Publié le 04-03-2008 à 08:21:43 dans le thème Réseau - Sécurité

Pays : Etats-Unis - Auteur : Damien Bancal

Pub : Tous les logiciels antispyware gratuits disponibles sur Internet

Un docteur de l'université de Virginie, secondée par deux hackers, aurait trouvé le moyen de cracker, pirater, casser, un code de chiffrement qui protège des milliards de cartes de crédit de part le monde. Un chiffrement qui se trouverait aussi dans les laisser-passer du métro, les badges de sécurité ou encore les clés de contact sans fil de certaines voitures.

Le professeur Nohl n'a pas indiqué comment il avait réussi à cracker ce code. On sait simplement qu'il a utilisé pour moins de 1.000 dollars de matériel. Les "hackers" ont travaillé et trouvé une brèche dans une puce fabriquée par la société NXP, une compagnie basée au Pays-Bas autrefois filiale de la société Philips. (CCC)

Mise à jour : La faille ne concernerait pas les cartes bancaires. En effet, les informations mentionnées ne sont pas tout à fait exactes, dans la mesure où les puces qui ont été crackées par ces chercheurs ne sont pas utilisées dans les cartes de crédits. Commentaire (en anglais) de NXP.

MIFARE Holding Statement - 6 March 2008

NXP would like to respond to reports about security flaws in its MIFARE Classic chip. These chips are used for contactless ticketing systems in transport infrastructures around the world. NXP would like to clarify that the MIFARE Classic is a low end chip in a family of products for contactless smart card applications and is not utilized in ePassport, traditional banking or car security applications.

NXP would like to point out that the work to obtain the cryptographic algorithm of MIFARE Classic was undertaken by highly skilled researchers, who reverse engineered the chip; something that took a significant amount of time and resources.

NXP has established an open dialogue with the researchers and is evaluating possible attacks and countermeasures that could be taken in an overall system to prevent those. We are actively working with partners in the system integration field, who have the expertise to take appropriate measures in this respect for system infrastructures using MIFARE Classic.

NXP would like to clarify that contactless chips are only one component in a comprehensive system set-up, which usually comprises various layers of security. In practice, systems with multiple layers of end-to-end security have the means to detect tampered cards and take appropriate measures within a short timeframe. Even if one layer were to be compromised, other layers will stop misuse. Usually, transport authorities seek consultancy of security experts to identify potential attack scenarios as well as countermeasures.

The establishment of an appropriate system infrastructure, the possible risks, performance and costs must be considered carefully, in order to have a balanced trade-off between investment and functionality of such a system. NXP offers a wide range of chips that have varying degrees of security encryption, so that system integrators can choose the appropriate solution in terms of chip security and back end system to address security and privacy constraints in the respective scheme.

NXP works with many transport authorities globally to help their system integrators build and design systems that are appropriate for their needs and requirements and it will continue to do so.

NXP takes these claims seriously and continues to monitor the situation, evaluates its products and security measures, and remains open to discussions with all interested parties.

Benefits of Contactless Ticketing

NXP is convinced that contactless ticketing systems offer significant benefits over traditional paper and magnetic stripe tickets. Specifically these systems are cheaper to run, dramatically reduce ticket fraud, and are more convenient for travellers.

Safeguarding Privacy

Typically chips in tickets hold very limited data about the user. In most cases contactless tickets do not hold any user information and look anonymous to someone who would be able to steal and/or break the card level security. In case the card contains personalized user details, data is usually protected by strong algorithms and keys which are different from the algorithms and keys used to protect the chip security, or by back-office storage to prevent unauthorized access.

Eliminating Fraud

Contactless ticketing systems are much harder to counterfeit than paper or magnetic stripe cards. Breaking the security of a chip-based system requires significant technical ability and sophisticated equipment. Transport authorities around the world report a substantial decrease in fraudulent tickets used immediately after a paper or magnetic strip system is replaced by a chip based ticketing infrastructure.

By way of comparison, NXP estimates that it would cost an order of magnitude more to copy a magnetic stripe ticket compared to a plain paper ticket; however copying a ticket containing a chip requires considerably higher investment.

