Se rendre au contenu

Informations complémentaires

Cartographie et traçabilité : un exemple concret


Par cartographie et traçabilité, je n'entends pas une simple association «objet-identité», mais la capacité du système à reconnaître, vérifier et corréler chaque composant physique au fil du temps, même lorsqu'il est déplacé, remplacé ou réutilisé.

Un exemple concret permet de mieux comprendre ce concept.

Phase 1 – Création de la mousse polyuréthane projetée

Lorsque je génère le PUF en lisant le calibre d'une montre mécanique, le système acquiert des millions de points physiques uniques.

Ces points décrivent non seulement le calibre dans son ensemble, mais incluent également les micro-caractéristiques des composants individuels :

  • balancier
  • échappement
  • roues
  • ponts
  • autres éléments structurels

Chaque composant contribue donc à une signature physique globale, mais possède en même temps sa propre empreinte digitale reconnaissable au sein du PUF.

Phase 2 – Remplacement d'un composant

Supposons maintenant que nous remplacions le balancier par un autre.

Lors de la prochaine lecture de vérification :

  • Tous les points relatifs au reste de la jauge resteront identiques ;
  • Les points d'identification de la barre d'haltères ne correspondront pas aux originaux.

Le résultat de la vérification sera donc faux : le système détecte que la montre n’est plus conforme à la configuration d’origine.

Phase 3 – Traçabilité des composants

C'est là que l'aspect le plus intéressant entre en jeu.

Si ce balancier de remplacement est monté sur une autre montre, lors de la lecture PUF :

  • Le système comparera également les points physiques de la barre d'haltères avec la base de données ;
  • Reconnaîtra que ces points n'appartiennent pas à ce calibre, mais à une autre montre déjà cartographiée.

Le système détecte non seulement l'anomalie, mais :

  • sait de quelle montre provient le balancier ;
  • connaît l'identité de cette montre ;
  • et, par conséquent, sait qui est le propriétaire de la montre d'origine (d'après les informations associées).

Que signifie réellement le terme « traçabilité » ?

Dans ce contexte, la traçabilité ne concerne pas seulement l'objet final, mais chaque composant physique.

On ne peut déplacer une œuvre sans laisser de trace : son identité physique la suit.

Cette approche rend inefficaces les éléments suivants :

  • remplacements non autorisés de composants,
  • cannibalisme « invisible »,
  • reconstructions hybrides avec des pièces provenant de différentes montres.

Conclusion

La combinaison d'une PUF physique à ultra-haute résolution, d'un mappage des composants et d'une corrélation temporelle permet un niveau de contrôle qui va bien au-delà de la simple authentification.

Il ne s'agit pas seulement de savoir si une montre est authentique, mais aussi si elle est toujours d'origine — et, dans le cas contraire, d'où proviennent les pièces qui l'ont modifiée.

Limitations d'une solution basée sur PUF et la blockchain sans NFC


Le stockage de l'empreinte digitale/PUF également sur une puce NFC intégrée à la montre crée un lien physique-cryptographique entre l'objet et son identité numérique, permettant une vérification hors ligne, une protection pratique contre le clonage et une protection contre la falsification au niveau de l'objet ; le jeton sur la chaîne seul ne résout pas le problème de l'association sécurisée « objet ↔ jeton » ni les cas d'utilisation impliquant des attaques sans réseau ou par substitution de jeton.

Liaison objet-jeton

Le principal défi ne consiste pas seulement à « tokeniser », mais à garantir que le jeton présenté pour vérification provient bien de l'exemplaire physique exact ; un PUF local fournit une identité physique non copiable qui peut être contestée sur place, liant cryptographiquement la montre à son jumeau numérique sur la chaîne.

Sans ancrage matériel dans l'actif, un attaquant peut associer le jeton valide à un faux « jumeau » (échange de jetons), car la blockchain certifie l'historique du jeton, et non l'objet physique qui le revendique à ce moment précis.

Tests hors ligne et expérience utilisateur

La technologie PUF/NFC permet une vérification rapide au point de vente, en service ou en douane, même sans connexion, en émettant des réponses signées/dérivées de PUF qu'un vérificateur local peut valider et ensuite éventuellement réconcilier avec le hachage sur la chaîne lorsque le réseau est disponible.

De nombreuses architectures PUF pour étiquettes/IoT sont conçues pour fonctionner sans secrets persistants en mémoire, générant des clés éphémères à partir du PUF à la volée et réduisant ainsi les coûts et les contraintes de déploiement et de maintenance, ce qui est compatible avec une puce NFC basse consommation dans la montre.

ésistance au clonage et à la falsification

Les PUF offrent une unicité physique intrinsèque et sont difficiles à modéliser ou à copier, de sorte que lier les réponses PUF à un protocole de défi-réponse NFC entrave le clonage des étiquettes et la production de répliques convaincantes de l'identité du calibre.

