La carte Navigo belge crache le morceau
jeu. 8 janv. 2009
Pierre Vandeginste in crado

Les dévots de la puce RFID ont encore frappé. En Belgique. La STIB, qui est à Bruxelles ce que la RATP est à Paris, a lancé l’année dernière sa carte Mobib, proche de la Navigo, bien connue des franciliens. On découvre aujourd’hui que cette Mobib est un mouchard inquiétant, puisqu’un geek saura lui faire avouer les trois derniers trajets effectués par son titulaire.

Cette carte contient une puce RFID, du même genre que celle de notre Navigo. Une puce capable de dialoguer à distance avec les lecteurs RFID installés dans les portillons d’accès au réseau de transport. Officiellement, la carte Navigo ne fournit aux bornes qu’un simple identifiant. Ce qui suffit largement à scandaliser les défenseurs des libertés publiques. En effet, la RATP peut faire le lien avec l’identité du porteur, et par ailleurs les trajets effectués, en théorie mémorisés pendant 48 heures. Hypocritement, l’anonymat est prévu, en option, mais c’est plus cher.

C’est une histoire bien plus grave que l’on découvre en Belgique. La puce RFID de la carte bruxelloise contient elle-même, non seulement l’identité du porteur, sa date de naissance et son code postal, mais encore le détail des trois derniers trajets effectués. En clair. Pour obtenir ces informations, un collègue, un employeur, un conjoint, n’importe quel curieux bricoleur devra simplement se procurer un lecteur de carte RFID et un logiciel. Et puisque la puce RFID est «sans contact», il pourra même opérer à quelque distance, lire une carte à l’insu de son titulaire, au fond d’une poche, d’un sac à main.

Ce joli petit scandale a été révélé par une équipe de chercheurs du GSI (Groupe sécurité de l’information) de l’Université catholique de Louvain, dirigée par le Français Gildas Avoine. Leur communiqué apporte d’ailleurs la preuve de ce qu’il avance, en proposant un logiciel capable de faire parler une carte Mobib et de visualiser sur une carte les trois derniers trajets effectués. La même équipe avait démontré en juin 2007 que les passeports belges à puce RFID étaient particulièrement bavards.

On se demande comment on peut en arriver là. Comment on peut commander, concevoir, réaliser, livrer, accepter, mettre en route une application informatique aussi calamiteuse. On hésite : bêtise ou méchanceté ? On a du mal à imaginer qu’une erreur de conception aussi énorme puisse résulter d’une volonté délibérée de faciliter le travail des curieux. Mais sinon, c’est encore plus fou : ils ne l’auraient même pas fait exprès ?

Sous réserve d’inventaire, cette boulette qui en rappelle tant d’autres pourrait bien résulter, notamment, d’un syndrome qui ne sévit pas qu’en Belgique, loin s’en faut. N’est-ce pas le même genre de technolâtrie inconséquente qui a permis à d’autres technocrates de se faire croire que la démocratie gagnerait à remplacer au plus vite l’urne par un ordinateur, infiniment plus piratable ? Ou que nos passeports seraient plus sûrs, si on les dotait d’une puce RFID, bavarde et clonable. Et d’une couche de biométrie, alors qu’un enfant de dix ans peut fabriquer une fausse empreinte digitale.

Article originally appeared on Aïe ! tech (http://www.aietech.com/).
See website for complete article licensing information.