Des hackers mettent en émoi les transports publics hollandais avec un moyen de pirater des cartes à puces sans contact

Des « chercheurs » dont un étudiant de l'Université de Virginie ont trouvé le moyen de pirater des cartes sans contact utilisées dans les transports. Il s'agit des modèles Mifare Classic de NXP Semiconductors. Cela a sérieusement ému les transports néerlandais qui vont devoir, à terme, changer de carte.

Un « crackage » de cartes sans contact a été présenté en décembre dernier. Il touche les modèles fréquemment utilisés dans les transports. La carte concernée est plus précisément la carte Mifare classic 4K, fabriquée par la société NXP Semiconductors (émanation de Philipps). Il s'agit d'une carte embarquant de la mémoire et non un processeur, plus puissant, comme on en trouve dans les cartes bancaires. La carte sert par exemple aux nouveaux systèmes de transport hollandais (l'OV-Chipkaart) ou dans les transports de Boston (la CharlieCard). Il n'est pas encore clair que ce même composant soit utilisé ou non pour la carte Oyster des transports de Londres.

Une carte avec plus de sécurité
Le décryptage des protections a soulevé une profonde controverse en Hollande en Janvier dernier, menaçant le maintien de la carte comme moyen de paiement. La société TLS(Trans Link System) responsable du projet, a dans l'urgence commandé un audit auprès de TNO, un prestataire spécialisé. Les résultats ont été présenté le 29 février dernier. Il a finalement été décidé de conserver la carte actuelle « tout en prenant des mesures afin d'améliorer le système et de combattre les abus ». La décision est cependant prise de migrer depuis les cartes Mifare Classic 4K vers des cartes avec de meilleures caractéristiques de sécurité. En revanche, le besoin de migrer n'est pas aigu, mais il faut y être prêt. TLS reconnaît qu'il pourrait y avoir des cas où il sera nécessaire d'indemniser des passagers. Il serait irréaliste en revanche d'imaginer un vol de crédit. Quant aux données personnelles, l'identité n'est pas conservée dans la carte même si elle est imprimée dessus. Au bout du compte, des contrôles au niveau du back office peuvent permettre de détecter un usage frauduleux de la carte, et de la bloquer. Jusqu'à présent cela n'a pas été le cas.

Une simple carte mémoire avec 2 clés par secteur
Les caractéristiques de la carte Mifare classic 4K sont présentées sur le site de NXP et, plus simplement, sur Wikipedia. Ce type de carte est essentiellement de la mémoire. La mémoire est séparée en segments et en blocs, avec de simples mécanismes de sécurité lors de l'accès avec deux clés différentes par secteur. La Mifare 4K offre 3 Ko de données découpées en 40 secteurs. Chaque secteur peut servir à une application différente. L'attaque a été montrée lors de la 24 ème édition du Congrès du Chaos Computer Club à Berlin, en décembre. L'intérêt autour de cette attaque s'est propagée à partir de là.

Photo : la carte Mifare classique 4K est utilisée dans les nouveaux systèmes de transport hollandais avec l'OV-Chipkaart

. Web-profils.com, la place de marché du conseil et de l'ingénierie