Les après-midi des objets connectés Internet des objets et leur sécurité

Les après-midi des objets connectés Internet des objets et leur sécurité 22 Septembre après-midi Hall 4 - salle 5 présenté et animé par Dominique Paret, expert EESTEL et fondateur de la société dp-

Le choix des thèmes de l après-midi IoT présentée et animée par Dominique PARET, dp- - Problèmes d interopérabilités des protocoles de communication - Garantie de la sécurité de communication de bout en bout - Privauté respect de la vie privée - Autonomie de fonctionnement - Interface homme machine objet - Applications concrètes réellement sur le marché

Au menu de l après midi! I) - Problématiques des IoT de manières structurelles 14h00 Mise en œuvre de l IoT : Impact sur les architectures et retours d expériences Jean Yves CADOREL, Société 3ZA INTECH & POLYTECH ORLEANS 14h30 Sécurité des transactions en IoT, Pierre CREGO, Société MERCURY membre EESTEL 15h00 Problèmes de privautés et respect de la vie privée en IoT Maître Nathalie DAMIANO, Cabinet OSOTES - membre EESTEL 15h30 La gestion de l énergie des batteries pour les objets connectés, Pascal MATOSEVIC, Société SERMA TECHNOLOGIES II) - Applications des IoT 16h15 Interface homme objet - Applications possibles du NFC en IoT, Dominique PARET, Société dp-consulting - membre EESTEL 16h45 Exemples et démonstrations de réalisations IoT grand public incluant les NFC, IBC, BT low energy, WIFI, SIGFOX, LIFI, etc. JP HUON, Société ZEBRE - membre EESTEL et le CRESITT

EESTEL Experts Européens en Systèmes de Transactions Electroniques Interface homme objet Possibilités d applications du NFC en IoT Dominique PARET Directeur Technique dp- 22 septembre 2015 Paris

D abord, quelques mots de technique

Near Field (NF sans C!) V la fréquence Une onde électromagnétique est caractérisée par sa fréquence «f» et par sa longueur d onde, associée. La relation liant «f» et est bien connue : = v / f = (3 x 10^8) / f «champ proche» < / (2 ) < «champ lointain» (couplage magnétique) (propagation d onde) (Biot & Savart law) (Maxwell equations) fonctionnement en : exemples f = 150 khz = 2 km «champ proche» en RFID f = 10 MHz = 30 m «champ proche» f = 900 MHz = 33 cm «champ lointain» f = 3 000 MHz = 3 GHz = 10 cm «champ lointain»

Near Field (NF avec un C!) = NFC Near Field Communication et le «Molière» est décerné à : Monsieur Jourdain qui fait aussi du NFC comme de la prose sans le savoir! Ce n est pas un scoop, en RF, depuis le milieu du XXème siècle on fait du NFC! (tag, immobiliseur, badge, Vigik, etc. à 125 khz, à 6,7 et 13,56 MHz, etc. même en UHF)

Passive communication mode - The initiator generates the RF field - The target answers to an initiator command in a load modulation scheme.. 1. Initiator starts communication at selected transfer speed Host NFC Initiator RF- field @13.56 MHz NFC Target Host powered to generate RF field 2. Targets answers using load modulated data at the same transfer speed (powered for digital processing)

Active Communication mode both the initiator and the target are using their own generated RF field to enable the communication. Initial Command Host NFC Initiator powered to generate RF field Host NFC Initiator powered for digital processing 1. Initiator starts communication at selected transfer speed RF- field @13.56 MHz RF- field @13.56 MHz Response 2. Target answers at the same transfer speed NFC Target Host (powered for digital processing) NFC Target Host (powered to generate RF field)

Near Field Communication versus Smart Card & RFID - Both Smart Card & NFC are in HF @ 13,56 MHz - Both Smart Card & NFC are in Near Field (Physique!!) But - Smart card, only passive (retro mod), data collision - NFC, passive or active, RF and data collisions And, don t forget that - RFID all frequency bands, LF, HF, UHF, SHF, Far field, Near field Passive or Active, RF et data collisions, etc.

