Une faille reconnue même par Bibliothéca, le fournisseur des automates et des puces RFID des bibliothèques parisiennes et qui devrait coûter des centaines de milliers d'euros
Le système RFID a été installé à la Ville de Paris il y a huit ans déjà. Dans trois bibliothèques dans un premier temps, puis il a été étendu à d'autres établissements parisiens,bien que cette technologie soit loin de remplir tous ses objectifs : un système de vérification des documents qui ne fonctionne pas toujours, des logiciels défectueux, un matériel fragile, un système antivol peu fiable, le tout pour un coût toujours très élevé. L'administration en charge de son installation et qui en vantait ses nombreux mérites se garde bien d'en faire le moindre bilan.
C'est donc une véritable petite bombe que vient de lâcher la revue spécialisée Le Virus Informatique. Dans son numéro 27, daté de février 2016, ces spécialistes révèlent rien moins que les failles de sécurité des puces RFID et le coût que cela va engendrer pour réparer ces defaillances (voir ici). Pour prouver leur dire, ces informaticiens se sont appuyés sur des données accessibles publiquement. Bon, à la lecture de l'article faut quand même être un familier des AEAS, des AFI, des MHz, des ICODE SLI ou encore des BasicCards double interfac mais la démonstration est imparable.
D’après eux, il est non seulement possible de se fabriquer une fausse carte de lecteur (avec les données d'un véritable usager) en récupérant une puce d’un bouquin, mais ce sont surtout les antivols qui sont facilement désactivables pour ces spécialistes des nouvelles technologies. « On l’a bien vu, les protections antivols uniquement basées sur les fonctions EAS ou AFI sont d’une terrible faiblesse et rien n’empêche de les désactiver sur place avec un ordinateur portable (généralement bienvenu en salle de lecture !) équipé du lecteur had hoc » précise tout de go la revue. Et les journalistes du Virus informatique d’interroger la société BIbliothéca désormais hégémonique sur ce secteur après avoir absorbée son concurrent 3M pour connaître leur position. Et là, surprise...
« La norme française est assez simpliste, il est très aisé de cloner ou de modifier des données via un simple mobile équipé en NFC avec la bonne application » reconnaît ainsi penaude Bibliothéca. Toutefois, le fournisseur en RFID affirme qu'une norme supérieure de sécurité est déjà disponible. Petit problème néanmoins selon le leader du secteur, celle-ci « n'est pas encore appliquée officiellement en France ». Mais BIbliothéca se dit prête à mettre en œuvre cette nouvelle technologie « qui rendra caduque le clonage ».
Une affirmation qui laisse pantois les observateurs car comme le rappelle la revue « il semble surprenant que des bibliothèques dernier cri inaugurées en 2015 aient dépensé des centaines de millions d’euros pour lui faire pucer leurs collections avec ces normes obsolètes les exposant ouvertement à un pillage en règle ». « Comment expliquer un tel immobilisme ? » s’alarme Le Virus Informatique. Bonne question.
La réponse pourrait faire mal aux finances parisiennes (et des autres collectivités locales) car selon les spécialistes, il faudrait alors remettre la main à la poche pour réencoder tous les documents selon la nouvelle norme. Et la facture devrait se chiffrer en plusieurs centaines de milliers d'euros. Une bonne affaire sans doute pour Bibliothéca mais certainement pas pour les bibliothécaires dont les budgets sont en diminution constante. Mais au fait, qu'en pense la Ville de Paris ? Désormais, la question lui est publiquement posée.
/image%2F1490180%2F20201216%2Fob_e28a31_nadine-revu.jpg)
/image%2F1490180%2F20201216%2Fob_fd34f4_logo-rond-fond.jpg){kind=logo}
