Philippe Teuwen, responsable de la recherche de la société française de cybersécurité Quarkslab et ancien responsable de la recherche en sécurité de NXP Semiconductors, a découvert une « porte dérobée matérielle permettant l'authentification avec une clé inconnue » dans les cartes sans contact MIFARE Classic.
En 2020, la société Shanghai Fudan Microelectronics, le principal fabricant chinois de puces « compatibles MIFARE » sans licence, avait sorti une variante, la FM11RF08S. Dotée de contre-mesures spécifiques conçues pour déjouer toutes les attaques connues par carte seule, sans accès à son lecteur, elle a depuis gagné des parts de marché dans le monde entier.
Développées sous licence de NXP, elles sont aujourd'hui déployées dans plus de 50 pays, et utilisées par plus de 1,2 milliard de personnes pour ouvrir leurs chambres d'hôtel ou dans leurs cartes de transport, rappelle Fred Raynal. CEO de Quarkslab, ce dernier est également connu pour avoir co-fondé le Symposium sur la sécurité des technologies de l'information et des communications (SSTIC), et avoir créé la revue MISC consacrée à la cybersécurité.
Or, Philippe Teuwen a identifié (preprint) plusieurs attaques lui permettant d'identifier la présence d'une porte dérobée matérielle dans plusieurs cartes développées par Fudan, mais également dans d'anciennes cartes de NXP (MF1ICS5003 & MF1ICS5004) et Infineon (SLE66R35), « simplement en accédant à la carte pendant quelques minutes ».
« Toutes ont la même backdoor … mais avec des clés différentes », résume Fred Raynal, pour qui cette porte dérobée remonterait à « un temps reculé ». Il formule l'hypothèse qu'elle aurait été introduite, soit à la demande du gouvernement chinois, soit par ce dernier et à l'insu de NXP et Infineon, avant que Fudan ne s'inspire de leur MIFARE Classic et ne la reproduise dans ses propres cartes.
Philippe Teuwen rappelle par ailleurs que « le protocole MIFARE Classic est intrinsèquement cassé, quelle que soit la carte », qu'il sera toujours possible de récupérer les clés si un pirate a accès au lecteur correspondant, et qu'il existe de nombreuses alternatives plus robustes sur le marché.
Commentaires (22)
#1
#1.1
#1.3
#1.2
Soit avant-hier pour la première exploitation.
#1.4
cadeau
#1.5
#2
parce qu’il a déjà été contourné par ailleurs (hors backdoor) et que son protocole est trop vieux ?
#3
Scan d'un badge Vigik: puce MF1S50 de NXP.
#3.1
#3.2
Pour la partie Vigik, c'est différent. Les cartes sont certes les mêmes, mais les données contenues sont timecodées et le Vigik doit être rechargé sur une borne officielle quotidiennement pour fonctionner, donc les copies sauvages sont plus complexes à réaliser.
La seule différence est la facilité potentielle à copier les cartes sans accéder au lecteur, ce qui était nécessaire auparavant selon les modèles.
Donc, si tu transportes ta carte d'hôtel ou ton badge d'immeuble dans un étui blindé, il n'y a pas plus de risques suite à cette découverte qu'hier (si c'est du MIFARE Classic avec la backdoor).
Pour info également, des sociétés utilisent toujours du MIFARE Classic mais ont introduit une fonction de compteur incrémentale dans leur badge lors des accès ce qui emêche d'avoir des clônes actifs car une seule peut avoir le compteur à jour étant donné que c'est actualisé à chaque passage.
Historique des modifications :
Posté le 27/08/2024 à 12h35
Attention, on parle de copie de badge sauvage qui sont déjà réalisable depuis plusieurs années pour les MIFARE Classic, soit la partie privée d'un contrôle d'accès à un bâtiment. Rien de nouveau, donc.
Pour la partie Vigik, c'est différent. Les cartes sont certes les mêmes, mais les données contenues sont timecodées et le Vigik doit être rechargé sur une borne officielle quotidiennement pour fonctionner, donc les copies sauvages sont plus complexes à réaliser.