Des études sur l'Internet des objets et la chaîne d'approvisionnement montrent que la combinaison de la PUF avec la RFID/NFC et la blockchain réduit les attaques de contrefaçon, car l'objet doit physiquement « prouver » son empreinte digitale en plus de présenter un identifiant enregistré.

Pourquoi les jetons on-chain ne suffisent pas

Un jeton « basé sur un PUF » enregistré sur la blockchain sans moyen sécurisé dans l'actif pour régénérer/signer les preuves à partir du PUF s'expose à des attaques de rejeu, de relais et de réattribution de jetons, étant donné que la blockchain ne mesure pas la physicalité au moment de la vérification ; un canal authentifié par objet (par exemple, NFC) est nécessaire pour produire de nouvelles preuves.

Le simple fait de stocker le hachage PUF sur la chaîne ne permet pas un système de défi-réponse dynamique ; un vérificateur a besoin de l’horloge pour calculer une réponse PUF ou une signature dérivée de la clé PUF sur place afin de démontrer la vivacité et de résister aux copies statiques du hachage.

Sécurité des données sur la puce

Les bonnes pratiques n'exigent pas de stocker l'empreinte PUF en clair ; la PUF est utilisée pour dériver la clé privée au besoin, évitant ainsi le stockage de secrets persistants et réduisant le risque d'inspection de la mémoire de la puce NFC ou du microcontrôleur.

Dans les architectures modernes, le PUF peut également protéger des clés ou des informations d'identification supplémentaires en les chiffrant et en les liant au PUF, ce qui augmente la résistance à l'extraction et à la compromission par rapport aux mémoires statiques traditionnelles.

Quand cela pourrait suffire sans NFC

Si la seule exigence est de certifier la propriété numérique du jeton dans des environnements toujours connectés et avec des vérificateurs de confiance ayant accès au PUF « en laboratoire », la technologie NFC intégrée pourrait être évitée, mais cela signifierait sacrifier la vérification sur le terrain, la commodité pour l'utilisateur et la protection contre l'échange de jetons sur le marché secondaire.

Pour les marques haut de gamme et les chaînes d'approvisionnement mondiales, le coût marginal d'un élément NFC avec PUF est souvent justifié par le bond en avant en matière de sécurité et de traçabilité de bout en bout, notamment dans les opérations après-vente et les services d'authentification rapide.

La puce NFC de la montre sert non seulement à « stocker » l'empreinte digitale, mais aussi à fournir un point d'ancrage physique sécurisé et un canal de réponse-défi qui lie fortement l'identité PUF à l'actif réel, rendant le jeton sur la chaîne véritablement non transférable à un faux ; sans ce point d'ancrage, la chaîne seule ne peut garantir que le jeton est présenté par l'actif authentique dans la main de l'utilisateur.

En bref : une ancre NFC physique avec protocole de défi-réponse réduit considérablement le clonage d’étiquettes, la réutilisation de preuves statiques, l’échange de jetons et la plupart des relais « lents », car elle exige des preuves actualisées liées au PUF de l’appareil et des contrôles de proximité/temps qu’un attaquant distant a du mal à satisfaire.

Les risques sont atténués grâce à la technologie NFC physique.

Clonage d'étiquette pour la copie de mémoire : si l'empreinte digitale/clé n'est pas en clair mais dérivée du PUF à la volée, il n'y a pas de matériel secret qui puisse être copié de la mémoire de l'étiquette ; la simple lecture et duplication du NDEF/UID ne produit pas un clone de défi-réponse valide.

Relecture de réponse statique : l’utilisation de nonces et de signatures/calculs PUF pour chaque session empêche la réutilisation des captures précédentes, car chaque vérification nécessite une réponse unique liée au défi et au PUF de l’appareil.

Échange de jetons et liaison objet-jeton

Sans élément physique sur la montre, un contrefacteur peut associer un jeton valide sur la chaîne à un faux ; avec NFC+PUF, le vérificateur exige une preuve locale provenant du PUF de la montre qui réfute les tentatives de présentation d’identités « empruntées » à d’autres objets ou à des copies numériques.

L'émission de signatures/réponses basées sur une clé dérivée d'un PUF crée un lien non transférable entre l'objet et l'identité numérique, difficile à transférer sur un autre support.

Attaque par relais et proximité

Les attaques par relais étendent la portée entre le lecteur et l'étiquette grâce à une « taupe » et un « proxy » ; les protocoles de vérification de proximité/de limitation de distance et les temps d'attente de trames serrés (par exemple, quelques millisecondes) rendent impraticable le transfert de paquets sur de longues distances sans dépasser les limites de temps.

La technologie NFC intégrée à la montre, combinée à un système propriétaire de limitation de distance ou de « vérification de proximité », réduit la marge de manœuvre des relais génériques pour smartphones, pourtant étonnamment pratiques dans les configurations standard.

