Publié le 04-03-2008 à 08:21:43 dans le thème Réseau - Sécurité

Pays : Etats-Unis - Auteur : Damien Bancal

Pub : CA Anti-Virus 2007 - Protection exhaustive contre l’intrusion de virus!

Un docteur de l'université de Virginie, secondée par deux hackers, aurait trouvé le moyen de cracker, pirater, casser, un code de chiffrement qui protège des milliards de cartes de crédit de part le monde. Un chiffrement qui se trouverait aussi dans les laisser-passer du métro, les badges de sécurité ou encore les clés de contact sans fil de certaines voitures.

Le professeur Nohl n'a pas indiqué comment il avait réussi à cracker ce code. On sait simplement qu'il a utilisé pour moins de 1.000 dollars de matériel. Les "hackers" ont travaillé et trouvé une brèche dans une puce fabriquée par la société NXP, une compagnie basée au Pays-Bas autrefois filiale de la société Philips. (CCC)

Mise à jour : La faille ne concernerait pas les cartes bancaires. En effet, les informations mentionnées ne sont pas tout à fait exactes, dans la mesure où les puces qui ont été crackées par ces chercheurs ne sont pas utilisées dans les cartes de crédits. Commentaire (en anglais) de NXP.

MIFARE Holding Statement - 6 March 2008

NXP would like to respond to reports about security flaws in its MIFARE Classic chip. These chips are used for contactless ticketing systems in transport infrastructures around the world. NXP would like to clarify that the MIFARE Classic is a low end chip in a family of products for contactless smart card applications and is not utilized in ePassport, traditional banking or car security applications.

NXP would like to point out that the work to obtain the cryptographic algorithm of MIFARE Classic was undertaken by highly skilled researchers, who reverse engineered the chip; something that took a significant amount of time and resources.

NXP has established an open dialogue with the researchers and is evaluating possible attacks and countermeasures that could be taken in an overall system to prevent those. We are actively working with partners in the system integration field, who have the expertise to take appropriate measures in this respect for system infrastructures using MIFARE Classic.

NXP would like to clarify that contactless chips are only one component in a comprehensive system set-up, which usually comprises various layers of security. In practice, systems with multiple layers of end-to-end security have the means to detect tampered cards and take appropriate measures within a short timeframe. Even if one layer were to be compromised, other layers will stop misuse. Usually, transport authorities seek consultancy of security experts to identify potential attack scenarios as well as countermeasures.

The establishment of an appropriate system infrastructure, the possible risks, performance and costs must be considered carefully, in order to have a balanced trade-off between investment and functionality of such a system. NXP offers a wide range of chips that have varying degrees of security encryption, so that system integrators can choose the appropriate solution in terms of chip security and back end system to address security and privacy constraints in the respective scheme.

NXP works with many transport authorities globally to help their system integrators build and design systems that are appropriate for their needs and requirements and it will continue to do so.

NXP takes these claims seriously and continues to monitor the situation, evaluates its products and security measures, and remains open to discussions with all interested parties.

Benefits of Contactless Ticketing

NXP is convinced that contactless ticketing systems offer significant benefits over traditional paper and magnetic stripe tickets. Specifically these systems are cheaper to run, dramatically reduce ticket fraud, and are more convenient for travellers.

Safeguarding Privacy

Typically chips in tickets hold very limited data about the user. In most cases contactless tickets do not hold any user information and look anonymous to someone who would be able to steal and/or break the card level security. In case the card contains personalized user details, data is usually protected by strong algorithms and keys which are different from the algorithms and keys used to protect the chip security, or by back-office storage to prevent unauthorized access.

Eliminating Fraud

Contactless ticketing systems are much harder to counterfeit than paper or magnetic stripe cards. Breaking the security of a chip-based system requires significant technical ability and sophisticated equipment. Transport authorities around the world report a substantial decrease in fraudulent tickets used immediately after a paper or magnetic strip system is replaced by a chip based ticketing infrastructure.

By way of comparison, NXP estimates that it would cost an order of magnitude more to copy a magnetic stripe ticket compared to a plain paper ticket; however copying a ticket containing a chip requires considerably higher investment.

Lower Costs

Contactless ticketing terminals have no moving parts and require less cleaning and maintenance. Migrating to a contactless based systems provides transport authorities significant savings in maintenance costs and costs of equipment downtime.

Traveller’s Convenience

Contactless ticketing systems are much easier to use for travellers. As well as speeding up the time it takes to get through the ticket barrier, the systems do not require the tickets to be got out of bags or wallets.

# Liens connexes

En savoir plus (us)

News letter ZATAZ.COM

Inscrivez-vous gratuitement à la News-Letter de ZATAZ.COM et recevez, dans votre boite électronique, l'actualité diffusée dans nos colonnes.

Les secrets des membres de Youtube révélés

Le portail communautaire de diffusion de vidéo YouTube va devoir dévoiler les habitudes de ses visiteurs à la demande de la justice américaine.

Ca bouge chez HP: un espion viré

Un vice-président de la société informatique HP mis à la porte après avoir espionné et volé des données à un concurrent.

Piratage de magazine, une poule rentre dans la danse

Après la disparition du groupe SCaN, le petit monde de warez se dote d'un nouveau pirate de magazines du nom de MagChicken.

11 internautes français devant la justice pour piratage de site

Exclu - Loin d'être des génies de l'informatique, onze défaceurs de sites Internet se ont retrouvés devant la justice pour s'être amusé à pirater le GIGI, HEC ou encore Hippopotamus.

Downrevolution fermé

Un nouveau portail dédié aux téléchargements de logiciels, musiques et films piratés fermé par la police.

Les spams en mutation au premier semestre 2008

L’étude menée par les laboratoires Antispam BitDefender révèle une évolution des supports et des contenus utilisés par les spams.

Des cyber-criminels prennent pour cible Google

Des cyber-criminels ont détourné les comptes AdWords de Google pour référencer leurs programmes malveillants.

News letter ZATAZ.COM

Inscrivez-vous gratuitement à la News-Letter de ZATAZ.COM et recevez, dans votre boite électronique, l'actualité diffusée dans nos colonnes.

Les secrets des membres de Youtube révélés

Le portail communautaire de diffusion de vidéo YouTube va devoir dévoiler les habitudes de ses visiteurs à la demande de la justice américaine.

Ca bouge chez HP: un espion viré

Un vice-président de la société informatique HP mis à la porte après avoir espionné et volé des données à un concurrent.

Soldes: Portes-ouvertes numériques chez Nina Ricci

Exclu - Découverte d'un accès à l'administration du site Internet la marque de luxe Nina Ricci.

Cyberoam vs menaces numériques

Cyberoam lance une nouvelle version de son firmware pour mieux armer les entreprises contre les nouvelles menaces.

C'est pas l'homme qui prend le web, c'est le web qui prend l'homme

Exclu - Faille de sécurité sur les sites Internet du chanteur Renaud et du rappeur K-Maro. Un pirate pourrait prendre la main sur la page officielle du chanteur.

Sors ton COLT, un pirate est passé par là

Au moins 6.500 données sensibles stockées dans un ordinateur de la société COLT volés. Parmi les clients, la société CNET.

Données médicales privées retrouvées dans un parc d'attractions

Il n'y a pas que le train fantôme ou le grand huit dans les parcs d'attractions. Des dossiers médicaux sensibles ont été retrouvés dans l'un d'eux.

Réagissez à ce contenu