Menaces à la sécurité des composants RFID de l architecture EPCglobal, Partie II

Transcription

1 Menaces à la sécurité des composants RFID de l architecture EPCglobal, Partie II J. G. Alfaro, M. Barbeau, E. Kranakis Carleton University, School of Computer Science 5375 Herzberg Building, 1125 Colonel By Drive Ottawa, Ontario, K1S 5B6, Canada Résumé : Nous présentons la suite d une évaluation des risques associés à la sécurité des composants RFID de l'architecture EPCglobal. Dans cette deuxième partie, nous analysons le risque d une altération des données stockées par les radio-étiquettes de l architecture, lorsqu'elles sont accessibles en mode écriture à partir d'un canal sans fil faiblement protégé. Nous analysons cette menace en fonction d'une méthodologie proposée par l'european Telecommunications Standards Institute (ETSI). 1. Introduction L EPC-Gen2 (Electronic Product Code Class-1 Generation-2) [1] est la dernière version d'un standard international qui a pour but l'adaptation des technologies RFID au secteur de la logistique et de l'approvisionnement. EPCglobal, une filiale de l organisation mondiale GS1, soutient l adoption des radio-étiquettes EPC comme une évolution naturelle du système des codes barres. Les radio-étiquettes, apposées sur des objets physiques, permettent de suivre la progression et l'état des marchandises en mouvement dans des chaînes d approvisionnement. Ces étiquettes proposées par le standard EPC- Gen2 sont des dispositifs passifs opérant sur la bande UHF ( MHz). Elles peuvent être interrogées à une distance d environ cinq à dix mètres. Ces étiquettes n'ont pas besoin de pile interne. Elles obtiennent leur énergie à partir des interrogations effectuées par des lecteurs RFID. Le standard EPC-Gen2 est très robuste et flexible. Il permet d accueillir un large éventail de caractéristiques optionnelles. Par exemple, les radio-étiquettes EPC-Gen2 offrent l option de réinscrire, dans leur mémoire interne, des informations transmises par les lecteurs RFID. Cette option d écriture est toutefois peu explotée dans les applications actuelles de la technologie EPC. Ceci est probablement dû aux faibles mesures d authenticité, discutées dans la première partie de cet article (La lettre des Éditions Techniques de l Ingénieur, juillet 2009). Toutefois, cette option d écriture sera très utilisée dans les nouvelles applications EPC. La possibilité de pouvoir réinscrire la mémoire des étiquettes permettra des extensions très utiles comme par exemple le stockage d informations complémentaires sur les objets en temps réel (la localisation des objets, l estampillage, la température des objets, etc.). Il est donc important d analyser le risque d une attaque d altération des données stockées par les étiquettes EPC-Gen2, lorsqu'elles sont accessibles en mode écriture à partir d'un canal sans fil faiblement protégé. Nous présentons cette analyse dans la suite de l article. Nous supposons que des attaquants potentiels n'ont pas d'accès physique aux étiquettes.

2 L analyse est basée sur une étude antérieure présentée dans la référence [2]. Nous rappelons dans la section suivante les aspects essentiels de la méthodologie utilisée. 2. Méthodologie Notre analyse utilise une méthodologie basée sur une proposition de l'european Telecommunications Standards Institute (ETSI). Cette méthodologie, présentée initialement dans la référence [3], a été légèrement adaptée par les auteurs de la référence [4] afin de faire ressortir les menaces réelles envers les applications de réseaux sans fil. La méthodologie permet de caractériser ces menaces en fonction de la probabilité d arriver, des difficultés techniques de mise en œuvre et de l impact sur la victime. La figure 1 montre la fonction pour évaluer la probabilité d arriver d une menace. On peut voir que cette probabilité est déterminée par la motivation d un attaquant et les difficultés techniques qu il devra surmonter pour sa mise en œuvre. La figure 2 montre la fonction pour évaluer le risque associé à la menace. On voit qu il est déterminé proportionnellement par sa probabilité d arriver et son impact potentiel sur la victime. La méthodologie définit les trois catégories de risque suivantes : (1) risque mineur, quand la probabilité d arriver de la menace est jugée faible, ou quand son impact sur la victime est également faible ; (2) risque majeur, quand la probabilité d arriver est considérée possible et son impact potentiel comme étant moyen ; et (3) risque critique, quand la probabilité d arriver est estimée probable et son impact comme étant moyen ou élevé. Un risque peut aussi être évalué comme étant critique si son risque est jugé possible et son impact élevé. 3. Risque associé à une attaque d altération des données Nous évaluons la possibilité, pour un attaquant, de modifier les informations stockées dans une étiquette accessible en mode écriture. Nous supposons que cette opération est accessible à partir d'un canal faiblement protégé. La motivation de l attaquant est considérée comme étant modérée, car son service malveillant peut être vendu à des organisations intéressées à perturber les opérations d'approvisionnement du système ciblé. Pour mettre en place cette attaque, on peut imaginer l obtention du code PIN (Personal Identification Number) associé à la routine d écriture (dans le cas où cette option n a pas été bloquée par l administrateur du système).