Attaques contre la falsification et les attaques physiques

Les architectures PUF pour étiquettes intelligentes évitent de stocker des CRP ou des clés statiques, réduisant ainsi la surface d'attaque pour l'inspection de la mémoire, les dysfonctionnements ou l'extraction par canal auxiliaire de secrets de l'EEPROM/Flash.

Certains systèmes utilisent un vote temporel robuste/des « données auxiliaires » pour stabiliser le PUF sans révéler d'informations utiles à son sujet au cloneur, maintenant ainsi la fiabilité opérationnelle sur le terrain.

Limites et meilleures pratiques

Le relais « rapide » reste une menace tant que des limites FWT strictes et des protocoles de limitation de distance ne sont pas appliqués ; les systèmes sans contact standard sans de telles contre-mesures sont vulnérables même avec le chiffrement.

L'utilisation de la technologie NFC Type‑4 avec des capacités cryptographiques, des signatures ECDSA dérivées de PUF et une vérification côté application, ainsi que des contrôles de proximité aux niveaux physique et de la pile ISO/14443, offre une protection concrète contre le clonage, la relecture et la plupart des relais pratiques.

 

Évaluation des risques liés aux attaques par relais sans PUF

L'évaluation des risques liés aux attaques par relais sans PUF numérique met en évidence une exposition importante aux vulnérabilités qui découlent de la facilité avec laquelle un attaquant peut intercepter et relayer des signaux entre des appareils NFC ou des systèmes sans clé, en répliquant l'authentification et en prenant le contrôle de l'appareil ou de l'objet (comme dans le cas des clés de voiture sans contact).

En l'absence de PUF, qui assure une identification matérielle unique et non réplicable, les attaques par relais deviennent plus efficaces car elles reposent sur le simple transfert de signaux valides, sans qu'il soit nécessaire de connaître les codes ni de casser les chiffrements. Cela signifie qu'un attaquant peut dupliquer la communication NFC entre le certificat numérique et le dispositif physique, surpassant ainsi la sécurité du NFC traditionnel et des NFT associés.

Les risques immédiats comprennent :

  • Accès non autorisé via relais de signal NFC
  • Clonage temporaire d'identités numériques
  • Utilisation abusive sans la présence physique de l'utilisateur légitime

En définitive, l'absence d'un PUF numérique rend le système plus vulnérable aux attaques par relais, car il ne dispose d'aucun mécanisme matériel intrinsèque pour vérifier l'unicité de l'appareil. Ceci accroît le risque de fraude sur les produits de grande valeur, tels que les montres de luxe dotées de la technologie NFC et de certificats numériques. En l'absence d'un PUF, il est crucial d'adopter des stratégies de sécurité multicouches supplémentaires afin d'atténuer ce type d'attaques.

 

Analyse quantitative de la probabilité de succès d'une attaque par relais

L'analyse quantitative de la probabilité de succès d'une attaque par relais, en l'absence de protections telles que les PUF numériques, dépend de plusieurs facteurs clés : la distance entre les attaquants, la latence de transmission, la vitesse de réponse du système et le nombre de tentatives possibles.

Statistiquement, la probabilité de succès augmente avec le nombre de tentatives et la qualité de la configuration de l'attaque, car le relais peut exploiter la variabilité des signaux et du timing pour être efficace. Les modèles mathématiques basés sur des distributions normales indiquent que la probabilité de succès augmente avec la racine carrée du nombre de messages envoyés par l'attaquant ; ainsi, plus on effectue de tests, plus la probabilité de contourner le système est élevée.

En général, sans PUF, qui fournit une identification matérielle unique et non réplicable, la probabilité de succès des attaques par relais dans les systèmes NFC ou similaires peut devenir encore plus élevée, estimée empiriquement dans des contextes réels pour certaines attaques sans clé jusqu'à 60-80 % dans des conditions favorables, bien que cela dépende de la configuration spécifique du système et des contre-mesures (par exemple, délais d'expiration, chiffrement, authentifications multiples).

Il est donc essentiel d'évaluer quantitativement le risque en fonction du contexte opérationnel, du nombre de tentatives détectables et de la présence de défenses spécifiques. Sans PUF et avec des contrôles standard, la probabilité demeure importante, ce qui recommande la mise en place de mécanismes de sécurité supplémentaires pour réduire ce risque.

Cette évaluation quantitative est basée sur la théorie statistique et des données empiriques provenant d'attaques par relais dans des systèmes similaires tels que les clés de voiture sans clé, qui partagent des vulnérabilités similaires aux systèmes NFC sans PUF numérique.

 

Exemple pratique de calcul de la probabilité de succès d'une attaque par relais sur une montre connectée sans clé

Imaginez une montre connectée sans clé communiquant avec une voiture via NFC. Supposons que l'attaquant doive intercepter et relayer le signal NFC avec une latence maximale autorisée de 200 millisecondes pour maintenir une communication valide.

