novembre 2018

Zoom sur la technologie RFID – partie 2 – Les puces RFID

La technologie RFID (« Radio Frequency Identification ») a connu un essor grandissant ces dernières années. Qu’en est-il est matière de contrôle d’accès ? Focus.

La technologie RFID signifie l’identification par radiofréquence. Elle ne se limite pas au contrôle d’accès, son champ d’application est bien plus large. On peut en effet retrouver cette technologie au sein d’autres supports comme les antivols (étiquettes), les clefs de voitures, les cartes de transports, les passeports biométriques, le paiement sans-contact… et même les êtres vivants (puces d’identification et de suivi) !

Les puces RFID et l’émergence de la carte Mifare ®

Il existe plusieurs technologies de puces RFID sur le marché : HID ProxCard®, Indala®, EM Microelectronic-Marin, Atmel, Infineon, LEGIC Identsystems, STMicroelectronics, NXP… La plus connue, qui fait office de « puce de référence », est la famille Mifare® qui se décline en plusieurs gammes avec des niveaux de sécurité différents (Mifare® Classic, Mifare® Desfire EV1, Mifare® Desfire EV2).

Vous avez manqué la première partie de ce dossier sur la technologie RFID ? Retrouvez-la ici !

Genèse de la carte Mifare®

En 1993, une équipe d’ingénieurs autrichiens qui travaillent sur la technologie RFID, dont le brevet vient tout juste de tomber dans le domaine public, a l’idée d’intégrer une antenne de communication dans une puce. Leur start-up, Mikron, parvient à en concevoir l’architecture et à présenter un produit, Mifare, qui se fait remarquer pour sa parfaite intégration au format carte de crédit et sa faible consommation en énergie. L’entreprise cherche preneur pour sa licence. Philips Semiconducteurs rachète l’entreprise autrichienne et ses brevets en 1998. Aujourd’hui, avec plus de 3,5 milliards d’unités en circulation, Mifare® est la puce RFID la plus répandue au monde et représente près de 80% du marché des cartes intelligentes sans-contact.

La déclinaison de la puce en différentes gammes permet de répondre avec la technologie adaptée aux besoins de chacun en fonction de :

  • la taille du support,
  • la quantité de données à stocker,
  • la distance de lecture,
  • le niveau de sécurité souhaité…

 

Les gammes Mifare® : à chacune ses avantages – inconvénients

Mifare® Classic :

C’est le modèle historique de la gamme qui s’avère être le moins onéreux et très répandu.

En contrepartie d’un prix abordable, il présente quelques inconvénients. En effet, cette gamme Mifare®, initialement sécurisée, s’avère être connue pour ses failles de sécurité découvertes depuis 2008. Cette gamme est maintenant déconseillée pour certains usages (contrôle d’accès) mais reste toujours acceptable pour d’autres fonctionnalités telles que la gestion des temps.

La puce Mifare Classic est basée sur de la logique câblée et est compartimentée en segments puis en blocs de données avec un mécanisme d’identification pour la sécurité.

Mifare® DESfire® EV1, EV2:

Il dispose de plus de fonctions que le badge Mifare® classic et est plus sécurisé. Il propose différentes capacités de stockages, et le formatage de la carte peut être réalisé par l’utilisateur.

Cette technologie dispose d’un microprocesseur pré-programmé avec le système d’exploitation DESFire® et d’un coprocesseur cryptographique.

Contrairement à la Mifare® classic qui dispose d’une fonction unique, la Mifare® desfire® peut être multi-applications.

La Mifare® DESfire® se décline en deux niveaux de gamme : la Mifare® DESfire® EV1 et Mifare® DESfire® EV2, cette dernière intégrant une nouvelle évolution concernant la sécurité et un assouplissement sur la gestion des multiples applications.

A ce jour Horoquartz préconise l’utilisation la carte Mifare DESFire EV1 à minima, et notamment pour les besoins de contrôle d’accès.

Pour en savoir plus : « Identification et badges : quelle technologie choisir ? »

Les limites du RFID

Comme vu précédemment, certaines cartes RFID ne possèdent pas un niveau de sécurité suffisamment élevé. Il convient donc d’être vigilant avec certaines gammes de cartes et ne pas y adosser les fonctionnalités de contrôle d’accès pour éviter la récupération de données et la falsification de celles-ci. Pour un niveau de sécurité élevé de ses badges, il est préférable d’opter pour des badges de gamme supérieure et/ou prendre certaines précautions :

  • Eviter l’utilisation du numéro d’identification (UID) géré par le constructeur (accessible en lecture sans sécurité)
  • Étui de protection spécifique pour éviter la récupération des données par des personnes mal intentionnées,
  • Restreindre la durée de vie des données,
  • Utiliser des mécanismes de diversification des clés (une clé différente pour chaque badge)
  • Chiffrer les données,

En complément de ces précautions, un groupe de travail interministériel animé par l’ANSSI a évalué que les conséquences des failles de sécurité étaient particulièrement préoccupantes lorsque les technologies sans contact étaient utilisées dans les systèmes de contrôle des accès physiques.

L’Agence a publié un guide sur ce sujet afin d’expliquer pourquoi les systèmes de contrôle d’accès doivent être considérés comme des systèmes d’information à part entière, où doivent s’appliquer les règles élémentaires de l’hygiène informatique.

Même si la RFID présente quelques limites, cette technologie reste malgré tout la technologie de référence en contrôle d’accès aujourd’hui et celle recommandée par une majorité d’acteurs, dont Horoquartz, sur le marché de la sureté-sécurité.

Pour en savoir plus sur la technologie RFID, retrouvez la première partie de ce dossier en cliquant ici !

Maude Baudrand, Chef de Projet Marketing Sûreté-Sécurité chez Horoquartz, d’après un entretien réalisé avec Patrick Paranthoen, Directeur R&D Sûreté chez Horoquartz

Maude Baudrand    Patrick Paranthoen