En poursuivant votre navigation sur ce site, vous acceptez nos CGU et l'utilisation de cookies afin de réaliser des statistiques d'audiences et vous proposer une navigation optimale, la possibilité de partager des contenus sur des réseaux sociaux ainsi que des services et offres adaptés à vos centres d'intérêts.
Pour en savoir plus et paramétrer les cookies...

La sécurité de millions de cartes à puce sans contact sérieusement remise en question

La sécurité de millions de cartes à puce sans contact sérieusement remise en question
 

Selon une étude dont NXP a tenté d'interdire la publication, des failles sur ses cartes Mifare Classic permettent de les cloner.

Inscrivez-vous à la Newsletter BFM Business

Newsletter BFM Business

A voir aussi

Votre opinion

Postez un commentaire

7 opinions
  • Serge Hanneton
    Serge Hanneton     

    Eh, je suis d'accord avec toi,
    S.H
    nb : voir GIE carte bancaires et non carte bleue

  • Belzébuthleretour
    Belzébuthleretour     

    c'est très répandu, c'est gagné, même si c'est de la m*** au niveau sécurité (voir le GIE Carte Bleue), et on attend la génération suivante forcément "mieux sécurisée". Et qui est souvent celle qui aurait dû sortir au début, mais qu'on a négligé, pour rentrer plus vite dans ses fonds...

  • stephanekoch
    stephanekoch     

    Mifare : Little Security, Despite Obscurity

    Mifare are the most widely deployed brand of secure RFID chips, but their security relies on proprietary and secret cryptographic primitives. We analyzed the hardware of the Mifare tags and found weaknesses in several parts of the cipher.

    Présentation (avec les slides):
    http://events.ccc.de/congress/2007/Fahrplan/events/2378.en.html

    Vidéo de la présentation:
    http://dewy.fem.tu-ilmenau.de/CCC/24C3/mpeg4/24c3-2378-en-mifare_security.mp4

  • _Calliope_
    _Calliope_     

    [i]l'utilisation Naïve d'un RSA par exemple ne vaut absolument rien[/i]
    C'est bien ce que j'entends par "intégrité de leur mise en oeuvre" le choix des paramètres est essentiel, aussi bien pour les nombres premiers (en raison de l'existence des méthodes de factorisation p-1 de Pollard et p+1 de Williams) tout comme celui de l'exposant (3 est inadapté suivant la taille des données...) de même que la taille du message chiffré.

    Sinon les experts en cryptographie ne sont à la fois pas très nombreux et pas forcément disponibles; et ils ne constituent d'ailleurs qu'un maillon de la chaîne de conception auxquels par exemple on ne peut reprocher quoique ce soit quant aux fuites d'informations générées par une carte à puce, je pense en particulier aux attaques bien connues portant sur la consommation électrique pour extraire les clefs.

    Il faut aussi savoir que les sociétés commerciales ne recherchent pas nécessairement ce qui se fait de mieux. Elles ont à gérer les coûts induits par ces développements et leur industrialisation, pendant toute la phase d'exploitation commerciale du produit. Passée cette période, si le produit est cassé elles ne s'en préoccupent tout simplement pas !

  • Plorf
    Plorf     

    Il vaut voir, que l'utilisation Naïve d'un RSA par exemple ne vaut absolument rien au niveau sécurité !

    Ils auraient du faire appel à un expert en cryptographie... Au moins ça aurais un peu mieux tenus...

  • _Caliope_
    _Caliope_     

    Cela s'applique aussi aux algorithmes publiques symétriques ou asymétriques comme AES et RSA. Seuls les incompétents peuvent avancer leur inviolabilité... On peut tout juste donner un certain niveau de résistance face aux attaques, non pas connues, mais uniquement publiques.

    Il en va de même de l'intégrité de leur mise en oeuvre (faiblesse intentionnelle, canal caché...).

    Tout cela n'est avant tout qu'une affaire de confiance entre le vendeur et le client qui peut très bien préférer l'emploi d'un algorithme privé, en pensant que cela retardera d'autant plus les efforts de cassage...

  • Plorf
    Plorf     

    Je ne comprendrais jamais les gens qui sont assez stupides pour dire :
    "L'algo de cryptage je suis le seul à le connaitre, il est donc inviolable..." bandes de boulets :/

Votre réponse
Postez un commentaire