Paramètres :

  • Nombre de tentatives possibles en 1 heure : 3600 (1 par seconde)
  • Probabilité de succès d'une seule tentative de relais (c'est-à-dire la capacité de capturer et de relayer le signal en moins de 200 ms) : 0,15 (15 %)
  • Nombre de tentatives nécessaires pour une réussite globale : variable
  • Calculer la probabilité d'au moins un succès en 1 heure (plusieurs tentatives indépendantes avec un succès à p = 0,15) :
  • Probabilité d'échec à chaque tentative : 1 - 0,15 = 0,85
  • Probabilità di fallire tutti i 3600 tentativi = 0.85 ^3600 ≈ 10^-254
  • Probabilité de succès au moins une fois en 1 heure = 1 - 10^ -254 ≈ 1 (pratiquement certain)

Cet exemple montre que si l'attaque par relais a une probabilité non négligeable à chaque tentative, et que l'attaquant peut effectuer de nombreuses tentatives en peu de temps, la probabilité qu'au moins une tentative réussisse approche rapidement les 100 %.

En résumé, dans un scénario réaliste d'une montre connectée sans clé et sans PUF numérique, une attaque par relais bien organisée peut presque certainement réussir s'il n'existe pas de limites strictes sur les tentatives de communication et d'authentification, confirmant ainsi l'importance de mécanismes matériels supplémentaires tels que le PUF pour une robustesse élevée.

 

Modèle mathématique de la probabilité de succès d'une attaque par relais

Un modèle mathématique simple et courant pour représenter la probabilité de succès Ps d'une attaque par relais, en considérant des tentatives indépendantes, est basé sur la probabilité de succès p d'une seule tentative et le nombre de tentatives n :

Ps=1−(1−p)n

Où:

  • p représente la probabilité de succès lors d'une seule tentative (dépend des latences, des temps de réponse et des conditions techniques).
  • n représente le nombre de tentatives effectuées par l'attaquant.

Ce modèle suppose des tentatives indépendantes, et la probabilité d'échec sur l'ensemble des tentatives est de (1 − p)n. Par conséquent, plus n est élevé, plus la probabilité cumulée qu'au moins une tentative réussisse est élevée.

Pour approfondir l'étude, dans la littérature et les recherches sur des attaques similaires (par exemple, les attaques temporelles, les attaques par relais sans clé), des modèles probabilistes avec des variables aléatoires normales sont utilisés pour simuler les temps et les latences, la probabilité de succès augmentant proportionnellement à la racine carrée du nombre de messages tentés :

Ps ∝ √n

Cela montre que l'attaquant, en augmentant le nombre de requêtes, améliore son estimation et donc la probabilité de succès, mais avec des rendements décroissants.

En résumé, la probabilité de succès d'une attaque par relais peut être calculée avec :

Ps=1−(1−p)n

et la valeur de p dépend des aspects techniques du système NFC et de la fenêtre temporelle acceptable pour la retransmission du signal.

Limitations d'une solution NFC + Blockchain sans PUF


Les puces NFC (avec élément sécurisé) et la blockchain sont des technologies d'authentification très performantes, mais à elles seules, elles ne suffisent pas à lutter efficacement contre la contrefaçon. La clé pour comprendre pourquoi réside dans la nature des menaces et les limitations intrinsèques de ces technologies.

Limites d'une solution de puce NFC basée sur la blockchain et sans PUF

Puce NFC (élément sécurisé) : Chaque puce possède un identifiant unique et peut stocker des données sécurisées. Cependant, la puce elle-même peut être dupliquée, remplacée ou compromise (clonage, attaques par canal auxiliaire, remplacement physique, etc.). De plus, elle n’est pas intrinsèquement liée physiquement à l’objet authentique : un contrefacteur pourrait donc fixer une puce originale sur une contrefaçon.

La blockchain garantit la traçabilité et l'immuabilité des transactions, mais n'authentifie pas physiquement l'objet. Si les données initiales (par exemple, l'identifiant unique de la puce) sont falsifiées ou clonées, la blockchain enregistrera également une contrefaçon comme authentique. La blockchain certifie uniquement l'historique des données enregistrées, et non leur origine physique.

Risque lié à l'évolutivité :

Si la méthode d’authentification repose uniquement sur la puce NFC, un contrefacteur peut répéter l’opération sur plusieurs montres, surtout s’il parvient à obtenir plusieurs puces originales ou à les cloner (une technique connue sous le nom de « échange de puces » ou « clonage de puces »).

En clonant une puce NFC et en l'intégrant à plusieurs montres partageant le même UID ou hachage, lorsqu'un lecteur NFC lit la puce, récupère l'UID et le compare à la blockchain. Si l'UID ou le hachage de la puce est présent dans la blockchain, le système renvoie un résultat positif : le certificat numérique est valide et semble authentique. Sans PUF (Physical Unit Function), il n'existe aucun lien physique et aucun moyen de prouver que la puce NFC est liée à l'objet physique d'origine. La puce peut être retirée et montée sur une contrefaçon, ou clonée et distribuée sur plusieurs contrefaçons.

