Defcon : une présentation de failles RFID interdite

Le par  |  0 commentaire(s) Source : AP
MIT_logo_massachusetts

Des étudiants du MIT souhaitaient présenter les résultats de leurs recherches sur les failles du système de paiement sans contact des transports publics de Boston lors de la conférence Defcon. Un juge en a décidé autrement.

MIT_logo_massachusettsPas facile de présenter des travaux lorsque ceux-ci touchent à des domaines sensibles, comme les systèmes de paiement sans contact utilisés dans les transports publics. Si le fondeur NXP n'a pu  faire interdire la publication de failles concernant son système de paiement sans contact MIFARE Classic, concernant les transports londoniens et hollandais, le Massachusetts Bay Transportation Authority ( MBTA ), gérant des transports publics de Boston est parvenu à ses fins.

Trois étudiants du MIT ( Massachusetts Institute of Technology ) souhaitaient en effet évoquer les failles du système de paiement RFID du système de paiement des transports publics de Boston lors de la conférence Defcon.

Le trio annonçait être en mesure de cloner des cartes de paiement et s'apprêtait à donner des indications sur la méthode employée. Mais le MBTA a porté plainte dès l'ouverture de la conférence contre le étudiants et contre le MIT lui-même.


Révéler ou pas les failles de sécurité ?
Gary Foster, directeur technique du système de paiement, explique dans la plainte que la présentation risque d'avoir des conséquences néfastes si le MBTA n'est pas en mesure de corriger les failles avant qu'elles soient rendues publiques. D'autant que les systèmes de paiement visé, déjà utilisé pour le métro et les bus, devraient être élargi à d'autres moyens de transport de la ville ( équivalents du RER, ferrys, etc ).

L' EFF ( Electronic Frontier Foundation ), qui va porter assistance aux étudiants dans cette plainte, explique que ces derniers n'auraient pas révélé certains éléments critiques nécessaires pour pirater le système et qu'il s'agissait essentiellement de faire connaître leurs travaux.

Le même type d'argument est avancé que dans le cas MIFARE Classic : il est important que l'information circule à un certain niveau sans quoi des personnes malintentionnées finiront tôt ou tard par mettre la main dessus pour les exploiter. Si les experts en sécurité sont au courant de l'existence de ces failles, ils pourront prendre les mesures adéquates.
Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]