Connexion
Abonnez-vous

Un chercheur belge identifie une porte dérobée dans les cartes sans contact MIFARE

Le 26 août à 15h31

Philippe Teuwen, responsable de la recherche de la société française de cybersécurité Quarkslab et ancien responsable de la recherche en sécurité de NXP Semiconductors, a découvert une « porte dérobée matérielle permettant l'authentification avec une clé inconnue » dans les cartes sans contact MIFARE Classic.

En 2020, la société Shanghai Fudan Microelectronics, le principal fabricant chinois de puces « compatibles MIFARE » sans licence, avait sorti une variante, la FM11RF08S. Dotée de contre-mesures spécifiques conçues pour déjouer toutes les attaques connues par carte seule, sans accès à son lecteur, elle a depuis gagné des parts de marché dans le monde entier.

Développées sous licence de NXP, elles sont aujourd'hui déployées dans plus de 50 pays, et utilisées par plus de 1,2 milliard de personnes pour ouvrir leurs chambres d'hôtel ou dans leurs cartes de transport, rappelle Fred Raynal. CEO de Quarkslab, ce dernier est également connu pour avoir co-fondé le Symposium sur la sécurité des technologies de l'information et des communications (SSTIC), et avoir créé la revue MISC consacrée à la cybersécurité.

Or, Philippe Teuwen a identifié (preprint) plusieurs attaques lui permettant d'identifier la présence d'une porte dérobée matérielle dans plusieurs cartes développées par Fudan, mais également dans d'anciennes cartes de NXP (MF1ICS5003 & MF1ICS5004) et Infineon (SLE66R35), « simplement en accédant à la carte pendant quelques minutes ».

« Toutes ont la même backdoor … mais avec des clés différentes », résume Fred Raynal, pour qui cette porte dérobée remonterait à « un temps reculé ». Il formule l'hypothèse qu'elle aurait été introduite, soit à la demande du gouvernement chinois, soit par ce dernier et à l'insu de NXP et Infineon, avant que Fudan ne s'inspire de leur MIFARE Classic et ne la reproduise dans ses propres cartes.

Philippe Teuwen rappelle par ailleurs que « le protocole MIFARE Classic est intrinsèquement cassé, quelle que soit la carte », qu'il sera toujours possible de récupérer les clés si un pirate a accès au lecteur correspondant, et qu'il existe de nombreuses alternatives plus robustes sur le marché.

Le 26 août à 15h31

Commentaires (22)

votre avatar
Maintenant que c'est connu, combien de tempsa vant l'explosion des vols dans les chambres d'hôtel ?
votre avatar
En espérant qu'un fix puisse être fait avec une simple maj ? 🤞
votre avatar
A priori non. La porte dérobée est matérielle et permet, de ce que j'ai compris, le clonage des cartes simplement en ayant accès à celle-ci, en l'espace de quelques secondes.
votre avatar
Le temps de bricoler un truc portable et discret à base d'ESP32.
Soit avant-hier pour la première exploitation. :fumer:
votre avatar
même pas besoin de ça un bon téléphone avec nfc devrais suffire.

cadeau
votre avatar
Sinon, il y a aussi TagInfo de NXP.
votre avatar
« Philippe Teuwen rappelle par ailleurs que "le protocole MIFARE Classic est intrinsèquement cassé, quelle que soit la carte" »
parce qu’il a déjà été contourné par ailleurs (hors backdoor) et que son protocole est trop vieux ?
votre avatar
Vu que les badges Vigik sont aussi à base de Mifare Classic, on est mal. Il va falloir remettre des clefs non PTT.

Scan d'un badge Vigik: puce MF1S50 de NXP.
votre avatar
Voilà pourquoi notre copro a refusé le Vigik.
votre avatar
Attention, on parle de copie de badge sauvage qui sont déjà réalisable depuis plusieurs années pour les MIFARE Classic, soit la partie privée d'un contrôle d'accès à un bâtiment. Rien de nouveau, donc.
Pour la partie Vigik, c'est différent. Les cartes sont certes les mêmes, mais les données contenues sont timecodées et le Vigik doit être rechargé sur une borne officielle quotidiennement pour fonctionner, donc les copies sauvages sont plus complexes à réaliser.

La seule différence est la facilité potentielle à copier les cartes sans accéder au lecteur, ce qui était nécessaire auparavant selon les modèles.

Donc, si tu transportes ta carte d'hôtel ou ton badge d'immeuble dans un étui blindé, il n'y a pas plus de risques suite à cette découverte qu'hier (si c'est du MIFARE Classic avec la backdoor).

Pour info également, des sociétés utilisent toujours du MIFARE Classic mais ont introduit une fonction de compteur incrémentale dans leur badge lors des accès ce qui emêche d'avoir des clônes actifs car une seule peut avoir le compteur à jour étant donné que c'est actualisé à chaque passage.
votre avatar
"Les cartes sont certes les mêmes, mais les données contenues sont timecodées et le Vigik doit être rechargé sur une borne officielle quotidiennement pour fonctionner, donc les copies sauvages sont plus complexes à réaliser."