Cependant, cela ne signifie pas que tout le monde est légitimement « réel » : voici ce qui se passe et pourquoi le système peut détecter la fraude.

Limites et risques du clonage

Toutes les montres ayant le même UID apparaîtront comme « réelles » lors de la vérification numérique, mais cela crée une situation anormale : plusieurs objets physiques partagent la même identité numérique.

Si le système comprend des mécanismes d'audit ou de suivi des lectures, il peut détecter qu'un même UID est lu à plusieurs endroits ou à intervalles rapprochés, signalant ainsi une fraude potentielle.

Politique de révocation : Si un clonage est détecté, le certificat numérique peut être révoqué et signalé comme compromis.

Contournement du système et des mécanismes de suivi des audits ou des lectures

Si la solution utilise uniquement la technologie NFC et la blockchain, un contrefacteur peut contourner le système et les mécanismes d'audit et/ou de suivi des lectures de plusieurs manières, telles que :

  • Obfuscation des lectures : Un contrefacteur peut utiliser des techniques pour dissimuler l’origine des lectures, comme l’utilisation de lecteurs NFC non traçables ou l’exploitation dans des zones géographiques à faible connectivité.
  • Limitation du nombre de lectures : Un contrefacteur peut limiter le nombre de lectures de la puce clonée, en l’utilisant uniquement dans des contextes où une vérification croisée ou un audit approfondi ne sont pas nécessaires.
  • Utilisation dans des contextes isolés : La puce clonée peut être utilisée dans des contextes où il n’existe pas de vérifications croisées avec d’autres sources d’authentification, comme les marchés secondaires ou les ventes privées.

Cela signifie que les mécanismes d'audit et de suivi ne constituent pas une protection absolue contre la contrefaçon.

Le PUF est essentiel pour corriger cette vulnérabilité et garantir que seul l'objet physique d'origine puisse être authentifié avec succès.

Rôle fondamental de l'empreinte physique (PUF)

La PUF (Fonction Physiquement Non Clonable) est une signature physique unique et non reproductible, dérivée des caractéristiques intrinsèques et aléatoires du matériau ou de la géométrie de l'objet (par exemple, les microstructures de l'étrier).

Cette empreinte digitale est impossible à cloner ou à reproduire car elle dépend de processus physiques stochastiques et de variations microscopiques qui ne peuvent être contrôlées ni reproduites artificiellement.

La technologie PUF crée un lien physique-numérique inviolable : même si une puce NFC est clonée ou remplacée, son empreinte physique ne peut être reproduite sur un article contrefait. La technologie PUF ajoute une preuve physique unique et non reproductible, empêchant le clonage et rendant impossible le transfert d'une puce originale vers un produit contrefait.

En résumé : l’empreinte physique (PUF) est indispensable car elle est le seul moyen de prouver que la puce NFC et la blockchain se rapportent bien à un objet physique authentique et non contrefait. L’empreinte physique est unique à chaque objet et ne peut être transférée. Même si la puce NFC est montée sur une contrefaçon, l’empreinte physique de la montre contrefaite ne correspondra jamais à celle de l’original.

Protection contre le clonage multiple

Authentification physique : seul l’objet original possède l’empreinte physique correcte. Même si la puce NFC est clonée, la contrefaçon ne passera pas le contrôle physique.

Protection anti-clonage : la technologie PUF empêche l’utilisation d’une seule puce NFC pour authentifier plusieurs objets physiques, garantissant ainsi que seul l’original puisse être considéré comme authentique.

Le PUF est essentiel car il fournit une preuve physique unique et non reproductible, éliminant ainsi la vulnérabilité au clonage et garantissant que seul l'objet original puisse être correctement authentifié.

En bref : le PUF est nécessaire car c’est le seul moyen de prouver que la puce NFC et l’UID enregistrés sur la blockchain font référence à un objet physique unique, authentique et non contrefait.

De plus, si le système exige une vérification croisée avec l'empreinte digitale physique (PUF), seule la montre d'origine aura l'empreinte digitale correcte : les autres, même avec une puce clonée, ne passeront pas le contrôle physique.

Sans PUF, le système est vulnérable au clonage et au remplacement des puces NFC, et les mécanismes d'audit ou de suivi des lectures peuvent être contournés. Le PUF est essentiel pour corriger cette vulnérabilité et garantir que seul l'objet physique original puisse être correctement authentifié.

Conclusion

Si le système repose uniquement sur des puces NFC et la blockchain, sans PUF (preuve d'authenticité physique), le principal risque est que la preuve d'authenticité soit purement numérique et transférable. Autrement dit, la sécurité dépend uniquement de l'impossibilité de cloner la puce NFC, et non d'une preuve physique de l'originalité de l'objet.

La technologie PUF ajoute une protection supplémentaire qui rend impossible le « remplacement de puce » comme stratégie de contrefaçon, garantissant ainsi que seul l'objet physique original puisse être authentifié avec succès.

