La Californie fait du crime pour «écrémer» les balises RFID

Cette semaine, la Californie est devenue le deuxième État à adopter une loi interdisant le vol de données à partir de cartes d'identification par radiofréquence (RFID).

La loi prévoit une amende pouvant aller jusqu'à 1 500 $ US et un an en prison pour une personne reconnue coupable de lire subrepticement des informations à partir d'une carte RFID

Les puces RFID, utilisées dans une variété croissante d'applications dans le monde, stockent de petites quantités d'informations qu'un appareil proche peut lire. Entre autres choses, les puces peuvent être utilisées pour stocker les données des clients sur une carte de crédit ou permettre aux personnes autorisées d'ouvrir des portes de bureaux ou des portes de voiture verrouillées dans des systèmes d'entrée sans clé.

Le projet de loi californien prévoit des exceptions. en permettant à un travailleur de la santé de scanner la carte de santé RFID de quelqu'un afin d'aider la personne. En outre, les agents de police seraient autorisés à voir les informations sur une carte RFID avec un mandat.

Le projet de loi a été présenté par le sénateur de l'Etat de Californie Joe Simitian en 2006, et la version finale a été promulguée mercredi. Il a été soutenu par une grande variété de groupes allant de l'American Civil Liberties Union aux propriétaires d'armes de la Californie.

Plus tôt cette année, Washington est devenu le premier État à adopter une loi contre le vol de données RFID. Washington fait un crime de classe C pour voler des données d'une carte RFID spécifiquement à des fins de fraude, de vol d'identité ou à d'autres fins illégales. Cela signifie qu'en cas de condamnation, un criminel pourrait recevoir une amende allant jusqu'à 10 000 $ et cinq ans de prison.

Il existe des mécanismes de sécurité que les émetteurs de cartes RFID peuvent utiliser pour rendre plus difficile le vol de données stocké sur eux, beaucoup ne le font pas ou mal, donc ces lois pourraient aider à dissuader les pirates potentiels.

Un article publié récemment par le Stanford Law Review détaille quelques exemples alarmants de chercheurs en sécurité qui piratent la RFID systèmes. Dans un cas, des chercheurs de l'Université Johns Hopkins ont craqué le code de chiffrement des puces Texas Instruments utilisées dans les cartes d'essence Exxon Mobil. Armés de ce code, d'un ordinateur portable et d'un simple appareil RFID, ils pouvaient remplir gratuitement leurs réservoirs.

Le journal de Stanford cite également le travail effectué par des chercheurs en sécurité informatique chez IO Active montrant comment ils pouvaient facilement cloner des informations stocké sur les cartes d'entrée de construction. Dans un autre exemple décrit dans le document, des chercheurs de l'Université du Massachusetts ont dépensé 150 $ pour construire un lecteur RFID et ont découvert qu'ils pouvaient lire des informations telles que des noms et d'autres données stockées sur des cartes de crédit RFID. Ils ont trouvé que les données étaient stockées sur des cartes commerciales non cryptées et en texte clair.

Le gouverneur de la Californie a opposé son veto à un autre projet de loi similaire présenté également par Simitian. Ce projet de loi aurait obligé les écoles à obtenir le consentement écrit des parents avant d'émettre des cartes RFID aux étudiants qui pourraient être utilisées pour enregistrer les présences ou suivre les allées et venues des élèves. Le projet de loi, rédigé après la controverse qui a éclaté dans une école de Californie qui a délivré des cartes RFID aux étudiants, aurait également exigé que les écoles prennent certaines mesures pour protéger la vie privée des étudiants.