Piratage : des pass illimités pour les transports en commun

Le par  |  8 commentaire(s) Source : Mashable
pininfarina_hybus

L’année dernière, deux chercheurs en sécurité mettaient en avant une faille permettant de falsifier de titres de transport avec la technologie NFC. Aujourd’hui deux jeunes hackers annoncent pouvoir créer des pass illimités.

Matteo Collura, 19 ans et Matteo Beccaro, 18 ans, viennent de présenter leur hack qui permet de contourner les systèmes de sécurité des tickets de transport reposant sur le système MiFare Ultralights.

 defcon 2013 Des cartes utilisées dans les grandes villes du monde entier et qui repose sur la technologie NFC pour valider les titres de transport.

Il leur a suffi d’un smartphone sous Android compatible avec la norme NFC pour pirater une carte et s’allouer des trajets illimités à vie.

Présentée à la DefCon, la manipulation est annoncée comme très simple et facile d’accès. D’ailleurs il ne leur aura pas fallu plus de quelques semaines pour casser la sécurité du système puisqu’ils se sont penchés sur la norme après que la ville de Turin n’instaure ce fonctionnement dans son réseau de transports en janvier dernier.

Matteo Beccaro a déclenché les rires de l’audience lorsqu’on lui a demandé comment il avait découvert la faille : " C’était facile, il suffisait de comprendre comment fonctionnait la puce, ils l’expliquent eux-mêmes sur leur site web."

Le système de chiffrement de MiFare est quasiment inexistant et laisse la plupart des données intégrées dans les puces libres d’accès en lecture et en écriture. Avec la démocratisation des lecteurs NFC et autres dispositifs informatiques sans fil, il devient très facile de pirater ce type de cartes.

Une parade a été proposée à la société pour verrouiller les modifications et rendre les tickets piratés illisibles, ainsi qu’à la ville de Turin qui a déjà pris les mesures nécessaires.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1431102
Ce qui m'intéresserait surtout, c'est le hacking d'une pompe à carburant ! Histoire de faire un beau doigt d'honneur à ces requins voraces du pétrole et aux accises scandaleuses de l'Etat
Le #1431132
Si seulement c'était aussi simple €€€
Le #1431142
Ulysse2K a écrit :

Ce qui m'intéresserait surtout, c'est le hacking d'une pompe à carburant ! Histoire de faire un beau doigt d'honneur à ces requins voraces du pétrole et aux accises scandaleuses de l'Etat


vu que 80% du prix sont des taxes, je ne pense pas que ce soit aux groupes petroliers que tu doivent adresser ton fuck, même si ils sont un peu détestable malgré tout.
Le #1431192
Oui mais ces 80% de taxes payent aussi le réseau routier. Vous croyez que c'est gratuit ? Elles payent aussi (peut-être) les études de vos enfants. 12000 euros par an et par enfant en lycée, vous voulez les débourser chaque année ? Et vos propres études. Sans oublier que plus le carburant est cher, plus ça incite à l'économiser (bon pour votre santé et celle de vos enfants). Même problémqtique que pour la cigarette. C'est cher mais en fait ça peine à couvrir les frais masqués et c'est pour votre bien. Le vrai problème est surtout das le fait que les pouvoirs publics ne dnnent pas vraiment de solution alternative. Bref, ils ne se donnent pas les moyens de régler le problème. Sans doute en grande partie à cause du lobby des pétroliers. La boucle est bouclée.
Le #1431262
cycnus a écrit :

Oui mais ces 80% de taxes payent aussi le réseau routier. Vous croyez que c'est gratuit ? Elles payent aussi (peut-être) les études de vos enfants. 12000 euros par an et par enfant en lycée, vous voulez les débourser chaque année ? Et vos propres études. Sans oublier que plus le carburant est cher, plus ça incite à l'économiser (bon pour votre santé et celle de vos enfants). Même problémqtique que pour la cigarette. C'est cher mais en fait ça peine à couvrir les frais masqués et c'est pour votre bien. Le vrai problème est surtout das le fait que les pouvoirs publics ne dnnent pas vraiment de solution alternative. Bref, ils ne se donnent pas les moyens de régler le problème. Sans doute en grande partie à cause du lobby des pétroliers. La boucle est bouclée.


Il est vrai que les accises sont employées pour l'entretien du réseau routier et pour le "bien" du citoyen mais ne soit pas aussi crédule vis à vis de l'Etat.

Une bonne partie de l'argent publique "disparaît" dans la poche de nos politiciens, des lobbies et en gaspillages en tout genre. Je ne suis pas un anarchiste (loin de là ) mais je ne suis pas stupide au point de croire que mes "impôts" sont toujours utilisés à bon escient
Le #1431402
dans un bus/tram/ autre c pas tant d'avoir une carte hackée ou ne pas payer son titre qui est important. C de pas se faire chopper, c tout.

autant ne pas avoir de titre de transport du tout, c moins risqué légalement
Le #1450372
cycnus a écrit :

Oui mais ces 80% de taxes payent aussi le réseau routier. Vous croyez que c'est gratuit ? Elles payent aussi (peut-être) les études de vos enfants. 12000 euros par an et par enfant en lycée, vous voulez les débourser chaque année ? Et vos propres études. Sans oublier que plus le carburant est cher, plus ça incite à l'économiser (bon pour votre santé et celle de vos enfants). Même problémqtique que pour la cigarette. C'est cher mais en fait ça peine à couvrir les frais masqués et c'est pour votre bien. Le vrai problème est surtout das le fait que les pouvoirs publics ne dnnent pas vraiment de solution alternative. Bref, ils ne se donnent pas les moyens de régler le problème. Sans doute en grande partie à cause du lobby des pétroliers. La boucle est bouclée.


tu bosses a la RATP toi ou quoi ? tu payes combien d'impots par an pour te permettre de raler comme ca?
Le #1461492
Ahahah j'en étais sur que c’était possible !!!

Etant en école d'info et la RATP ayant récemment mis à disposition de son public à chaque guichet des lecteurs NFC pour recharger son passe navigo chez soi, avec des potes on s'est acheté un des ces boîtiers et on a pu jouer à récupérer le code sur le site de la RATP : les fichiers java compilés, à les dé-compiler et on a réussi à faire marcher certaines des fonctions de leurs classes pour lire par exemple les 3 derniers arrêts, les id des bus/trams empruntés et les dates/heures, le nom du possesseur de la carte mais aussi les zones autorisés pour cette carte.
Il n'y avait donc qu'à réussir à changer ces zones, mais pour écrire sur la carte il faut une clé privé détenue par la RATP.
Bon après nous ne sommes pas allés jusqu'au bout parce que l'on est pas encore des pro de la rétro-ingénierie et du hacking, et puis on est pas des voyous

Il y a moyen je pense.
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]