Le clonage de RFID ? Mais c'est très simple !*

le 15/12/2006, par Marc Olanié, Hacking, 396 mots

Après s'être attaqué aux inconsistances des RFID intégrés dans les passeports britanniques, Adam Laurie nous apprend comment il est possible de fabriquer autant de fausses « étiquettes intelligentes » que l'on peut souhaiter. Afin de donner un peu plus de sel à la compétition, Laurie s'est attaqué au système Trovan, qui est notamment caractérisé par un numéro d'identification inscrit « en dur » lors de la fabrication du composant, et donc impossible à modifier par l'usager. Sauf que... Sauf qu'il existe un équivalent plus « bas de gamme » qui vient quelque peu changer la donne. La Q5 est une étiquette capable... d'émuler d'autres étiquettes. L'on peut y inscrire n'importe quel type d'information, y compris une copie du fameux identifiant « unique et impossible à dupliquer » du proche cousin fabriqué par Trovan. A l'oeil nu, un spécialiste même n'y voit que du feu et est incapable de différencier le véritable composant de son clone. D'un point de vue fonctionnel, les programmes et appareillages de lecture se trompent également. La Q5 a le goût du Trovan, la couleur du Trovan, la parole du Trovan. D'un point de vue strictement technique, la sécurité intrinsèque du Trovan n'est pas compromise. Le composant demeure impossible à modifier de quelque manière que ce soit. Son usage, en revanche, prend eau de toutes parts, et il serait téméraire de ne s'assurer un contrôle d'accès que sur la seule bonne foi de la réception de l'identifiant unique. Ce n'est, bien entendu, pas le seul défaut que l'on pourrait reprocher à ces marqueurs radio. La page d'information sur RFIdiot est assez édifiante à ce sujet. Chaque étiquette analysée*, ou presque, est accompagnée de son script de lecture en Python. A la vitesse où vont les hackers du monde RFID, il ne faudra pas longtemps avant que les données d'un passeport biométrique puissent être échangeables avec celles des étiquettes sous-cutanées utilisées par les services vétérinaires.

*NdlC Note de la Correctrice : L'oeil perçant du lecteur aura remarqué que, parmi les cartes RFID testées par l'équipe du Bunker, on y trouve un forfait journée de la station de Gapfhol-Laterns, et un « skipass » des 4 vallées, à Verbier en Suisse. A quelques jours des vacances de fin d'année, çà vous inciterait presque à devenir malhonnête, du Python pareil ! Et puis, faut avouer que coté boutiques, shoping, coiffeur et autre occupations primordiales, c'est pas mal du tout, Verbier. Mieux que le Col de Porte ou que Chinaillon-village !

Microsoft coutumier des add-on non fonctionnelles et bogées

Vendredi dernier, la firme de Redmond a reconnu qu'elle avait dû réécrire 4 des 13 add-on de sécurité publiées lors du dernier Patch Tuesday. D'après le retour des utilisateurs, même une fois installées, les...

le 18/09/2013, par Gregg Keizer, adaptation Oscar Barthe, 463 mots

Google ne crypte pas efficacement les mots de passe Wi-Fi

Lorsqu'un utilisateur d'Android réalise une sauvegarde de son système, notamment en vue d'une réinitialisation de l'appareil, la firme de Mountain View accède immédiatement au clé de son réseau WiFi privé....

le 18/09/2013, par Oscar Barthe, 367 mots

2 millions de comptes clients de Vodafone Allemagne piratés

Un salarié travaillant pour un prestataire de Vodafone Allemagne est soupçonné d'être à l'origine du vol de données concernant deux millions de clients. Cette affaire n'est pas sans rappeler, par sa...

le 16/09/2013, par Serge LEBLAL, 364 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Céline Polo

DRH du groupe iliad

"Nous recrutons dans des métiers en tension, en particulier sur l'infrastructure réseau, pour lesquels il y a...