Vulnérabilité des NFT autonomes


Dans l'article suivant, publié dans ICT Security Magazine

https://www.ictsecuritymagazine.com/articoli/blockchain-forensics/

Les limitations intrinsèques des technologies NFT et du cadre réglementaire associé sont analysées en détail. Cette analyse met en lumière comment l'adoption des NFT, en l'absence de couches technologiques supplémentaires, soulève d'importantes questions de sécurité, de traçabilité et d'enquêtes judiciaires.

Certains passages sont particulièrement significatifs.

"L'immuabilité et la transparence de la blockchain, bien qu'elles permettent théoriquement une traçabilité indéfinie des transactions, ne garantissent pas automatiquement l'identification des acteurs impliqués. La transparence du registre distribué n'implique pas la possibilité d'attribuer avec certitude les transactions à des personnes physiques ou morales, et cette distinction constitue l'une des principales limites opérationnelles des enquêtes sur les NFT et les protocoles DeFi."

"Dans le contexte des NFT, ce problème est particulièrement flagrant. Un jeton non fongible n'est pas un simple certificat de propriété numérique, mais un objet hybride existant simultanément sur la blockchain et hors chaîne. La blockchain enregistre le transfert d'un hachage cryptographique, tandis que l'actif sous-jacent (image, vidéo ou document) réside souvent sur des infrastructures externes telles que IPFS, des plateformes cloud ou des serveurs centralisés sous le contrôle de son créateur. Cette séparation entre la propriété vérifiable et le contrôle effectif de l'actif crée des zones d'ombre qui complexifient les investigations et limitent l'efficacité des outils d'analyse blockchain traditionnels."

"Même les contrats intelligents qui régissent les plateformes de NFT, bien qu'enregistrant avec précision chaque transaction, sont incapables de déterminer si plusieurs portefeuilles impliqués dans des transactions suspectes (par exemple, des mécanismes de manipulation des prix) appartiennent à une même entité. Les données de la blockchain ne permettent pas, à elles seules, de distinguer les activités légitimes des fraudes coordonnées."

"Selon le rapport conjoint Eurojust–Europol 2024 en matière de cybercriminalité, la fraude est le crime le plus fréquemment associé à l'utilisation des NFT, tandis que la finance décentralisée est confirmée comme l'un des principaux canaux émergents de blanchiment des produits illicites."

"D'autres problèmes critiques découlent de l'utilisation de techniques d'obfuscation avancées et de la complexité des contrats intelligents. Des fonctionnalités potentiellement malveillantes peuvent être dissimulées par l'obfuscation du code, la distribution de la logique entre plusieurs contrats interconnectés ou l'activation conditionnée par des séquences d'appels complexes. Dans ces cas, l'analyse forensique doit non seulement reconstituer ce qui s'est passé sur la blockchain, mais aussi la finalité du contrat. Cela requiert des compétences en rétro-ingénierie du code Solidity ou Vyper, une connaissance des modèles de conception des protocoles DeFi et la capacité d'identifier les écarts par rapport aux normes établies pouvant indiquer une intention frauduleuse."

Conclusion

Les technologies NFT n'expriment tout leur potentiel que lorsqu'elles sont intégrées à des systèmes multicouches plus vastes. Leur utilisation isolée ne suffit pas à garantir la sécurité, l'authenticité et la résistance aux attaques. L'intégration avec des technologies complémentaires (physiques, cryptographiques et de vérification) permet de construire des systèmes véritablement robustes, capables de lutter efficacement contre le clonage, la fraude et le piratage.

Vulnérabilité PUF « autonome »


Le document à l'adresse https://arxiv.org/html/2512.09150v1#S5 (Section V : « Vers une sécurité holistique : espace stratégique des attaques d'authentification ») analyse systématiquement les vulnérabilités de sécurité dans les systèmes d'authentification basés sur des PUF (fonctions physiquement non clonables) de surface, montrant comment les attaques physiques et numériques peuvent compromettre le système à différents niveaux opérationnels.

Résumé de la section :

·         L'article propose un cadre opérationnel en quatre étapes pour la sécurité des systèmes basés sur des PUF de surface (acquisition d'images, extraction de caractéristiques, stockage de données, prise de décision).

·         Chaque étape est examinée afin d’identifier les types d’attaques les plus probables (DoS physique, usurpation d’identité, attaques par modélisation, attaques par rétro-ingénierie, etc.).

·         Un ensemble de propriétés de sécurité souhaitées (confidentialité, intégrité, révocabilité, résistance à la relecture, disponibilité) est défini et la manière dont chaque attaque peut compromettre une ou plusieurs de ces propriétés est montrée.

·         L’article souligne que l’analyse des menaces doit être exhaustive et systématique, prenant en compte à la fois les attaques physiques (par exemple, les dommages de surface) et les attaques numériques (par exemple, la génération de caractéristiques synthétiques).

