Attention, on parle de copie de badge sauvage qui sont déjà réalisable depuis plusieurs années pour les MIFARE Classic, soit la partie privée d'un contrôle d'accès à un bâtiment. Rien de nouveau, donc. Pour la partie Vigik, c'est différent. Les cartes sont certes les mêmes, mais les données contenues sont timecodées et le Vigik doit être rechargé sur une borne officielle quotidiennement pour fonctionner, donc les copies sauvages sont plus complexes à réaliser.
La seule différence est la facilité potentielle à copier les cartes sans accéder au lecteur, ce qui était nécessaire auparavant selon les modèles.
Donc, si tu transportes ta carte d'hôtel ou ton badge d'immeuble dans un étui blindé, il n'y a pas plus de risques suite à cette découverte qu'hier (si c'est du MIFARE Classic avec la backdoor).
Pour info également, des sociétés utilisent toujours du MIFARE Classic mais ont introduit une fonction de compteur incrémentale dans leur badge lors des accès ce qui emêche d'avoir des clônes actifs car une seule peut avoir le compteur à jour étant donné que c'est actualisé à chaque passage.
"Les cartes sont certes les mêmes, mais les données contenues sont timecodées et le Vigik doit être rechargé sur une borne officielle quotidiennement pour fonctionner, donc les copies sauvages sont plus complexes à réaliser."
Pour les badges "banalisés", utilisés par la Poste, les pompiers, certains livreurs de journaux, etc, oui. Pour tous les autres (badges personnels), non.
Le coeur du maintien frauduleux dans un SI, c’est de savoir si l’admin du SI avait l’INTENTION de sécuriser son SI. Autrement dit, dès que tu modifies .htaccess, la Cour de cassation te couvre contre tous les pirates! " />
D’autre part, le vol de données informatique n’est pas très pertinent ici. Poursuivre Bluetouff pour contrefaçon aurait été plus intelligent. " />
Mais au vu de la jurisprudence existante, et surtout au vu du pedigree dudit Bluetouff, il risque fort d’être condamné, et de devoir trainer la France devant la CJUE.
5 commentaires
Un chercheur belge identifie une porte dérobée dans les cartes sans contact MIFARE
26/08/2024
Le 29/08/2024 à 15h 14
Pour les badges "banalisés", utilisés par la Poste, les pompiers, certains livreurs de journaux, etc, oui. Pour tous les autres (badges personnels), non.
Au moins 70 planètes « errantes » découvertes dans notre galaxie
22/12/2021
Le 23/12/2021 à 08h 40
Lonely planet.
France THD : la plainte d’un opérateur bouscule la validation européenne
01/10/2015
Le 05/10/2015 à 14h 02
Il est incroyable que les opérateurs radio locaux ou opérant des RIP aient été “oubliés” du plan THD.
Les sénateurs PS veulent « taxer » l’impression 3D avec la redevance copie privée
04/04/2015
Le 05/04/2015 à 23h 15
Je croyais que le gouvernement voulait supprimer les taxes qui rapportent moins que le coût de collecte?
 http://www.challenges.fr/economie/20140129.CHA9769/en-finir-avec-ces-taxes-que-s…
L’affaire Bluetouff tranchée fin mai par la Cour de cassation
13/03/2015
Le 13/03/2015 à 17h 13
Lire aussi une bonne analyse de la jurisprudence existante sur le maintien frauduleux dans un système d’information (SI):
" />
" />
http://www.cabinetbastien.fr/publication-18807-que-nous-enseigne-l-affaire-bluet…
Le coeur du maintien frauduleux dans un SI, c’est de savoir si l’admin du SI avait l’INTENTION de sécuriser son SI. Autrement dit, dès que tu modifies .htaccess, la Cour de cassation te couvre contre tous les pirates!
D’autre part, le vol de données informatique n’est pas très pertinent ici. Poursuivre Bluetouff pour contrefaçon aurait été plus intelligent.
Mais au vu de la jurisprudence existante, et surtout au vu du pedigree dudit Bluetouff, il risque fort d’être condamné, et de devoir trainer la France devant la CJUE.