Un chercheur belge identifie une porte dérobée dans les cartes sans contact MIFARE

Par Jean-Marc Manach

Le 26 août à 15h31
Sécurité
2 min

Philippe Teuwen, responsable de la recherche de la société française de cybersécurité Quarkslab et ancien responsable de la recherche en sécurité de NXP Semiconductors, a découvert une « porte dérobée matérielle permettant l'authentification avec une clé inconnue » dans les cartes sans contact MIFARE Classic.

En 2020, la société Shanghai Fudan Microelectronics, le principal fabricant chinois de puces « compatibles MIFARE » sans licence, avait sorti une variante, la FM11RF08S. Dotée de contre-mesures spécifiques conçues pour déjouer toutes les attaques connues par carte seule, sans accès à son lecteur, elle a depuis gagné des parts de marché dans le monde entier.

Développées sous licence de NXP, elles sont aujourd'hui déployées dans plus de 50 pays, et utilisées par plus de 1,2 milliard de personnes pour ouvrir leurs chambres d'hôtel ou dans leurs cartes de transport, rappelle Fred Raynal. CEO de Quarkslab, ce dernier est également connu pour avoir co-fondé le Symposium sur la sécurité des technologies de l'information et des communications (SSTIC), et avoir créé la revue MISC consacrée à la cybersécurité.

Or, Philippe Teuwen a identifié (preprint) plusieurs attaques lui permettant d'identifier la présence d'une porte dérobée matérielle dans plusieurs cartes développées par Fudan, mais également dans d'anciennes cartes de NXP (MF1ICS5003 & MF1ICS5004) et Infineon (SLE66R35), « simplement en accédant à la carte pendant quelques minutes ».

« Toutes ont la même backdoor … mais avec des clés différentes », résume Fred Raynal, pour qui cette porte dérobée remonterait à « un temps reculé ». Il formule l'hypothèse qu'elle aurait été introduite, soit à la demande du gouvernement chinois, soit par ce dernier et à l'insu de NXP et Infineon, avant que Fudan ne s'inspire de leur MIFARE Classic et ne la reproduise dans ses propres cartes.

Philippe Teuwen rappelle par ailleurs que « le protocole MIFARE Classic est intrinsèquement cassé, quelle que soit la carte », qu'il sera toujours possible de récupérer les clés si un pirate a accès au lecteur correspondant, et qu'il existe de nombreuses alternatives plus robustes sur le marché.

Commentaires (22)


Gilbert_Gosseyn Abonné
Le 26/08/2024 à 16h51
Maintenant que c'est connu, combien de tempsa vant l'explosion des vols dans les chambres d'hôtel ?
Refhi Abonné
Le 26/08/2024 à 16h58
En espérant qu'un fix puisse être fait avec une simple maj ? 🤞
fdorin Abonné
Le 26/08/2024 à 17h04

Refhi

En espérant qu'un fix puisse être fait avec une simple maj ? 🤞
A priori non. La porte dérobée est matérielle et permet, de ce que j'ai compris, le clonage des cartes simplement en ayant accès à celle-ci, en l'espace de quelques secondes.
Bourrique
Le 26/08/2024 à 17h02
Le temps de bricoler un truc portable et discret à base d'ESP32.
Soit avant-hier pour la première exploitation. :fumer:
Ossito Abonné
Le 26/08/2024 à 17h28

Bourrique

Le temps de bricoler un truc portable et discret à base d'ESP32.
Soit avant-hier pour la première exploitation. :fumer:
même pas besoin de ça un bon téléphone avec nfc devrais suffire.

cadeau
wanou Abonné
Le 26/08/2024 à 20h15

Ossito

même pas besoin de ça un bon téléphone avec nfc devrais suffire.

cadeau
Sinon, il y a aussi TagInfo de NXP.
rm Abonné
Le 26/08/2024 à 18h04
« Philippe Teuwen rappelle par ailleurs que "le protocole MIFARE Classic est intrinsèquement cassé, quelle que soit la carte" »
parce qu’il a déjà été contourné par ailleurs (hors backdoor) et que son protocole est trop vieux ?
wanou Abonné
Le 26/08/2024 à 20h18
Vu que les badges Vigik sont aussi à base de Mifare Classic, on est mal. Il va falloir remettre des clefs non PTT.