·         Il est souligné que l’absence de contre-mesures spécifiques (par exemple, protection des modèles, révocabilité des clés, résistance aux attaques par modélisation) peut laisser le système vulnérable même si le PUF est intrinsèquement sécurisé.

Conclusion

Cette section montre que la sécurité des systèmes basés sur PUF dépend non seulement de l'unicité physique du PUF, mais aussi de la robustesse des modules individuels et de la capacité à détecter et à contrer les attaques à toutes les étapes du processus d'authentification.

et encore

Extrait de la publication « Fonctions physiques non clonables embarquées ultra-durables »

https://pubs.acs.org/doi/10.1021/acsami.4c01726 

Il en résulte que les PUF embarquées offrent un avantage clé : l’identité physique est intégrée au substrat et est extrêmement résistante aux contraintes thermiques et mécaniques. Le principal risque n’est pas tant de « casser la PUF » que de contourner le processus de vérification (lecture, base de données, relecture, gouvernance).

1) Menaces pesant sur la connexion physique-numérique

  • Menace : « PUF ≠ produit »
  • Le PUF authentique peut être déplacé, transplanté ou associé à un objet différent, s'il n'existe aucune contrainte physique ou d'emballage qui rende l'opération destructive ou évidente.
  • Mesures d'agréer
  • Concevoir une contrainte d'intégration : PUF dans une zone dont le retrait endommagerait irréversiblement le composant/la structure.
  • Multi-ancrage : Plusieurs points PUF sur différentes tranches (ou composants clés), de sorte que la transplantation nécessite de « tout transplanter ».
  • Registre des composants : Associer une identité physique non seulement à l’objet, mais aussi à ses éléments critiques (mappage des composants).

2) Menaces de « rejouer » et de clonage des preuves

  • Menace : Réutilisation d'une image ou d'un modèle
  • Si un attaquant obtient une copie du modèle (image ou ensemble de fonctionnalités), il peut tenter de la faire passer pour une lecture réelle, notamment dans les chaînes de vérification « logicielles uniquement ».
  • Mesures d'agréer
  • Défi-réponse basé sur une session : La lecture doit inclure un défi variable (par exemple, un motif/angle/paramètres d’éclairage contrôlés par le lecteur) qui produit une réponse non réutilisable.
  • Attestation du lecteur : Le dispositif d’acquisition doit signer les résultats avec une clé matérielle (élément sécurisé/TPM).
  • Canal authentifié : chargement chiffré + signature côté appareil ; rejette les entrées non signées.
  • Jeton anti-rejeu (nonce) limité dans le temps et consommé par le backend.

3) Menaces à la qualité de la lecture (faux rejets / fausses acceptations)

  • Menace : Variabilité environnementale et opérationnelle
  • La poussière, les huiles, les rayures, les reflets, les mouvements, la mise au point et l'éclairage peuvent dégrader la correspondance et introduire des erreurs.
  • Mesures d'agréer
  • Spécifications de lecture : définir les plages autorisées pour la distance, le grossissement, l’éclairage et l’exposition.
  • Normalisation robuste : un pipeline qui gère la rotation, la mise à l’échelle, l’éclairage et le flou.
  • Contrôle qualité : avant la mise en correspondance, calculer un indice de qualité ; si en dessous du seuil → répéter l'acquisition.
  • Redondance : Plus d'acquisitions par vérification (meilleur de / vote majoritaire) et/ou plus de retours sur investissement (régions d'intérêt).

4) Menaces d'un adversaire « capable de produire des machines » (à budget élevé)

  • Menace : Réplication par microfabrication/métrologie avancée
  • Un acteur ayant accès à la métrologie et aux procédés de microfabrication peut tenter une réplication topographique.
  • Mesures d'agréer
  • Augmenter la complexité multi-échelle : combiner des micro-caractéristiques et des nano-caractéristiques (ou différents niveaux de motifs) de sorte que la réplication nécessite de multiples processus très coûteux.
  • Contrôle de la profondeur/du contraste : optimiser les paramètres de gravure pour réduire l’attaque par estampage de surface.
  • Conception conjointe avec l'emballage : protéger la zone PUF et rendre sa reproduction économiquement non viable compte tenu de sa valeur vulnérable.

5) Menaces liées aux bases de données, aux inscriptions et aux menaces internes

  • Menace : Compromission de la base de données ou inscription frauduleuse
  • Si la base de données modèle est compromise, ou si l'inscription est manipulable (par un initié), l'ensemble du système perd toute crédibilité.
  • Mesures d'agréer
  • Séparation secrète : ne stockez pas inutilement les images brutes ; utilisez des ensembles de caractéristiques non inversibles + hachage.
  • Piste d'audit immuable : enregistrer les événements (inscriptions, vérifications, transferts) dans un journal en mode ajout uniquement (par exemple, un journal blockchain ou WORM).
  • Double contrôle des inscriptions : rôles distincts et approbations multiples (principe des quatre yeux).
  • Révocation et réinscription : Procédures formelles de gestion des événements anormaux (vol, falsification, substitutions autorisées).

