Trois étudiants du MIT ( Massachusetts Institute of Technology ) souhaitaient en effet évoquer les failles du système de paiement RFID du système de paiement des transports publics de Boston lors de la conférence Defcon.
Le trio annonçait être en mesure de cloner des cartes de paiement et s'apprêtait à donner des indications sur la méthode employée. Mais le MBTA a porté plainte dès l'ouverture de la conférence contre le étudiants et contre le MIT lui-même.
Révéler ou pas les failles de sécurité ?
Gary Foster, directeur technique du système de paiement, explique dans la plainte que la présentation risque d'avoir des conséquences néfastes si le MBTA n'est pas en mesure de corriger les failles avant qu'elles soient rendues publiques. D'autant que les systèmes de paiement visé, déjà utilisé pour le métro et les bus, devraient être élargi à d'autres moyens de transport de la ville ( équivalents du RER, ferrys, etc ).
L' EFF ( Electronic Frontier Foundation ), qui va porter assistance aux étudiants dans cette plainte, explique que ces derniers n'auraient pas révélé certains éléments critiques nécessaires pour pirater le système et qu'il s'agissait essentiellement de faire connaître leurs travaux.
Le même type d'argument est avancé que dans le cas MIFARE Classic : il est important que l'information circule à un certain niveau sans quoi des personnes malintentionnées finiront tôt ou tard par mettre la main dessus pour les exploiter. Si les experts en sécurité sont au courant de l'existence de ces failles, ils pourront prendre les mesures adéquates.
Source :
AP