Scan d'un badge Vigik: puce MF1S50 de NXP.
Gilbert_Gosseyn Abonné
Le 27/08/2024 à 11h35
Voilà pourquoi notre copro a refusé le Vigik.
LoganMcClay Abonné
Le 27/08/2024 à 12h35
Attention, on parle de copie de badge sauvage qui sont déjà réalisable depuis plusieurs années pour les MIFARE Classic, soit la partie privée d'un contrôle d'accès à un bâtiment. Rien de nouveau, donc.
Pour la partie Vigik, c'est différent. Les cartes sont certes les mêmes, mais les données contenues sont timecodées et le Vigik doit être rechargé sur une borne officielle quotidiennement pour fonctionner, donc les copies sauvages sont plus complexes à réaliser.

La seule différence est la facilité potentielle à copier les cartes sans accéder au lecteur, ce qui était nécessaire auparavant selon les modèles.

Donc, si tu transportes ta carte d'hôtel ou ton badge d'immeuble dans un étui blindé, il n'y a pas plus de risques suite à cette découverte qu'hier (si c'est du MIFARE Classic avec la backdoor).

Pour info également, des sociétés utilisent toujours du MIFARE Classic mais ont introduit une fonction de compteur incrémentale dans leur badge lors des accès ce qui emêche d'avoir des clônes actifs car une seule peut avoir le compteur à jour étant donné que c'est actualisé à chaque passage.
Modifié le 27/08/2024 à 15h17

Historique des modifications :

Posté le 27/08/2024 à 12h35


Attention, on parle de copie de badge sauvage qui sont déjà réalisable depuis plusieurs années pour les MIFARE Classic, soit la partie privée d'un contrôle d'accès à un bâtiment. Rien de nouveau, donc.
Pour la partie Vigik, c'est différent. Les cartes sont certes les mêmes, mais les données contenues sont timecodées et le Vigik doit être rechargé sur une borne officielle quotidiennement pour fonctionner, donc les copies sauvages sont plus complexes à réaliser.

La seule différence est la facilité potentielle à copier les cartes sans accéder au lecteur, ce qui était nécessaire auparavant selon les modèles.

Donc, si tu transportes ta carte d'hôtel ou ton badge d'immeuble dans un étui blindé, il n'y a pas plus de risques suite à cette découverte qu'hier (si c'est du MIFARE Classic).

Pour info également, des sociétés utilisent toujours du MIFARE Classic mais ont introduit une fonction de compteur incrémentale dans leur badge lors des accès ce qui emêche d'avoir des clônes actifs car une seule peut avoir le compteur à jour étant donné que c'est actualisé à chaque passage.

h_152 Abonné
Le 29/08/2024 à 15h14

LoganMcClay

Attention, on parle de copie de badge sauvage qui sont déjà réalisable depuis plusieurs années pour les MIFARE Classic, soit la partie privée d'un contrôle d'accès à un bâtiment. Rien de nouveau, donc.
Pour la partie Vigik, c'est différent. Les cartes sont certes les mêmes, mais les données contenues sont timecodées et le Vigik doit être rechargé sur une borne officielle quotidiennement pour fonctionner, donc les copies sauvages sont plus complexes à réaliser.

La seule différence est la facilité potentielle à copier les cartes sans accéder au lecteur, ce qui était nécessaire auparavant selon les modèles.

Donc, si tu transportes ta carte d'hôtel ou ton badge d'immeuble dans un étui blindé, il n'y a pas plus de risques suite à cette découverte qu'hier (si c'est du MIFARE Classic avec la backdoor).

Pour info également, des sociétés utilisent toujours du MIFARE Classic mais ont introduit une fonction de compteur incrémentale dans leur badge lors des accès ce qui emêche d'avoir des clônes actifs car une seule peut avoir le compteur à jour étant donné que c'est actualisé à chaque passage.
"Les cartes sont certes les mêmes, mais les données contenues sont timecodées et le Vigik doit être rechargé sur une borne officielle quotidiennement pour fonctionner, donc les copies sauvages sont plus complexes à réaliser."

