Faiblesse RFID dans les cartes Mifare Classic

Peut être apprécierez-vous de pouvoir voyager gratis dans les transports en commun de différentes villes de par le monde (Amsterdam, Bangkok, Dehli, Boston, ...), ou de rentrer dans des édifices où il faudrait normalement s'authentifier ? C'est devenu possible grâce à la smartcard avec puce sans fil Mifare Classic.

En effet, suite à une étude réalisée par l'Université Radboud de Nijmegen et la publication de l'algorithme du protocole Mifare Classic par un chercheur de l'Université Humboldt à Berlin, puis l'exploitation de ces deux informations réunies par un groupe d'étudiants du MIT, la preuve de la faiblesse a pu être démontrée.

D'après le chercheur en RFID Karsten Nohl, la fusion de ces deux informations permettrait à moindre coût (une soixantaine d'euros et un peu de logiciel), de réaliser le clone parfait d'une carte valide.

En effet, pour expliquer simplement le principe, la personne malveillante doit venir écouter la borne de validation de la carte RFID pour collecter la clé cryptographique. Puis il faudra faire de même avec une carte d'une personne autorisée. Ensuite, par l'exploitation de ces informations, la création industrielle de copies pourra se faire.

Il ne resterait alors que la détection d'utilisations trop fréquentes de la même carte pour s'apercevoir de l'usage de telles fausses cartes.

La société NXP, créatrice de la puce, ne fait pas de commentaires sur cette vulnérabilité, mais en revanche a engagé des actions en justice afin de bloquer la publication de cette faiblesse par l'Université hollandaise. Plainte qui a été déboutée.

De son coté, le Massachusetts Bay Transit Authority (MBTA), en charge des transports en commun de cet état américain,  a fait de même pour bloquer la publication de la démonstration par les étudiants du MIT de la méthodologie à suivre pour réaliser ces copies. Si le MBTA a obtenu une interdiction de publication avant le 1er janvier 2009 en première instance, le juge fédéral George O'Toole Jr. a lui refusé de valider cette interdiction qui a donc expiré après 10 jours.

Les étudiants sont donc libres de présenter leur découverte :
CNET News : D-Day for RFID-based transit card systems
CNET News : Judge lifts MIT students' card-hacking gag order

Blogger Anonymous

-