Ça se complique encore pour la carte à puce sans contact de NXP
Le gouvernement hollandais émet un avertissement sur les risques qu'il y a d'utiliser la carte à mémoire sans contact Mifare Classic de NXP. Une nouvelle équipe de chercheurs a piraté les protections cryptographiques de la carte et cloné une carte existante.
Le gouvernement néerlandais a émis un avertissement à propos de la sécurité des accès qui sont basés sur le composant utilisé à grande échelle, la carte Mifare Classic. Les institutions gouvernementales anticipent de prendre « des mesures additionnelles afin de protéger la sécurité » a écrit Guusje ter Horst, ministre de l'intérieur, dans une lettre au parlement mercredi 12 mars. « NXP a développé le composant Mifare Classic, qui est employé dans deux millions de cartes d'accès à des bâtiments en Hollande, déclare Guusje ter Horst. Un milliard de cartes d'accès de ce type ont été déployés dans le monde. Cet avertissement intervient une semaine après que deux équipes de recherche indépendantes aient prouvé le piratage des algorithmes de sécurité du composant. Mercredi 12 mars, nouvelle annonce de piratage Lundi, les deux chercheurs allemands, Karsten Nohl et Henryk Plötz, qui ont été les premiers à pirater des pièces du composant, en décembre, ont publié un article qui montre un moyen de percer la technologie de chiffrement du composant. Le duo a refusé de montrer publiquement comment ils s'y prennent. « On veut d'abord discuter, afin de permettre aux gens d'ajuster ou abandonner leurs systèmes, précise Karsten Nohl, qui ajoute qu'il montrera comment il effectue le piratage avant juin. Mercredi 12 mars, c'est Bart Jacobs, un professeur de sécurité de l'information à l'université de Radboud à Nijmegen, qui a montré un piratage du composant. L'algorithme de chiffrement CRYPTO-1 a été décodé. Et les clés de chiffrement sont relativement facilement récupérables. Le piratage peut permettre de cloner des cartes Mifare Classic, afin de pénétrer des bâtiments ou d'emprunter l'identité de quelqu'un d'autre. Le composant serait utilisé dans un système comme la carte de transport Oyster à Londres ou la CharlieCard de Boston.