Pour les badges "banalisés", utilisés par la Poste, les pompiers, certains livreurs de journaux, etc, oui. Pour tous les autres (badges personnels), non.
LoganMcClay Abonné
Le 02/09/2024 à 17h17

h_152

"Les cartes sont certes les mêmes, mais les données contenues sont timecodées et le Vigik doit être rechargé sur une borne officielle quotidiennement pour fonctionner, donc les copies sauvages sont plus complexes à réaliser."

Pour les badges "banalisés", utilisés par la Poste, les pompiers, certains livreurs de journaux, etc, oui. Pour tous les autres (badges personnels), non.
Les badges personnels ne sont pas des Vigik. Le système Vigik n'est que la partie autorisation d'accès pour les professionnels.
Les centrales d'accès compatibles Vigik sont badgées du logo, mais la partie gérant l'accès des badges personnels est différente et propre à chaque marque de centrale (Intratone, Immotec, etc.).
vaneck Abonné
Le 26/08/2024 à 21h17
j ai pas vraiment compris, ca fait des année qu'un simple smartphone nfc peut lire n'importe quelle puce nfc. Pour les copier sur un nouveau badge depuis le telephone , c'est un peux plus compliqué, puisqu'il faut des badges de dernieres génération (a 2€ piece environ), ou un flipper 0 pour des badges moins cher . Cette faille signifie t elle que l'on peut s'introduire dans un batiment proteger par nfc sans copie d'une badge d'origine?
wanou Abonné
Le 26/08/2024 à 22h23
Dans le cas des systèmes Vigik, ce n'est pas forcément le contenu copiable qui est utilisé mais l'ID.

En mode liste blanche (cas le plus courant), la centrale d'accès connaît la liste des ID badges autorisés.

En mode liste noire, un contenu sert de sésame mais une liste des badges interdits est conservée. On y met les ID des badges perdus.

Dans le second mode, une copie est donc possible je pense.
vaneck Abonné
Le 26/08/2024 à 22h39

wanou

Dans le cas des systèmes Vigik, ce n'est pas forcément le contenu copiable qui est utilisé mais l'ID.

En mode liste blanche (cas le plus courant), la centrale d'accès connaît la liste des ID badges autorisés.

En mode liste noire, un contenu sert de sésame mais une liste des badges interdits est conservée. On y met les ID des badges perdus.

Dans le second mode, une copie est donc possible je pense.
Donc dans les badge de liste noire il y'a un mot de passe chiffré dans le badge , et c'est ce mot de passe qui donne l accès. Et donc maintenant on sait déchiffrer le mot de passe c'est ça ?
wanou Abonné
Le 27/08/2024 à 07h35

vaneck

Donc dans les badge de liste noire il y'a un mot de passe chiffré dans le badge , et c'est ce mot de passe qui donne l accès. Et donc maintenant on sait déchiffrer le mot de passe c'est ça ?
Je ne pense pas qu'il s'agisse d'un mot de passe car aucun n'est demandé quand on passe en mode liste noire sur des matériels comme les centrales Btcino/Legrand. Il doit sûrement s'agir d'un simple ID sur 64 bits ou plus, généré aléatoirement ou pas, par le logiciel de configuration de l'installation en fonction peut-être d'un numéro d'installation et d'un sel quelconque.

Il faut bien comprendre que ces configurations doivent être à la portée d'électriciens courant faibles (ceux qui sont normalement spécialisés dans les contrôle d'accès, les caméras, la domotique...). Le dernier que j'ai croisé m'a affirmé que le blindage des câbles réseau ne servait à rien (je l'ai vu couper tous les fils quand il a corrigé un câblage qui ne tenait pas le gigabit dans un appart neuf), il manque clairement une formation solide dans ce métier.

Donc, pour répondre à ta question, l'accès en liste noire se fait très certainement par présence d'un mot magique dans certaines portions mémoire.