Pour les badges "banalisés", utilisés par la Poste, les pompiers, certains livreurs de journaux, etc, oui. Pour tous les autres (badges personnels), non.
votre avatar
Les badges personnels ne sont pas des Vigik. Le système Vigik n'est que la partie autorisation d'accès pour les professionnels.
Les centrales d'accès compatibles Vigik sont badgées du logo, mais la partie gérant l'accès des badges personnels est différente et propre à chaque marque de centrale (Intratone, Immotec, etc.).
votre avatar
j ai pas vraiment compris, ca fait des année qu'un simple smartphone nfc peut lire n'importe quelle puce nfc. Pour les copier sur un nouveau badge depuis le telephone , c'est un peux plus compliqué, puisqu'il faut des badges de dernieres génération (a 2€ piece environ), ou un flipper 0 pour des badges moins cher . Cette faille signifie t elle que l'on peut s'introduire dans un batiment proteger par nfc sans copie d'une badge d'origine?
votre avatar
Dans le cas des systèmes Vigik, ce n'est pas forcément le contenu copiable qui est utilisé mais l'ID.

En mode liste blanche (cas le plus courant), la centrale d'accès connaît la liste des ID badges autorisés.

En mode liste noire, un contenu sert de sésame mais une liste des badges interdits est conservée. On y met les ID des badges perdus.

Dans le second mode, une copie est donc possible je pense.
votre avatar
Donc dans les badge de liste noire il y'a un mot de passe chiffré dans le badge , et c'est ce mot de passe qui donne l accès. Et donc maintenant on sait déchiffrer le mot de passe c'est ça ?
votre avatar
Je ne pense pas qu'il s'agisse d'un mot de passe car aucun n'est demandé quand on passe en mode liste noire sur des matériels comme les centrales Btcino/Legrand. Il doit sûrement s'agir d'un simple ID sur 64 bits ou plus, généré aléatoirement ou pas, par le logiciel de configuration de l'installation en fonction peut-être d'un numéro d'installation et d'un sel quelconque.

Il faut bien comprendre que ces configurations doivent être à la portée d'électriciens courant faibles (ceux qui sont normalement spécialisés dans les contrôle d'accès, les caméras, la domotique...). Le dernier que j'ai croisé m'a affirmé que le blindage des câbles réseau ne servait à rien (je l'ai vu couper tous les fils quand il a corrigé un câblage qui ne tenait pas le gigabit dans un appart neuf), il manque clairement une formation solide dans ce métier.

Donc, pour répondre à ta question, l'accès en liste noire se fait très certainement par présence d'un mot magique dans certaines portions mémoire.

Concernant l'éventuelle question d'une mise à jour, le matériel pro de contrôle d'accès n'est pas mieux loti que le matériel grand public avec un abandon des clients assez rapide, parfois après seulement 5 ans de mise sur le marché comme dans le cas des centrales Btcino que Legrand à racheté pour viser exclusivement le marché des belles villas permettant de pratiquer des vils prix pour du matériel dont la qualité n'est clairement pas en rapport.

Question prix, remplacer la centrale d'accès reviendrait dans beaucoup de cas à remplacer l'intégralité du système de contrôle d'accès soit une facture de près de 40 k€ pour 60 logements.
votre avatar
"Question prix (...) une facture de près de 40 k€ pour 60 logements."

Ce n'est pas une question de prix mais de "sécurité", d'ailleurs c'est pas le syndic "dévoué" qui paie... et il pourra refacturer les badges troués une blinde en cas de perte ou si on en veut en plus des 2 gracieusement "offerts" par logement!

Quand on a goûté aux joies de la copropriété, surtout si on a été longtemps en mode syndic bénévole et que la complexité croissante de la tâche a fait lâcher l'affaire et que l'on a pu constater l'évolution alarmante des charges, franchement si on en sort c'est pour ne jamais y revenir!
votre avatar
Le syndic paie, mais ce n'est pas cadeau, ça rentre dans tes charges et donc tu paies...
votre avatar
Souvent, les systèmes d'accès ne check uniquement que le numéro de série de la carte pour donner l'accès au bâtiment. C'est basique et du coup le MIFARE Classic utilisé comme cela est facilement attaquable car on peut cloner celui-ci avec des carte vierge.

Il existe des versions amélioré de MIFARE où les slots mémoires des cartes ont des données encryptées avec l'ID de l'installation. La copie devrait être plus difficile ainsi que la copie de la carte car il faut avoir accès à la clé maitresse pour lire le contenu. Mais via ces backdoor, on peut facilement accéder à ces zones "protégées" car la backdoor se fait passer pour un lecteur/encodeur officiel de l'installation ( il y aurait la clé de l'installation et celle de la backdoor qui sont autorisées). C'est là, la faille. Et Changer toutes les portes des hotels par une nouvelle technologie, c'est pas gagné...
Il va falloir prendre l'habitude de ranger son laptops et mobile dans le coffre fort lorsqu'on sort de la chambre !

Ces backdoors sont une plaie mais surement déjà utilisées depuis des années. bizarre que cela ne sorte que maintenant :-)
votre avatar
On peut vraiment cloner le numéro de série de la carte ? Il me semblait que seul le contenu était clonable :keskidit:
votre avatar
Il existe des cartes avec numéro de série vierge. Réinscriptible ou seulement une fois (pour éviter de se faire détecter).
votre avatar
Petite correction dans le titre : Philippe Teuwen est belge

Un chercheur belge identifie une porte dérobée dans les cartes sans contact MIFARE

Fermer