#Le brief du 26 août 2024

Un chercheur belge identifie une porte dérobée dans les cartes sans contact MIFARE

Le 26 août 2024 à 15h31

Philippe Teuwen, responsable de la recherche de la société française de cybersécurité Quarkslab et ancien responsable de la recherche en sécurité de NXP Semiconductors, a découvert une « porte dérobée matérielle permettant l'authentification avec une clé inconnue » dans les cartes sans contact MIFARE Classic.

En 2020, la société Shanghai Fudan Microelectronics, le principal fabricant chinois de puces « compatibles MIFARE » sans licence, avait sorti une variante, la FM11RF08S. Dotée de contre-mesures spécifiques conçues pour déjouer toutes les attaques connues par carte seule, sans accès à son lecteur, elle a depuis gagné des parts de marché dans le monde entier.

Développées sous licence de NXP, elles sont aujourd'hui déployées dans plus de 50 pays, et utilisées par plus de 1,2 milliard de personnes pour ouvrir leurs chambres d'hôtel ou dans leurs cartes de transport, rappelle Fred Raynal. CEO de Quarkslab, ce dernier est également connu pour avoir co-fondé le Symposium sur la sécurité des technologies de l'information et des communications (SSTIC), et avoir créé la revue MISC consacrée à la cybersécurité.

Or, Philippe Teuwen a identifié (preprint) plusieurs attaques lui permettant d'identifier la présence d'une porte dérobée matérielle dans plusieurs cartes développées par Fudan, mais également dans d'anciennes cartes de NXP (MF1ICS5003 & MF1ICS5004) et Infineon (SLE66R35), « simplement en accédant à la carte pendant quelques minutes ».

« Toutes ont la même backdoor … mais avec des clés différentes », résume Fred Raynal, pour qui cette porte dérobée remonterait à « un temps reculé ». Il formule l'hypothèse qu'elle aurait été introduite, soit à la demande du gouvernement chinois, soit par ce dernier et à l'insu de NXP et Infineon, avant que Fudan ne s'inspire de leur MIFARE Classic et ne la reproduise dans ses propres cartes.

Philippe Teuwen rappelle par ailleurs que « le protocole MIFARE Classic est intrinsèquement cassé, quelle que soit la carte », qu'il sera toujours possible de récupérer les clés si un pirate a accès au lecteur correspondant, et qu'il existe de nombreuses alternatives plus robustes sur le marché.

Le 26 août 2024 à 15h31

Un chercheur belge identifie une porte dérobée dans les cartes sans contact MIFARE

Le FAI associatif FDN bloqué par AWS, Reddit, YouTube et Engie

Le 26 août 2024 à 12h06

French Data Network (FDN), association fondée en 1992 et un des pionniers d'internet en France, explique dans un billet de blog que ses membres, auxquels il donne accès au réseau, ne peuvent plus accéder aux sites d'Engie.

Du côté de YouTube, depuis peu, les utilisateurs du réseau associatif ne peuvent plus accéder au site sans que celui-ci leur demande de se connecter « pour confirmer [qu'ils ne sont pas] un robot ». Le problème est similaire chez Reddit. D'autres sites comme BoursoBank, Disney Plus, entre autres, sont eux aussi touchés.

Pour les sites du groupe industriel énergétique, le problème existe depuis avril 2023 explique FDN. Une erreur HTTP 403 s'affiche à la place. Le support technique du fournisseur d'accès associatif a constaté que sa plage d'adresses (ainsi que celle du réseau de Gitoyen, un autre FAI associatif) « est présente dans le groupe de règles de filtrage "AWS-AWSManagedRulesAnonymousIpList" mis à disposition par Amazon Web Services (AWS) auprès de ses clients, dont Engie fait partie ».

Après avoir essayé de contacter les différents acteurs, l'association demande publiquement à AWS de retirer les réseaux FDN et Gitoyen de son groupe de règles de filtrage, à Engie de débloquer l'accès à ses sites et à YouTube « de ne pas forcer l’authentification des utilisateurices venant des réseaux de FDN et Gitoyen ». « Nous ne sommes pas des robots ! », ajoute l'association.