Concernant l'éventuelle question d'une mise à jour, le matériel pro de contrôle d'accès n'est pas mieux loti que le matériel grand public avec un abandon des clients assez rapide, parfois après seulement 5 ans de mise sur le marché comme dans le cas des centrales Btcino que Legrand à racheté pour viser exclusivement le marché des belles villas permettant de pratiquer des vils prix pour du matériel dont la qualité n'est clairement pas en rapport.

Question prix, remplacer la centrale d'accès reviendrait dans beaucoup de cas à remplacer l'intégralité du système de contrôle d'accès soit une facture de près de 40 k€ pour 60 logements.
yl
Le 27/08/2024 à 08h06

wanou

Je ne pense pas qu'il s'agisse d'un mot de passe car aucun n'est demandé quand on passe en mode liste noire sur des matériels comme les centrales Btcino/Legrand. Il doit sûrement s'agir d'un simple ID sur 64 bits ou plus, généré aléatoirement ou pas, par le logiciel de configuration de l'installation en fonction peut-être d'un numéro d'installation et d'un sel quelconque.

Il faut bien comprendre que ces configurations doivent être à la portée d'électriciens courant faibles (ceux qui sont normalement spécialisés dans les contrôle d'accès, les caméras, la domotique...). Le dernier que j'ai croisé m'a affirmé que le blindage des câbles réseau ne servait à rien (je l'ai vu couper tous les fils quand il a corrigé un câblage qui ne tenait pas le gigabit dans un appart neuf), il manque clairement une formation solide dans ce métier.

Donc, pour répondre à ta question, l'accès en liste noire se fait très certainement par présence d'un mot magique dans certaines portions mémoire.

Concernant l'éventuelle question d'une mise à jour, le matériel pro de contrôle d'accès n'est pas mieux loti que le matériel grand public avec un abandon des clients assez rapide, parfois après seulement 5 ans de mise sur le marché comme dans le cas des centrales Btcino que Legrand à racheté pour viser exclusivement le marché des belles villas permettant de pratiquer des vils prix pour du matériel dont la qualité n'est clairement pas en rapport.

Question prix, remplacer la centrale d'accès reviendrait dans beaucoup de cas à remplacer l'intégralité du système de contrôle d'accès soit une facture de près de 40 k€ pour 60 logements.
"Question prix (...) une facture de près de 40 k€ pour 60 logements."

Ce n'est pas une question de prix mais de "sécurité", d'ailleurs c'est pas le syndic "dévoué" qui paie... et il pourra refacturer les badges troués une blinde en cas de perte ou si on en veut en plus des 2 gracieusement "offerts" par logement!

Quand on a goûté aux joies de la copropriété, surtout si on a été longtemps en mode syndic bénévole et que la complexité croissante de la tâche a fait lâcher l'affaire et que l'on a pu constater l'évolution alarmante des charges, franchement si on en sort c'est pour ne jamais y revenir!
JACKPOTE Abonné
Le 27/08/2024 à 10h07

yl

"Question prix (...) une facture de près de 40 k€ pour 60 logements."

Ce n'est pas une question de prix mais de "sécurité", d'ailleurs c'est pas le syndic "dévoué" qui paie... et il pourra refacturer les badges troués une blinde en cas de perte ou si on en veut en plus des 2 gracieusement "offerts" par logement!

Quand on a goûté aux joies de la copropriété, surtout si on a été longtemps en mode syndic bénévole et que la complexité croissante de la tâche a fait lâcher l'affaire et que l'on a pu constater l'évolution alarmante des charges, franchement si on en sort c'est pour ne jamais y revenir!
Le syndic paie, mais ce n'est pas cadeau, ça rentre dans tes charges et donc tu paies...
Modifié le 27/08/2024 à 10h08

Historique des modifications :

Posté le 27/08/2024 à 10h07


Le syndic paie, mais ce n'est pas gratuit, ça rentre dans tes charges et donc tu paies...

Fbanzay Abonné
Le 28/08/2024 à 13h28

wanou

Je ne pense pas qu'il s'agisse d'un mot de passe car aucun n'est demandé quand on passe en mode liste noire sur des matériels comme les centrales Btcino/Legrand. Il doit sûrement s'agir d'un simple ID sur 64 bits ou plus, généré aléatoirement ou pas, par le logiciel de configuration de l'installation en fonction peut-être d'un numéro d'installation et d'un sel quelconque.

