Matteo Collura, 19 ans et Matteo Beccaro, 18 ans, viennent de présenter leur hack qui permet de contourner les systèmes de sécurité des tickets de transport reposant sur le système MiFare Ultralights.
Il leur a suffi d’un smartphone sous Android compatible avec la norme NFC pour pirater une carte et s’allouer des trajets illimités à vie.
Présentée à la DefCon, la manipulation est annoncée comme très simple et facile d’accès. D’ailleurs il ne leur aura pas fallu plus de quelques semaines pour casser la sécurité du système puisqu’ils se sont penchés sur la norme après que la ville de Turin n’instaure ce fonctionnement dans son réseau de transports en janvier dernier.
Matteo Beccaro a déclenché les rires de l’audience lorsqu’on lui a demandé comment il avait découvert la faille : " C’était facile, il suffisait de comprendre comment fonctionnait la puce, ils l’expliquent eux-mêmes sur leur site web."
Le système de chiffrement de MiFare est quasiment inexistant et laisse la plupart des données intégrées dans les puces libres d’accès en lecture et en écriture. Avec la démocratisation des lecteurs NFC et autres dispositifs informatiques sans fil, il devient très facile de pirater ce type de cartes.
Une parade a été proposée à la société pour verrouiller les modifications et rendre les tickets piratés illisibles, ainsi qu’à la ville de Turin qui a déjà pris les mesures nécessaires.
