02.02.09

Des dispositifs de radio-identification et les aiguilles nécessaires à leur implantation sous la peau. 

SANTE - Un rapport se veut rassurant, mais évoque des pistes qui invitent à la méfiance...

Il y a fort à parier que vous vous promeniez toute la journée avec au moins une puce RFID sur vous. Sur votre passe Navigo ou votre carte bancaire, ou sur l'étiquette d'un produit de consommation par exemple, puisqu'il s'agit d'un dispositif de radio-identification (Radio Frequency Identification). La bonne nouvelle, c'est que, selon une étude publiée ce lundi par l'Agence française de sécurité sanitaire de l'environnement et du travail (Afsset), elles n'engendrent «la plupart du temps» qu'une exposition très faible au champ électromagnétique, moins toxique qu'un téléphone portable.

Rassurant, le rapport de l'Afsset? Pas si sûr. D'abord parce que l'enquête conclut nos connaissances en la matière, «ne permettent pas à ce jour, d'établir l'existence d'un risque sanitaire lié à l'exposition aux champs électromagnétiques émis par les systèmes RFID», sans pour autant l'écarter formellement. Ensuite, parce que le document fait état de certaines situations professionnelles, avec exposition continue, et à faible distance, aux émissions produites par ces puces, pour lesquelles les risques restent à évaluer.

Mouchard implanté dans le corps humain

De plus, si l'agence conclut que «les valeurs moyennes sont toujours en deçà des valeurs limites», elle note qu'il convient de «poursuivre la veille scientifique». La raison? Une possible incompatibilité avec «des dispositifs médicaux implantés», comme les pace-makers. Les experts conseillent donc de revoir les normes pour «rendre possible l'évaluation de l'exposition par des laboratoires de certification» et insistent sur la nécessité de «sensibiliser les constructeurs à la question de l'exposition des personnes».

Dernière recommandation, sans doute la plus inquiétante: «S'intéresser aux effets psychologiques potentiels liés au développement de ces technologies (...) notamment dans les cas des puces RFID implantables dans le corps humain». Un cas de figure, envisagé par les responsables du rapport, qui n'a rien de fantaisite. Après les bracelets pour nouveaux-nés, qui les utilisent, on envisage l'emploi du mouchard pour tracer les délinquants anglais. L'engin, en tout cas, est déjà prêt.

 

02/2009

A partir de cet été, les Etats-uniens auront besoin de passeports pour voyager au Canada, au Mexique, aux Bermudes et dans les Caraïbes, à moins qu’ils ne disposent de “passport cards” ou d’un permis de conduire amélioré que les Etats de Washington et New York ont commencé à offrir cette année. Valides seulement pour les voyages terrestres et maritimes, ces nouvelles formes d’identification sont des alternatives moins onéreuses qu’un passeport pour les personnes qui ne voyagent pas par avion (*).

Mais l’unanimité autour de ces nouveautés n’est pas acquise. Les “passport cards” et les permis améliorés contiennent en effet des puces RFID (radio frequency identification) qui permettent une lecture à distance. L’idée étant d’offrir aux agents gouvernementaux un accès instantané aux données biométriques, à la photo et aux informations criminelles ou terroristes des citoyens afin d’améliorer l’efficacité des contrôles aux frontières. Les technologies RFID ont cependant soulevé quelques inquiétudes depuis leur apparition au début des années 2000. Les nouveaux permis et “passport cards” utilisent des technologies similaires, revues et approuvées par le Department of Homeland Security. Les puces utilisées, dénommées EPC (electronic product code), sont semblables à des codes barre, peu coûteuses et peuvent être lues jusqu’à 45 mètres.

Bien que ces cartes ne stockent pas d’informations personnelles, certains estiment que le simple stockage d’un numéro unique d’identification soulève des problèmes de respect de la vie privée. Des lecteurs RFID courants, tels que ceux utilisés pour la gestion des inventaires, pourraient en effet être capables de lire les informations contenues sur ces cartes et celles-ci pourraient être utilisées pour traquer les habitudes de consommation et surveiller la durée de présence du porteur d’une telle carte dans des magasins. Bien que d’autres cartes puissent également être lues à distance pour suivre des individus, les puces EPC sont davantage controversées puisque identifiables à bien plus longue distance.

Les passeports classiques étatsuniens contiennent également des puces RFID mais la technologie utilisée est moins susceptible aux problèmes de respect de la vie privée puisque les passeports doivent être lus à courte distance et un système de sécurité oblige les agents à recourir à un scanner optique pour lire des caractères sur le document afin d’avoir accès aux données personnelles stockées sur la puce. Les autorités de l’Etat de Washington ont interdit la lecture des puces contenues sur les pièces d’identité sans l’autorisation des propriétaires et assurent que des pochettes de protection sont fournies avec les cartes pour les protéger des signaux radio afin de compliquer la tâche des lecteurs inopportuns. Mais des études montrent que les pochettes ne fonctionnent pas toujours et que les propriétaires de carte les perdent parfois.

Le respect de la vie privée n’est cependant pas le seul enjeu. La lecture non autorisée pourrait également menacer la sécurité aux frontières. S’il est aisé de récupérer des identifiants, il est alors relativement simple de contrefaire des cartes en chargeant un identifiant volé sur une carte vierge. Si chaque puce disposait également d’un unique numéro de série correspondant à l’identifiant stocké, la falsification serait plus compliquée mais ni les permis améliorés de l’Etat de Washington ni les “passport cards” ne sont équipés de cette outils de sécurité supplémentaire.

Les pièces d’identité délivrées par l’Etat Washington sont également sujettes à un autre type d’attaque : les puces EPC pouvant être désactivées lorsqu’un lecteur envoie une requête “kill”. Bien que chaque puce soit conçue pour être protégée par un code PIN n’autorisant que les lecteurs connaissant le code à envoyer la requête, l’Etat n’a pas initialisé de code PIN sur les puces distribuées, permettant à chaque possesseur de lecteur RFID de détruire des cartes. Si les agents protégeant les frontières effectuent des contrôles soignés et vérifient la correspondance entre photos stockées dans les base de données et photos imprimées sur les cartes, il ne devrait pas y avoir trop d’erreurs mais la nature humaine a tendance à rendre moins vigilant lorsqu’on peut se reposer sur la technologie.

Aucune étude indépendante n’a encore été publiée sur l’évaluation des nouveaux permis de l’Etat de New York mais les cartes ne sont pas confrontées à toutes les menaces pesant sur les cartes fédérales et celles de l’Etat de Washington puisqu’elles disposent de numéros de série pour les protéger de la contrefaçon et leur mémoire a tété verrouillée pour empêcher l’usage de commandes non autorisée de la part de lecteurs RFID. Les failles de protection de la vie privée sont cependant les mêmes que pour les autres cartes et cela ne semble pas inquiéter les autorités. L’ajout de boutons d’activation/désactivation sur les puces pourrait apporter une meilleure protection de la vie privée mais induirait certainement un coût supplémentaire pour la fabrication des cartes.

Tant que ces problématiques ne seront pas prises en comptes par les autorités étatiques et fédérales, il est peu probable que l’usage de technologies puisse offrir une meilleure protection des frontières sans mettre en danger la vie privée de millions de personnes. Ce déploiement de technologies, encore soumises à des problèmes de sécurité, à grande échelle avec un objectif si important peut également être rapproché de l’expérience du vote électronique qui a connu et connait encore des problèmes similaires à cause d’initiatives un peu hâtives.