Une carte RFID communique avec un lecteur de carte RFID sans contact par échange de de données numériques portée par un champs électromagnétique qui s’établit entre la carte et le lecteur. On parle de couplage électromagnétique, et l’industrie nommait d’ailleurs les premiers lecteurs des ‘coupleurs’. Il est possible de lire, d’écrire la mémoire ce qui rend la carte RFID programmable.
L’industrie a défini des standards de communication carte-lecteur, comme l’ISO14443 et l’ISO15693 dans la bande de fréquence 13,56 Mhz par exemple, afin de normaliser les développements des produits à travers le monde.
Les plus grands fondeurs de silicium ont proposé des micro-contrôleurs pour la fabrication des lecteurs, et des micro-contrôleurs pour la fabrication des cartes RFID programmables ou des étiquettes RFID souvent nommés « tags ».
On peut citer NXP B.V., Texas Instrument, ST Microelectronis ou encore Electronic Marin.
Toutes les puces des cartes programmables ont au minimum un numéro de série et une mémoire.
Pour améliorer la sécurité, certaines puces, avec le lecteur, mettent en place une communication encryptée afin que les données échangées ne puissent pas être espionnées ; d’autres ajoutent des processeurs cryptographiques et des coffres forts sécurisés pour héberger des clés servant à authentifier les messages.
Il est tout d’abord nécessaire de bien analyser l’utilisation qui va être faite de la carte RFID programmable, des possibilités de contourner la sécurité et des conséquences d’une telle fraude.
La majorité des projets utilisent uniquement le numéro de série de la puce. Le lecteur lit ce numéro, et l’envoie à la base de données. Si l’on s’intéresse à du contrôle d’accès dans une piscine publique ou un bâtiment, la base de donnée contient l’autorisation d’entrée correspondant à ce numéro de série, et le lecteur sera en retour informé de cette autorisation pour commander par exemple la gâche électrique de la porte ou du tourniquet.
La sécurité repose donc sur un simple numéro de série, que des cartes électroniques RFID programmables pirates achetées sur internet peuvent simuler.
Les projets les plus récents utilisent des cartes RFID programmables cryptographiques.
Le but est d’authentifier la carte, et non de seulement recueillir un numéro de série pas forcément authentique.
Pour authentifier la carte, le lecteur (avec l’application d’authentification), peut par exemple vérifier que la carte connait un secret connu seulement du système, sans jamais que ce secret ne soit exposer en clair au monde extérieur bien entendu.
En simplifiant pour la didactique de l’explication, le lecteur encrypte un nombre aléatoire qu’il génère, avec sa clé secrète. Il envoie le nombre aléatoire à la carte, et lui demande de l’encrypter avec sa clé secrète qui a été mise en mémoire sécurisée lors de la personnalisation électrique de la carte. La carte renvoie le résultat. Le lecteur compare avec son premier calcul. Si le résultat est le même, c’est que la clé secrète de la carte est la même que celle du lecteur, donc que la carte est authentique.
Il existe des cartes comme la MIFARE® Ultralight®, dont la mémoire n’est pas du tout protégée. On peut y stocker des dates de fabrication par exemple, pour un suivi de garantie d’un produit électronique grand public.
La MIFARE Classic offre une protection par mot de passe, au travers d’une communication encryptée avec une clé de sessions, mais l’algorithme CRYPTO-ONE et la taille de la clé (54 bits) rendent le système sensible à des attaques publiées par des universités. Cette carte est la plus populaire et la plus vendue au monde, souvent utilisée uniquement pour son numéro de série dans les piscines publiques, les clubs de footballs, de fitness, les hôtels.
L’ICODE SLIx offre une mémoire protégée par mot de passe, mais pas d’encryption lors de la communication, donc le mot de passe est espionnable et par conséquent ne peut pas être utilisé hors de la personnalisation de la carte.
La MIFARE DESFire® est une carte programmable d’un niveau de sécurité des plus élevé, validé par l’agrément international de sécurité EAL4+ . Elle offre deux algorithmes à clés symétriques AES et 3DES, au choix du développeur de l’application. C’est le choix sans ambiguité des tous les projets de contrôle d’accès ou de porte monnaie électronique privatifs. Les universités françaises avec la carte IZLY ont choisi cette technologie pour offrir aux étudiants des services comme la restauration, le paiement des photocopies ainsi que tous les services offerts par les CROUS.
Copyright RFID-Labs 2016 - tous droits réservés