Après s'être attaqué aux inconsistances des RFID intégrés dans les passeports britanniques, Adam Laurie nous apprend comment il est possible de fabriquer autant de fausses « étiquettes intelligentes » que l'on peut souhaiter. Afin de donner un peu plus de sel à la compétition, Laurie s'est attaqué au système Trovan, qui est notamment caractérisé par un numéro d'identification inscrit « en dur » lors de la fabrication du composant, et donc impossible à modifier par l'usager.

Sauf que...

Sauf qu'il existe un équivalent plus « bas de gamme » qui vient quelque peu changer la donne. La Q5 est une étiquette capable... d'émuler d'autres étiquettes. L'on peut y inscrire n'importe quel type d'information, y compris une copie du fameux identifiant « unique et impossible à dupliquer » du proche cousin fabriqué par Trovan. A l'oeil nu, un spécialiste même n'y voit que du feu et est incapable de différencier le véritable composant de son clone. D'un point de vue fonctionnel, les programmes et appareillages de lecture se trompent également. La Q5 a le goût du Trovan, la couleur du Trovan, la parole du Trovan.

D'un point de vue strictement technique, la sécurité intrinsèque du Trovan n'est pas compromise. Le composant demeure impossible à modifier de quelque manière que ce soit. Son usage, en revanche, prend eau de toutes parts, et il serait téméraire de ne s'assurer un contrôle d'accès que sur la seule bonne foi de la réception de l'identifiant unique. Ce n'est, bien entendu, pas le seul défaut que l'on pourrait reprocher à ces marqueurs radio. La page d'information sur RFIdiot est assez édifiante à ce sujet. Chaque étiquette analysée*, ou presque, est accompagnée de son script de lecture en Python. A la vitesse où vont les hackers du monde RFID, il ne faudra pas longtemps avant que les données d'un passeport biométrique puissent être échangeables avec celles des étiquettes sous-cutanées utilisées par les services vétérinaires.

. Web-profils.com, la place de marché du conseil et de l'ingénierie