Rien de surprenant de nos jour.
Cartes à puces Attention
La sécurité de de millions de cartes intelligentes sans contact sérieusement interrogée selon une étude dont le NXP a essayé d'interdire la publication, des manques sur ses cartes Mifare Classic permettent de les clonar. David Maume, 01net., le 21/07/2008 à 17h55 Partager cet article avec son réseau professionnel Viadeo partager sur le Viadeo écrire à l'auteur écrire à l'auteur imprimer l'article imprimer l'article envoyer par courrier électronique envoyer par courrier électronique accéder au forum forum > 2 avis est la liberté finalement d'expression qui a triomphé. La justice néerlandaise vient d'autoriser investigateurs de l'université Radboud de Nimègue, aux Pays-Bas, à révéler les manques de sécurité qui ont découvert dans des cartes intelligentes sans contact Mifare, des cartes déjà vendues à plusieurs centaines de de millions d'exemplaires dans le monde (1). Ces chercheurs avaient démontré depuis un certain temps qu'étaient dans des conditions de casser la sécurité des puces ces Mifare Classic, commercialisées par le fondateur néerlandais NXP. Ces puces, qui utilisent la technologie NFC (Near Field Communication, qui opère moins d'à dix centimètres) pour communiquer, équipent des cartes en servant à assurer une multitude de services (transport, accès à des locaux, services administratifs, etc.). Les transports londoniens l'emploient par exemple pour une carte de transport électronique rechargeable (le système Oyster) utilisée par approximativement 17 millions d'utilisateurs. Pour la justice, NXP est responsable de la sécurité de ses puces selon les chercheurs néerlandais, est possible, grâce à un scanner, récupérer la clé de codage contenu dans les cartes de ce type et dans les lecteurs correspondants. Préoccuper les données récupérées par le scanner on exploite ensuite pour doubler des cartes existantes ou créer des nouvelles et ainsi pénétrer dans des locaux ou voyager gratuitement sans. En dénonçant les risques qu'impliquerait la révélation de ces secrets, NXP avait recouru à la justice néerlandaise pour que les chercheurs ne puissent pas publier leur étude. Ces derniers pensaient en effet se profiter d'une conférence consacrée à la sécurité en Espagne en octobre proche pour présenter ses travaux. « Les dommages éventuellement soufferts par NXP ne résulteraient pas de la publication de cette étude mais de la production et la vente d'une puce apparemment défectueuse », a fait valoir le tribunal d'Arnhem qui a rejeté vendredi passé la demande de NXP. Un secret de Polichinela pour les experts en sécurité depuis plusieurs mois, la sécurité des puces Mifare Classic était déjà chaque fois plus enclin à garantie. En mars passé, un analyste du Burton Group avait alerté sur son blog, en citant, en particulier, les travaux du chercheur Karsten Nohl. Selon les experts, est l'algorithme Crypto1 utilisé par les puces Mifare qui seraient défectueuses. Le fait que la clé de codage utilisé seulement mesure 48 bites faciliterait d'autre part le travail des pirates. « Si l'algorithme est bien assuré, est nécessaire d'essayer toutes les clés [ici entre 2 48, REMARQUE], ce qui est très long. Mais, s'il présente des manques, les pirates peuvent gagner un temps considérable », expliquent à François Vacherand, chef du service structure et sécurité des technologies de l'information au Léti (2). NXP a fait l'erreur de garder secret l'algorithme Crypto1, qui se intégrale aux lecteurs et aux lettres Mifare Classic. « Si l'algorithme est encore secret, la Communauté des chercheurs ne peut pas prouver sa fiabilité. Actuellement, une forte tendance est d'utiliser des algorithmes publics prouvés avec des clés secrètes », tient compte à François Vacherand. À son avis, la publication de l'étude néerlandaise en confirmant l'existence de manques dans les puces Mifare Classic inévitablement aux clients de NXP il reconsidérera son analyse de risque dans l'application de ces cartes - il est de dire de reconsidérer son élection. Pour les clients déjà équipés, NXP proposera d'ici à fin de l'année une solution plus assurée, baptisée Mifare de Plus, en utilisant l'algorithme public AES. Toutefois, la migration de la technologie actuelle aux nouvelles sera évidemment très coûteuse. Restez à savoir que payera l'addition. (1) on utilise aux puces Mifare Classic dans toute l'Europe, en particulier, en France mais surtout au Royaume-Uni, aux Pays-Bas et la Belgique. (2) laboratoire électronique et technologie de l'information des Commissariats de l'Énergie Atomique (CEA).

Vu sur O1Net