Les normes et standards - Les «normes NFC» ( depuis 2002!!) Normes ECMA 340 & 352 (ouvertes) ISO 18 092 NFC IP1 (~ISO 14 443 A & Felica) ISO 21 481 NFC IP2 (~ISO 14 443 A-B & Felica, ~ISO 15 693) ISO 22 563 tests (ISO 10376-6 ++) - Les «autres standards autour du monde NFC» Standards NCF FORUM (propriétaires) ~ETSI ( SWP) EMVCo.. GSM A

Stop!!! - C est là où s arrête le vrai terme «NFC», - Là où commence le monde des applications basées sur NFC - Tout le reste «is blabla!!..» - SVP, arrêtons les gargarismes marketing et commerciaux avec le terme NFC à toutes les sauces!!

légers lourds Distri ville particul Dominique Paret dans la vaste matrice du NFC choisissez votre case!! 2) utilisateurs exemple : solution pour le particulier du market mobile utilisant une clé USB/NFC Banque Transport billettique clé USB objet marketing Mobile 1) champs applicatifs mobile phone add on 3) technos utilisables

volume des applications NFC Forum NFC le vrai, le seul!! ISO 18 092 & ISO 21 481 Form Factors

Le champ applicatif des IoT - Appli.ouvertes, propriétaires, sectorielles, intersectorielles ouvertes propriétaires automobiles BMW, Audi sectorielles bancaires, EMVCo, transport, AFIMB aviation, IATA électroménager etc. etc. intersectorielles paiement, transport, accès, etc. exemples : VILLES, TERRITOIRES

Interface Homme - Objet si il y a un interface «homme objet». Quel objet?? Objet connecté ( à l ISO par fil ou wireless) Objet intelligent ( et quelle intelligence?) Internet des objets ( dit internet!) Acte volontaire de connexion Homme Objet de proximité d où NFC et pas Bluetooth etc. Sécuritaire de bout en bout ( avec authentification forte ) Biométrie exemple empreinte ( vivante / doigt coupé) Man in the middle, etc. etc. etc.... Voir Pierre Crégo! Vie privée Voir Nathalie Damiano!

«Form factor» des Objets NFC - fob / carte / badge / ticket / jeton / clés /clé USB / - avec clavier ayant une fonction oui/non - avec clavier et écran - avec clavier + écran + intelligence - avec clavier + écran + intelligence + autres RF - couteau suisse incluant.. + WiFi, Bluetooth, Zigbee, capteur image, position, accélération, gyro, mouvement, compas, proximité, température, humidité, baromètre, machine à café, brosse à dent, etc. et re etc. - Bref, The Ultimate Man Machine Interface

The Ultimate Man Machine Interface vous les avez tous reconnu!!! Les «SmartPhones» et les «Tablettes» NFC! + toutes les autres connexions (WiFi, Bluetooth, UHF, etc.)

NFC Device : borne Emulation card, Device-to-Device Reader Contactless Card / Tag 1

Exemple : Carte à puce sans contact La carte à puce sans contact n est pas NFC!!!! Elle est seulement ISO 14 443! Par contre : - Un NFC device Initiator en mode «reader/writer» est capable de lire une carte au standard ISO 14 443 - Un NFC device en mode «émulation carte» est (presque) une carte au standard ISO 14 443

Usages NFC en objets connectés et IoT NFC device Mode de fonctionnement Fonctions de l objet connecté Applications Exemples «Tag simple» Validations simples Etiquettes, Badges (industries, etc.) «Emulation Carte» Style ISO 14 443 «Reader» Lecture / Ecriture Validations sécurisées avec possibilité de fonction paiement Lectures et rechargements (tous champs) Lecture d objets Lutte anti Contrefaçons, etc. «Peer to Peer» Echanges de données Wearables (Montres, Bracelets, etc.) (sport, santé, etc.)

NFC en plus du reste! Ergonomie applicative Inter opérabilités NFC Privacy PIA, CNIL, etc. Sécurité SE, crypto Authen. forte 22

Les soucis ordinaires et ergonomie quotidienne et quelques conclusions à méditer

Mélanges et confusions de normes mais en fait très différentes A ce jour, pour suivre la mode ambiante, trop de personnes baptisent tout NFC (plus facile à prononcer que «carte à puce sans contact ISO 14 443»!) ce qui crée sans arrêt une grande confusion sur le terrain. Souhaitons que la Direction Générale de la Concurrence, de la Consommation et de la Répression des Fraudes mette son nez làdedans au plus tôt pour éviter les publicités mensongères qui trompent le consommateur que nous sommes tous!!