3 La figure 3 rappelle, de façon simplifiée, les étapes du protocole de communications pendant l exécution d un processus d interrogation entre un lecteur et une étiquette. L'étape 1 représente la réalisation d'une requête de type select. Lorsque l étiquette reçoit la requête, elle renvoie une chaîne aléatoire de 16 bits que l'on désigne par RN16. Cette chaîne aléatoire est stockée temporairement dans la mémoire de l étiquette, et renvoyée plus tard par le lecteur dans un accusé de réception (voir étape 3). Elle sert à verifier l'accusé de réception fourni par le lecteur. La chaîne de 16 bits de l'accusé de réception doit correspondre à celle stockée temporairement dans la mémoire. Si l accusé de réception est correct, l étiquette envoie finalement, à l étape 4, son identifiant EPC et reste disponible pour exécuter d autres actions. La figure 4 représente les étapes suivantes du protocole pendant la demande et l exécution de la routine d accès pour écrire dans la mémoire de l étiquette. En utilisant l identifiant RN16 obtenu précédemment (étape 2, figure 3), le lecteur demande à l'étape 5 un descripteur d'opération (que l'on désigne comme Handle à l'étape 6). Ce descripteur est une nouvelle séquence aléatoire de 16 bits qui sera utilisée par le lecteur et l'étiquette pendant toute la durée de l'opération de demande et d exécution d écriture. En effet, toute commande demandée par le lecteur à l étiquette doit inclure ce descripteur, en tant que paramètre dans la commande. De la même manière, tous les accusés de réception envoyés par l étiquette au lecteur doivent être accompagnés de ce descripteur. Une fois que le lecteur a obtenu le descripteur à l'étape 6, il répond à l'étiquette avec une copie de cette séquence, comme accusé de réception. Pour continuer l'exécution de la routine d accès, le lecteur doit communiquer le mot de passe de 32 bits associé. Ce mot de passe est en fait composé de deux séquences de 16 bits, désignées dans la figure 4 par PIN 31:16 et PIN 15:0. Afin de protéger la communication de ce mot de passe, le lecteur obtient aux étapes 8 et 12, deux séquences de 16 bits désignées dans la figure 4 par RN16' et RN16''. Les séquences RN16' et RN16'' sont utilisées par le lecteur pour cacher le mot de passe pendant l envoi vers l étiquette. À l'étape 9, le lecteur masque les premiers 16 bits du mot de passe en appliquant une opération XOR (désignée par le symbole dans la figure 4) avec la séquence RN16'. Il envoie le résultat à l étiquette, qui renvoie au lecteur un accusé de réception avec le descripteur Handle à l'étape 10. De la même façon, le lecteur masque les derniers 16 bits du mot de passe en appliquant un XOR avec la séquence RN16'', et envoie le résultat à l étiquette. Finalement, l étiquette renvoie au lecteur un accusé de réception avec le descripteur Handle à l'étape 14. Ce dernier confirme en plus

4 l exécution avec succès de l'opération d'accès et conduit à l écriture de l étiquette (étapes 15 et 16). Nous pouvons observer, à partir de l'exemple précédent que, même s'il existe des difficultés pour retrouver le code PIN qui protège la routine d écriture, il est théoriquement possible de le faire. Il suffit d'intercepter les séquences RN16' et RN16", aux étapes 8 et 12, et de les appliquer avec l'opération XOR au contenu des étapes 9 et 13. Les difficultés techniques pour mettre en œuvre cette attaque sont solubles. La probabilité de la menace, selon la méthodologie présentée dans la section 2, même sans accès physique aux composants RFID, doit être donc considérée comme étant possible. Concernant l impact de cette menace, nous l'estimons potentiellement élevé, en fonction de l organisation visée. Par exemple, dans le contexte d une chaîne d approvisionnement des marchandises pharmaceutiques, l'altération des données dans la mémoire des étiquettes peut être très dangereuse. La perturbation temporaire du fonctionnement de la chaîne peut conduire à des erreurs dangereuses : la livraison des médicaments avec des données erronées, ou livrés à des patients non concernés, peut conduire à la prise par un patient d une mauvaise médication. Dans ces conditions, et selon notre méthodologie, nous évaluons l impact potentiel au niveau élevé. Cette combinaison de probabilité de se produire et d impact élevé nous conduit à conclure que le risque associé à cette menace est critique. La menace doit être traitée par des contre-mesures appropriées.

5 4. Conclusions Nous concluons, avec cet article, une évaluation des risques à l authenticité et la intégrité des composants RFID de l'architecture EPCglobal. Nous supposons pour notre évaluation que des attaquants potentiels n'ont pas d'accès physique aux composants. Ils peuvent seulement attaquer le canal de communication sans fil entre lecteurs et radio-étiquettes. Avec ces hypothèses, nous avons classé ces menaces, selon leur impact dans le système ou la victime ciblée, comme étant critiques. Elles doivent être traitées par des contremesures appropriées afin d améliorer la sécurité de l'architecture EPCglobal. Références [1] EPCglobal Inc. [2] Alfaro, J. G., Barbeau, M., and Kranakis, E. Security Threats on EPC based RFID Systems. In: 5th International Conference on Information Technology: New Generations (ITNG 2008), IEEE Computer Society, Las Vegas, Nevada, USA, April [3] ETSI, Methods and Protocols for Security; Part 1: Threat Analysis. ETSI TS V4.1.1, [4] Laurendeau, C. and Barbeau, M. Threats to Security in DSRC/WAVE. In: 5th International Conference on Ad-hoc Networks (ADHOC-NOW), Lecture Notes in Computer Science, Springer Berlin / Heidelberg, Volume 4104, 2006, pp