Portail officiel de la sécurité informatique - ANSSI - République française
Actualités > TechniqueVulnérabilité exploitable des cartes sans contact Mifare Classic29 octobre 2008 12:43
MIFARE est une marque de la société NXP Semiconductors, sous laquelle sont diffusés plusieurs produits de type cartes sans contact destinés notamment aux systèmes de contrôle d’accès, par exemple dans les réseaux de transport public. Particulièrement peu chère, la carte MIFARE Classic, créée en 1994, est très répandue dans le monde. Ces cartes utilisent un protocole et un algorithme cryptographiques propriétaires dénommés respectivement MIFARE et CRYPTO-1. CRYPTO-1 présente une vulnérabilité découverte récemment, qui est exploitable par des outils d’attaques disponibles sur internet depuis quelques jours. Les systèmes de contrôle d’accès qui reposent uniquement sur l’algorithme CRYPTO-1 peuvent désormais être pris pour cible par des attaquants motivés. Il est recommandé aux organismes qui emploient ce produit ou ce protocole pour assurer des fonctions de sécurité :
Il convient de souligner que le système Navigo employé par le syndicat des transports d’Île-de-France (STIF) n’est pas touché car il repose sur d’autres technologies. De même, le système Vigik, s’il peut employer des technologies MIFARE comme support physique, utilise d’autres mécanismes cryptographiques pour assurer la sécurité du contrôle d’accès des postiers et des prestataires de service. Pour en savoir plus :
|
sans délai, d’étudier, en liaison avec leur fournisseur, les conséquences de cette vulnérabilité sur leur sécurité ;