La seule différence est la facilité potentielle à copier les cartes sans accéder au lecteur, ce qui était nécessaire auparavant selon les modèles.
Donc, si tu transportes ta carte d'hôtel ou ton badge d'immeuble dans un étui blindé, il n'y a pas plus de risques suite à cette découverte qu'hier (si c'est du MIFARE Classic).
Pour info également, des sociétés utilisent toujours du MIFARE Classic mais ont introduit une fonction de compteur incrémentale dans leur badge lors des accès ce qui emêche d'avoir des clônes actifs car une seule peut avoir le compteur à jour étant donné que c'est actualisé à chaque passage.
#3.3
Pour les badges "banalisés", utilisés par la Poste, les pompiers, certains livreurs de journaux, etc, oui. Pour tous les autres (badges personnels), non.
#3.4
Les centrales d'accès compatibles Vigik sont badgées du logo, mais la partie gérant l'accès des badges personnels est différente et propre à chaque marque de centrale (Intratone, Immotec, etc.).
#4
#4.1
En mode liste blanche (cas le plus courant), la centrale d'accès connaît la liste des ID badges autorisés.
En mode liste noire, un contenu sert de sésame mais une liste des badges interdits est conservée. On y met les ID des badges perdus.
Dans le second mode, une copie est donc possible je pense.
#4.2
#4.3
Il faut bien comprendre que ces configurations doivent être à la portée d'électriciens courant faibles (ceux qui sont normalement spécialisés dans les contrôle d'accès, les caméras, la domotique...). Le dernier que j'ai croisé m'a affirmé que le blindage des câbles réseau ne servait à rien (je l'ai vu couper tous les fils quand il a corrigé un câblage qui ne tenait pas le gigabit dans un appart neuf), il manque clairement une formation solide dans ce métier.
Donc, pour répondre à ta question, l'accès en liste noire se fait très certainement par présence d'un mot magique dans certaines portions mémoire.
Concernant l'éventuelle question d'une mise à jour, le matériel pro de contrôle d'accès n'est pas mieux loti que le matériel grand public avec un abandon des clients assez rapide, parfois après seulement 5 ans de mise sur le marché comme dans le cas des centrales Btcino que Legrand à racheté pour viser exclusivement le marché des belles villas permettant de pratiquer des vils prix pour du matériel dont la qualité n'est clairement pas en rapport.
Question prix, remplacer la centrale d'accès reviendrait dans beaucoup de cas à remplacer l'intégralité du système de contrôle d'accès soit une facture de près de 40 k€ pour 60 logements.
#4.4
Ce n'est pas une question de prix mais de "sécurité", d'ailleurs c'est pas le syndic "dévoué" qui paie... et il pourra refacturer les badges troués une blinde en cas de perte ou si on en veut en plus des 2 gracieusement "offerts" par logement!
Quand on a goûté aux joies de la copropriété, surtout si on a été longtemps en mode syndic bénévole et que la complexité croissante de la tâche a fait lâcher l'affaire et que l'on a pu constater l'évolution alarmante des charges, franchement si on en sort c'est pour ne jamais y revenir!
#4.5
Historique des modifications :
Posté le 27/08/2024 à 10h07
Le syndic paie, mais ce n'est pas gratuit, ça rentre dans tes charges et donc tu paies...
#4.6
Il existe des versions amélioré de MIFARE où les slots mémoires des cartes ont des données encryptées avec l'ID de l'installation. La copie devrait être plus difficile ainsi que la copie de la carte car il faut avoir accès à la clé maitresse pour lire le contenu. Mais via ces backdoor, on peut facilement accéder à ces zones "protégées" car la backdoor se fait passer pour un lecteur/encodeur officiel de l'installation ( il y aurait la clé de l'installation et celle de la backdoor qui sont autorisées). C'est là, la faille. Et Changer toutes les portes des hotels par une nouvelle technologie, c'est pas gagné...
Il va falloir prendre l'habitude de ranger son laptops et mobile dans le coffre fort lorsqu'on sort de la chambre !
Ces backdoors sont une plaie mais surement déjà utilisées depuis des années. bizarre que cela ne sorte que maintenant :-)
#4.7
#4.8
#5