Lower Costs

Contactless ticketing terminals have no moving parts and require less cleaning and maintenance. Migrating to a contactless based systems provides transport authorities significant savings in maintenance costs and costs of equipment downtime.

Traveller’s Convenience

Contactless ticketing systems are much easier to use for travellers. As well as speeding up the time it takes to get through the ticket barrier, the systems do not require the tickets to be got out of bags or wallets.

# Liens connexes

En savoir plus (us)

Tweet

L´ANSSI recrute de manière originale

06-02-2012 à 19:16 - 0 commentaire(s)

INFO ZATAZ - L´Agence Nationale de la Sécurité des Système d'Information lance un recrutement fort sympathique pour les amateurs de chiffrement.

Nouvelle attaque à l´encontre des clients du Crédit Agricole

05-02-2012 à 10:43 - 0 commentaire(s)

INFO ZATAZ - Nouvelle tentative de vol de données bancaires appartenant aux clients de la banque française Crédit Agricole.

Sauvegarde des conversations téléphoniques pour France télévision

04-02-2012 à 11:42 - 0 commentaire(s)

INFO ZATAZ - Un document intéressant mis à jour sur Internet visant les sociétés souhaitant faire du business avec France Télévision.

Faille sur le site Wikileaks

04-02-2012 à 11:27 - 0 commentaire(s)

INFO ZATAZ - Une faille sur le site Wikileaks permet d´afficher n´importe quoi, donc de fausses informations, sur le portail international d´information.

Piège sur Facebook

04-02-2012 à 10:59 - 0 commentaire(s)

INFO ZATAZ - Un escroc se fait passer pour Coca Cola, sur Facebook, afin de mettre la main sur vos données privées.

Arnaque aux logements

04-02-2012 à 10:53 - 0 commentaire(s)

INFO ZATAZ - Depuis quelques heures, un escroc tente de louer de faux appartements en région parisienne. ZATAZ vous l´a délogé.

Une conférence téléphonique du FBI piratée par des Anonymous

04-02-2012 à 10:21 - 1 commentaire(s)

INFO ZATAZ - Une conférence téléphonique entre FBI et plusieurs polices européennes, dont la France, au sujet des Anonymous, interceptée.

La Ville de Chambéry corrige une fuite de données

04-02-2012 à 10:05 - 1 commentaire(s)

INFO ZATAZ - Avec l´aide du CERTA, le site Internet de la ville de Chambéry bouche une fuite de données concernant les administrés de cette commune Française.

Faille sur le site Wikileaks

INFO ZATAZ - Une faille sur le site Wikileaks permet d´afficher n´importe quoi, donc de fausses informations, sur le portail international d´information.

La Ville de Chambéry corrige une fuite de données

INFO ZATAZ - Avec l´aide du CERTA, le site Internet de la ville de Chambéry bouche une fuite de données concernant les administrés de cette commune Française.

Prudence aux liens vers Darty et ELLE

Des vulnérabilités ont été découvertes sur les sites RueDuCommerce, Darty et du journal ELLE. Prudence aux liens exterieurs.

Quand des Anonymous tapent sur des Anonymous, ça mousse

INFO ZATAZ - Des Anonymous reprochent à d´autres Anonymous d'avoir piraté des sites appartenant à la mouvance d'extrême droite. Pour les punir, leurs identités sont diffusées sur la toile.

Les informations confidentielles de 541 policiers Français diffusées par les Anonymous

Les Anonymous diffusent sur Internet l´identités et des informations confidentielles de plusieurs centaines de policiers Français.

Faille pour Myspace

Info ZATAZ - Une vulnérabilité de type Cross-Site Scripting vise le portail communautaire MySpace.

Multiples failles pour le site économique Forbes

INFO ZATAZ - Plusieurs vulnérabilités touchent le site économique américain Forbes. Les lecteurs peuvent être touchés directement.

La ville de Béthune corrige une fuite de données

INFO ZATAZ - Une méga fuite de données permettait d´accéder à une imposante base de données appartenant à la Mairie de Béthune.

Réagissez à ce contenu