will respond within 24 hours.

Thanks&Regards,

Vera

OPRFID Technologies., LTD
2-603 Room, Hong Feng Jia Yuan , 270# BeiMo Street

ChengXiang Putian City Fujian, P.R, China.
Tel: (0086)594 2790031
Fax: (0086)594 2790185

Website: www.oprfid.com

Email: oprfid.sales@oprfid.com

MSN: oprfid.salesyue@hotmail.com