Il faut bien comprendre que ces configurations doivent être à la portée d'électriciens courant faibles (ceux qui sont normalement spécialisés dans les contrôle d'accès, les caméras, la domotique...). Le dernier que j'ai croisé m'a affirmé que le blindage des câbles réseau ne servait à rien (je l'ai vu couper tous les fils quand il a corrigé un câblage qui ne tenait pas le gigabit dans un appart neuf), il manque clairement une formation solide dans ce métier.

Donc, pour répondre à ta question, l'accès en liste noire se fait très certainement par présence d'un mot magique dans certaines portions mémoire.

Concernant l'éventuelle question d'une mise à jour, le matériel pro de contrôle d'accès n'est pas mieux loti que le matériel grand public avec un abandon des clients assez rapide, parfois après seulement 5 ans de mise sur le marché comme dans le cas des centrales Btcino que Legrand à racheté pour viser exclusivement le marché des belles villas permettant de pratiquer des vils prix pour du matériel dont la qualité n'est clairement pas en rapport.

Question prix, remplacer la centrale d'accès reviendrait dans beaucoup de cas à remplacer l'intégralité du système de contrôle d'accès soit une facture de près de 40 k€ pour 60 logements.
Souvent, les systèmes d'accès ne check uniquement que le numéro de série de la carte pour donner l'accès au bâtiment. C'est basique et du coup le MIFARE Classic utilisé comme cela est facilement attaquable car on peut cloner celui-ci avec des carte vierge.

Il existe des versions amélioré de MIFARE où les slots mémoires des cartes ont des données encryptées avec l'ID de l'installation. La copie devrait être plus difficile ainsi que la copie de la carte car il faut avoir accès à la clé maitresse pour lire le contenu. Mais via ces backdoor, on peut facilement accéder à ces zones "protégées" car la backdoor se fait passer pour un lecteur/encodeur officiel de l'installation ( il y aurait la clé de l'installation et celle de la backdoor qui sont autorisées). C'est là, la faille. Et Changer toutes les portes des hotels par une nouvelle technologie, c'est pas gagné...
Il va falloir prendre l'habitude de ranger son laptops et mobile dans le coffre fort lorsqu'on sort de la chambre !

Ces backdoors sont une plaie mais surement déjà utilisées depuis des années. bizarre que cela ne sorte que maintenant :-)
wanou Abonné
Le 28/08/2024 à 18h39

Fbanzay

Souvent, les systèmes d'accès ne check uniquement que le numéro de série de la carte pour donner l'accès au bâtiment. C'est basique et du coup le MIFARE Classic utilisé comme cela est facilement attaquable car on peut cloner celui-ci avec des carte vierge.

Il existe des versions amélioré de MIFARE où les slots mémoires des cartes ont des données encryptées avec l'ID de l'installation. La copie devrait être plus difficile ainsi que la copie de la carte car il faut avoir accès à la clé maitresse pour lire le contenu. Mais via ces backdoor, on peut facilement accéder à ces zones "protégées" car la backdoor se fait passer pour un lecteur/encodeur officiel de l'installation ( il y aurait la clé de l'installation et celle de la backdoor qui sont autorisées). C'est là, la faille. Et Changer toutes les portes des hotels par une nouvelle technologie, c'est pas gagné...
Il va falloir prendre l'habitude de ranger son laptops et mobile dans le coffre fort lorsqu'on sort de la chambre !

Ces backdoors sont une plaie mais surement déjà utilisées depuis des années. bizarre que cela ne sorte que maintenant :-)
On peut vraiment cloner le numéro de série de la carte ? Il me semblait que seul le contenu était clonable :keskidit:
Triton Abonné
Le 29/08/2024 à 09h33

wanou

On peut vraiment cloner le numéro de série de la carte ? Il me semblait que seul le contenu était clonable :keskidit:
Il existe des cartes avec numéro de série vierge. Réinscriptible ou seulement une fois (pour éviter de se faire détecter).
Martin Clavey Équipe
Le 27/08/2024 à 10h10
Petite correction dans le titre : Philippe Teuwen est belge
Fermer