La méthode de clonage de MIFARE Classic pourra être publiée

Le système MIFARE Classic, l'un des principaux systèmes de cartes de paiement sans contact, est très largement déployé dans le cadre des transports publics, dont le système Oyster au Royaume-Uni, se trouve en mauvaise posture.

Des chercheurs hollandais de l'Université Radboud de Nimègue, ont développé une méthode de clonage des cartes MIFARE Classic en profitant de failles de sécurité et envisagent de la rendre publique plus tard dans l'année. Ils ont notamment validé leur technique en clonant une carte Oyster début 2008.

NXP, détenteur des droits de cette technique développée initialement par Philips, a tenté d'empêcher cette publication en portant plainte contre les chercheurs. Toutefois, comme le rapporte BBC News, la justice hollandaise en a décidé autrement.


MIFARE mis en cause
Outre les 17 millions de cartes Oyster utilisées quotidiennement à Londres, MIFARE Classic est également utilisé comme système de paiement à Hong-Kong et aux Pays-Bas. Plus gênant, la technologie MIFARE est également utilisée pour sécuriser l'accès aux bâtiments publics par plusieurs gouvernements.

Bien qu'ayant communiqué leurs résultats à NXP et au gouvernement hollandais, en vue de leur laisser le temps de préparer une parade, les chercheurs souhaitent publier leurs travaux, ce que la cour d'Arnhem leur reconnaît : " les dommages potentiels encourus par NXP ne sont pas le résultat de la publication de l'article mais de la production et de la vente de chipsets présentant des failles. "

Ce sont donc bien les insuffisances du système MIFARE qui sont pointées du doigt et  la justice estime que la connaissance de ces dernières finira par être documentée et exploitée tôt ou tard. Pour l'Université Radboud, "...dans une société démocratique, il est d'extrême importance que les résultats d'une recherche scientifique puissent être publiés. "


Rendre publics ou pas les résultats ? That is the question
Pour Christophe Duverne, porte-parole de NXP, interrogé par Reuters, il faudra des années avant que certains clients de MIFARE puissent adapter leur système contre d'éventuelles attaques. " Le problème n'est pas qu'ils publient les grandes lignes de ce qu'ils ont trouvé dans leur recherche dans le but d'informer la société, je pense que c'est au contraire louable. Mais diffuser en détail la méthode, dont l'algorithme [...] n'est pas quelque chose qui va apporter un bénéfice à la société, au contraire cela va créer des effets négatifs. "

Une vision que réfute l'expert en sécurité Brunce Schneier, qui estime que ce genre de faiblesse ne doit pas être connu uniquement des chercheurs, mais au contraire être diffusé pour éviter que ces informations tombent aux seules mains du crime organisé, ce qui aurait des conséquences bien pires.

Trois équipes au moins sont connues pour avoir développé une méthode de clonage du système MIFARE Classic. NXP a répliqué en cours d'année en annonçant MIFARE Plus, un système renforcé par chiffrement AES et identifiants uniques, mais il faudra du temps avant qu'il soit déployé efficacement. Les chercheurs hollandais prévoient de publier leurs travaux lors d'une conférence au mois d'octobre 2008.