6) Confidentialité et attributs de propriété

  • Menace : Corrélation excessive (suivi du propriétaire)
  • Si vous connectez directement PUF → personne, les risques liés à la vie privée et les risques juridiques augmentent.
  • Mesures d'agréer
  • Pseudonymisation : seuls les identifiants techniques figurent sur le registre public ; les données personnelles restent hors chaîne, minimisées et accessibles par rôle.
  • Divulgation contrôlée : « preuve d’authenticité » sans révéler l’identité (par exemple, attestations à plusieurs niveaux).
  • Politique et conformité : journaux d’accès, conservation, droit à la suppression le cas échéant (sans destruction de l’audit technique).

Positionnement technique

Le PUF intégré constitue le point d'ancrage physique de la vérité ; la sécurité de bout en bout dépend du protocole de lecture, de l'anti-rejeu, de l'attestation du lecteur et de la gouvernance des données.

Vulnérabilité de la blockchain autonome


L'article « Méthodes basées sur la blockchain pour identifier les produits contrefaits » à

https://www.ijpe-online.com/EN/10.23940/ijpe.24.10.p5.631639  

analyse l’utilisation de la blockchain comme outil d’identification des produits contrefaits, en proposant un cadre (FPI – Identification des produits contrefaits) basé sur :

  • enregistrement du produit,
  • suivi de la chaîne d'approvisionnement,
  • vérification par le consommateur via code QR,
  • contrats intelligents sur Ethereum.

L’objectif est d’améliorer la sécurité, la transparence et la traçabilité par rapport aux systèmes centralisés traditionnels.

Idée de base

La blockchain est utilisée comme registre immuable pour stocker :

  • données produit,
  • transferts de propriété,
  • acteurs autorisés (producteurs, vendeurs, consommateurs).

Chaque produit est associé à un identifiant numérique (code QR) qui permet au consommateur final de vérifier son authenticité en interrogeant la blockchain.

Architecture proposée

Le cadre est structuré sur trois niveaux principaux :

1. Fabricant

  • Inscription des produits et vendeurs agréés.
  • Générez un code QR pour chaque produit.
  • Enregistrez chaque transfert (producteur → vendeur).

2.      Vendeur

  • Vous ne pouvez vendre que les produits enregistrés auprès du fabricant.
  • Assure la visibilité des stocks grâce à la blockchain.

3.      Consommateur

  • Scannez le code QR.
  • Vérifiez si le produit est authentique ou contrefait.

Toutes les opérations sont gérées via des contrats intelligents, qui automatisent la vérification et réduisent l'intervention humaine.

Analyse des résultats et des performances

L'article compare le système FPI aux portails traditionnels :

Avantages mis en évidence

  • Immuabilité des données : les informations ne peuvent être altérées.
  • Décentralisation : absence de point de contrôle unique ou de défaillance unique.
  • Transparence et auditabilité.
  • Vitesse des requêtes : les requêtes sont plus rapides car les données sont disponibles localement sur les nœuds.
  • Automatisation via les contrats intelligents.

Limites détectées

  • Évolutivité : L'augmentation du nombre d'enregistrements accroît considérablement les temps d'écriture et le volume de données transmises (jusqu'à 10 fois plus que les systèmes traditionnels).
  • Surcharge liée au consensus : les opérations d’écriture sont plus lentes qu’avec les bases de données centralisées.
  • Dépendance aux identifiants numériques (codes QR), facilement clonables s'ils ne sont pas associés à un point d'ancrage physique solide.
  • Points critiques conceptuels (implicites mais pertinents)

Bien que les auteurs ne l'abordent pas explicitement, le système :

  • certifie les données, et non l'objet physique ;
  • il suppose que le code QR reste toujours lié au produit d'origine ;
  • cela ne résout pas le problème du remplacement physique des composants ni celui de la réutilisation frauduleuse des identifiants.

Autrement dit, la blockchain garantit la cohérence du registre, mais pas l'authenticité physique intrinsèque du produit.

Conclusion de l'article

Les auteurs concluent que le cadre FPI démontre la faisabilité d'un système :

  • Sûr,
  • décentralisé,
  • transparent,
  • interopérable,

Pour lutter contre la contrefaçon, la blockchain est présentée comme un outil clé, capable d'améliorer considérablement les systèmes d'authentification traditionnels.

Résumé critique final

Cet article illustre bien l’approche « blockchain d’abord », efficace pour :

  • visibilité de la chaîne d'approvisionnement,
  • audit,
  • certification des transactions commerciales.

Cependant, le modèle reste centré sur le numérique : l’identité du produit est liée à un identifiant logique (code QR), et non à une signature physique non clonable.

Pour lutter contre la contrefaçon sophistiquée, le cadre décrit nécessite des technologies complémentaires capables de connecter le monde physique au registre blockchain de manière robuste et non reproductible.