NXP : plainte contre les cloneurs de son système MIFARE

Le par  |  3 commentaire(s) Source : EE Times
NXP logo

Le fondeur NXP envisage de porter plainte contre des universitaires souhaitant publier un document permettant de contourner la sécurité de son système de carte à puce sans contact MIFARE Classic, très largement employé notamment dans les transports en commun de plusieurs pays.

NXP logoNXP, fondeur exploitant la technologie de carte à puce sans contact MIFARE, l'une des plus utilisées au monde, s'inquiète de la volonté de publication par un groupe de chercheurs de l' Université Radboud de Nimègue ( Pays-Bas ) des aspects sécurité de cette technologie.

Ceux-ci ont en effet réussi à recomposer les algorithmes du système MIFARE Classic ( l'une des variantes du système de carte à puce sans contact ) et à cloner une carte du futur système de transport hollandais, qui a coûté 1 milliard d'euros, reposant sur cette technologie.

Cela a obligé le gouvernement à reporter son lancement officiel. Les chercheurs ont cloné plus récemment une carte de transport Oyster londonienne, utilisant également cette technologie.


Toutes les connaissances sont-elles bonnes à publier ?
Ils souhaitent maintenant publier leurs résultats lors d'une conférence européenne sur la sécurité informatique, baptisée Esoterics. qui se tiendra au mois d'octobre en Espagne, avec des détails inédits par rapport au rapport préliminaire accessible sur certains sites Internet.

NXP, bien embarrassée par cette affaire, devrait donc porter plainte contre les chercheurs en vue de les empêcher de diffuser leur mode opératoire, tout en avertissant ses clients et en leur recommandant une vigilance particulière.

La société a annoncé rapidement au mois de mars une variante de sa technologie, MIFARE Plus, mieux protégée par chiffrement AES et système d'identifiants. Cela sauvera-t-il un système mis en service depuis une dizaine d'années et représentant quelque 500 millions de cartes à puce dans le monde ?

Les représentants de NXP ont rencontré les chercheurs de l'Université Radboud pour tenter de trouver les moyens de corriger les failles mais, pour le porte-parole de la société, la publication du mode opératoire serait un acte " irresponsable ".
Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #273851
Moi, ça m'épate.
De toute manière ces chercheurs peuvent très bien publier leurs travaux de manière anonyme dans les newsgroups. Là évidemment ils ne récolteront pas les fruits de leur labeur ni la notoriété qui leur est due.
Ensuite, personnellement, je ne TOLERE PAS qu'une entreprise ayant les moyens ne les mette pas en oeuvre pour fabriquer un produit correct dans la limite des connaissances du moment (sans danger pour les consommateurs, offrant les garanties de sécurité, etc).
Sinon c'est extrêmement facile et on constate cette facilité partout, tout le temps, chez les laboratoires pharmaceutiques, dans l'industrie alimentaire : on rend malade, on tue même mais ce n'est pas grave, l'armée d'avocats est là pour déresponsabiliiser le fautif. LA vie est belle, pourquoi s'en priver ?
Pourquoi se priver de continuer à fabriquer des produits merdiques, dangereux (PCB, médicaments à effets secondaires mortels chez Merrck, céréales dangereuses pour la nature chez Monsanto, puce Mifare non sécurisée [c'est connu depuis quelques années tout de même]) ?
db

Le #273941
C'est bien connu: mieux vaut payer une armée d'avocats pour protéger les secrets des systèmes défaillants, un staff de marketeurs pour faire croire que ces systèmes ne sont pas défaillants et les vendre, plutôt que payer pour de la recherche-développement afin de rendre ces système sécurisés...
Le #273991
Bienvenue dans le monde des technologies propriétaires

http://fr.wikipedia.org/wiki/Mifare
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]