Le 26 août 2024 à 12h06

Le FAI associatif FDN bloqué par AWS, Reddit, YouTube et Engie

Meta annule ses projets de casque premium de réalité mixte

Le 26 août 2024 à 09h26

Rappelez-vous, en début d’été dernier, Apple qui défrayait la chronique avec son casque Vision Pro de réalité mixte.


Un peu plus d’un an plus tard, son concurrent Meta, qui avait mis sur les rails un projet de casque concurrent, abandonne la course.

Apple Vision Pro : la réalité mixte finira-t-elle par décoller ?

D’après The Information, les employés de son département Reality Labs ont eu pour ordre de cesser de travailler sur le projet de casque la semaine dernière. 


Nommé La Jolla en interne, prévu pour une sortie en 2027, il devait être équipé d’écran d’ultra-haute résolution micro OLED, comme le casque d’Apple.

Vendu à 3 500 dollars pièce, ce dernier a eu du mal à se vendre depuis sa sortie, rapporte Reuters.

Meta, qui a déjà suspendu la production de son casque le plus cher, le Quest Pro (vendu à 999 $) en 2023, semble se concentrer sur sa ligne de produits plus accessibles : le Quest 2, vendu 200 $, et le Quest 3, vendu 500 $ (549,99 €).

Le 26 août 2024 à 09h26

Meta annule ses projets de casque premium de réalité mixte

Après l’attente, la honte : la capsule Starliner de Boeing rentrera à vide

Le 26 août 2024 à 08h21

Arrivés pour un séjour d’une semaine, les deux astronautes resteront finalement huit mois dans la Station spatiale internationale. L’Agence spatiale américaine a confirmé son choix ce week-end.

La capsule Starliner de Boeing rentrera sur Terre sans Butch Wilmore et Suni Williams, a priori en septembre. Starliner doit pour rappel concurrencer Crew Dragon de SpaceX et permettre aux Américains d’avoir de la concurrence (en plus de la souveraineté) sur l’envoi d’astronautes dans l’espace. La seule autre solution actuelle pour l’ISS est russe, avec Soyouz.

« Le retour sans équipage permet à la NASA et à Boeing de continuer à recueillir des données d’essai sur Starliner lors du vol de retour, tout en n’acceptant pas plus de risques que nécessaire pour son équipage ».

Les deux astronautes, des vétérans qui n’en sont pas à leur coup d’essai, « poursuivront leur travail comme membres d’équipage officiels de l’Expédition 71/72 jusqu’en février 2025. Ils rentreront chez eux à bord d’un vaisseau spatial Dragon avec deux autres membres d’équipage affectés à la mission Crew-9 de SpaceX ». Au lieu de huit jours, les deux astronautes resteront huit mois.

Une fois la capsule de retour sur Terre, la NASA examinera de près toutes les données liées à cette mission. Elle donnera par la suite des informations « sur les actions supplémentaires nécessaires afin de répondre à ses exigences de certification ». En effet, la capsule doit normalement effectuer un vol d’essai avec équipage.

La moitié de la mission est remplie, mais avec des soucis (fuite d’hélium et panne de certains moteurs). Lors de son premier vol, à vide, la capsule avait déjà eu des déboires et n’avait pas pu atteindre la Station spatiale internationale. Elle enchaine aussi les retards depuis des années.

Si c’est un coup dur pour Boeing (qui est aussi en difficulté avec certains de ses avions), la NASA affirme avoir toujours confiance en son partenaire. Les deux entreprises expliquent simplement qu’il y a un « "désaccord" sur le niveau de risque », comme le rapporte TechCrunch. « Accordons-nous sur un désaccord » (Boris l’animal), pourrait être la phrase de fin.

Le 26 août 2024 à 08h21

Après l’attente, la honte : la capsule Starliner de Boeing rentrera à vide

Fermer