Conformités et certifications Pour savoir si des produits sont dignes de porter le nom de «NFC» il faut les tester dans des laboratoires indépendants accrédités en France par le COFRAC, et des experts/auditeurs - si nécessaire, pour les couches «Hautes» de l OSI selon les laboratoires «propriétaires» du NFC Forum

Ergonomie de présentation du NFC device

Validation : Où tape-t-on un code?!? - Sur le clavier du (m)pos?? Le mobile phone est donc sur l écran et l antenne du (m)pos est autour de l écran (loading effect garanti!)?? - Sur l écran du (m)pos quand le mobile est au dessus de celui-ci et lorsque le mobile NFC est en émulation carte batterie out?? - Sur l écran du mobile phone (batterie on) et on ne voit plus l écran du (m)pos?? - Etc. et on vous en passe! Pour tous les aspects sécuritaires : voir Pierre Crégo!

Stacks Stack (empilement de targets sur l initiator) Fort detuning des cartes à cause de l empilement des cartes et des couplage lors de la présentation en stack (paiement rapide chez les commerçants et dans les transports)

Environnements hostiles applicatifs Loading effects (incidence de la target sur l initiator) L environnement métallique d un smartphone (boitier, écran, batterie, etc.) n a pas du tout la même incidence qu une simple carte à puce en plastic sur le champ magnétique produit par un Initiator, d où loading effect. De même, le facteur de forme du NFC Device a une très forte incidence sur le loading effect et ses performances

Exemples POS mpos sans (peu) loading effect (bout de plastique) avec loading effect (boitier, batterie, ferrite, ferraille)

Les timings (en mode d émulation carte) et compatibilités applicatives Lecteur NFC Polling du lecteur ISO A/B, CEN Gestion des collisions des targets HOST et liaison au Cloud Trouver et définir la bonne appli dans le host Recherche du réseau GSM si il y a! Se connecter au réseau Voir Jean Yves Cadorel Cloud Temps de transaction (échange token, crypto, etc.)

Interopérabilités applicatives On ne peut terminer cette présentation sans évoquer les problèmes d interopérabilités fonctionnelles entre branches applicatives. En effet les contraintes sectorielles des Banques (EMV) sont par beaucoup d endroits antinomiques de celles des Industriels, des Transports (AFIMB, CEN) ou bien encore de celles de l Automobile (EMC, Wireless Power), ou celles des politiques des Villes et Territoires, etc. et vice versa!

Mono NFC device A NFC device (ex: phone: one single communicating device) ISO NFC Forum EMVCo CEN PT Auto

Convergences Convergences entre spécifications ISO (CàP, NFC, IoT,etc.), NFC Forum, EMVCo, GSMA, CEN PT, Automobile on en parle, on travaille beaucoup dessus, ça arrivera, dans pas trop longtemps, au bon vouloir des (tous les) fabricants de téléphones mobiles, des fabricants d objets connectés/connectables et de publicités mensongères de certains! mais tout cela sort largement du cadre de cet exposé technique et c est une autre histoire!

Conclusions - Ce n est pas un exposé pessimiste, loin de là! - Tout ça est en train de résoudre! - Simplement, soyez lucide! - N employez pas le terme NFC à tort et à travers en IoT! - Respectez le terme «cartes à puces sans contact»! - Attention aux amalgames! - En NFC, différentiez bien les couches physiques de celles applicatives! - Attention de ne pas être «mensongeurs» dans vos publications! (c est très vilain.) - Bref, soyez des vrais pros du contactless et du NFC!

Dominique Paret?? «ex» PHILIPS/NXP SemiConductors ( que pendant 40 ans! ) Advanced Technical Support Mgr Emerging Business / Innovation & Systems Identification & Automotive Markets dp-, fondateur/cto depuis 2006 - société de Services (Expertises et Consultants) & Formations - 1+ 4 experts / consultants techniques réunis en une équipe indépendante de plus membre de l AFNOR, l ISO, le CEN pour toutes les applications «sans contact» (SC 17/ SC 31 / TC 23 / SC 6,, TC 228 ) et «automobile» (BNA, etc.) - expert / auditeur auprès du COFRAC et OSEO/BPI pour le «sans contact» - membre des groupes EESTEL, Pôle Compét., AFIMB GTRF Ministère Transport - enseignant dans de nombreuses (15) écoles d Ingénieurs (Bac+5 et +6) - membre des Conseils Scientifiques de plusieurs grandes écoles - 25 ouvrages tech. (éditions DUNOD, J. Wiley, ISTE, Paraninfo, Acorn, PHEI)

La Trilogie technique du NFC par Dominique PARET 220 pages 380 pages 350 pages avec Xavier Boutonnier & Youssef Houiti

Dominique PARET membre et expert contactless NFC à l ISO / CEN consultant et expert à EMV, NFC Forum & AFIMB vous remercie de votre attention! dp-consulting@orange.fr