J’aime bien quand j’ai des amis brillants et qui font des trouvailles intéressantes. C’est le cas de Renaud, un pote trentenaire qui fait de la recherche sur les puces RFID depuis quelques années. Il est d’ailleurs l’un des seuls, en France, à travailler sur le sujet.
Les puces RFID, pour faire simple c’est ce que vous trouvez dans le pass navigo, si vous êtes parisien, et ça ne sert pas qu’à faire biper et ouvrir les portes dans les couloirs du métro, ça enregistre aussi tout un tas d’informations. Vous trouverez peut être un jour du RFID dans de futurs papiers d’identité, dans un monde Orwellien (merde ! on avant dit que ce ne serait pas le manuel !) et vous en trouverez dès demain dans les cartes de paiement dites « sans contact »… qu’on risque de vous envoyer en période de renouvellement sans vous demander votre avis.
conférences, pubs et négligence
Renaud travaille depuis plusieurs mois à prouver que le système présent dans ces cartes n’est pas du tout sécurisé. Il a d’ailleurs fait plusieurs conférences sur ce thème à PSES (en français) et à HES (en anglais). Je vous invite à voir l’une ou l’autre de ceux deux conférences et à consulter les slides qu’il met à disposition de l’Internet mondial, histoire de nous ouvrir les yeux. Surtout que la période semble propice aux arnaques à la carte bancaire via Internet, d’après Les Echos et la BCE.
Qu’il s’agisse de médias spécialisés en sécurité informatique, en technologiques ou de journaux généralistes, l’information est passée un peu partout et il est presque impossible aujourd’hui de ne pas être au courant. Dans le même temps, on essaie de nous les vendre, ces cartes sans contact, à grands coups de sponsoring des JO londoniens… un joli cauchemar, ça commence comme ça.
Renaud n’est pourtant pas le seul à s’y intéresser, mais les représentants du GIE, interrogés à plusieurs reprises, notamment pour le papier des DNA cité plus haut, ne s’en font pas des masses alors que la CNIL s’intéresse de près à ce problème, sans trop avoir les moyens, notamment financiers, d’agir. Elle devrait pourtant publier un prochain avis très vite si on se réfère au PV de sa dernière séance plénière
Au GIE, ils ont vu un peu de partout que ce qu’ils nous vendent (oui, ta carte bleue, tu la paies tous les mois, mon grand) c’est hyper mal sécurisé mais ça ne les embête pas le moins du monde… comme s’ils voulaient nous vendre tout bientôt et plus cher une quelconque protection ou une carte sans contact seconde génération à partir de laquelle on ne pourra pas récupérer tes données.
Le code est public
Parce que le vrai problème est là. Et si tu n’as pas vu au moins l’une des deux vidéos en lien, je te renvoie plus haut puisqu’on peut y voir des démonstration. J’ai eu la chance d’y assister aussi en privé, avec quelques amis et connaissances, tout le système à moins d’un mètre de moi… je peux te dire que c’est assez flippant pour la suite.
En bref, on peut lire à livre ouvert, moyennant un lecteur NFC USB qui coûte quelques dizaines d’euros et un programme. Le tout tournant dans un téléphone portable. Il faute juste être proche de la victime, dans la version low cost de son hack. Par exemple dans une queue à la boulangerie. Il est ainsi très aisé de récupérer le contenu de la bande magnétique et sa tripotée de données personnelles pour faire un double de la carte : nom, prénom, âge, numéro complet de la carte bancaire, historique des transactions, etc.
dixit ce papier d’Owni
Renaud n’a eu qu’à poser une carte de paiement sans contact sur son capteur usb et via un petit programme dont il a publié ici le code source, toutes les informations utiles à une personne malveillante s’affichent sans problème. Il a aussi créé une variante mobile, même système, ce qui pourrait transformer un tour dans le métro à l’heure de pointe en vraie chasse au trésor !
Mieux, équipé de capteurs plus puissants, pas besoin d’être collé à la puce RFID. Avec un récepteur radio éloigné d’à peu près cinq mètres et relié au programme Audacity sur un ordinateur, on voit qu’au moment du bip de la puce RFID, le signal capté se dessine sur ordinateur… Selon Renaud et les captures d’écran publiées dans les slides en lien plus haut, le signal est capté jusqu’à 15 mètres. La personne qui trouve un capteur bien puissant n’aura qu’à récolter vos données bancaires sagement assise à la terrasse d’un café.
Donc ça pourrait être sympa qu’on arrête de prendre le consommateur pour une buse et qu’on lui vende un produit vraiment sécurisé, ou alors q’on lui dise qu’il y a un poil de barbe dans la soupe… au moins il pourra choisir en tout état de cause de se faire filouter ou pas. Non ?
2 Comments
1 We spend too much time thinking. wrote:
1999 – Développement & Commercialisation.
2003 – La presse relate les évènements sur les RFID d’Alien Technology ( alientechnology.com ) découvert sur les produits de grande consommation – c’est l’affaire Gillette Mach3 ( boycottgillette.com )
2005 – Édition de « Spychips: How Major Corporations and Government Plan to Track Your Every Move with RFID » de Liz McIntyre & Katherine Albrecht ( spychips.com ) puis une ré-édition en 2006 (ISBN: 0452287669)
2006 – Publication de recherches sur les codes malveillants pour RFID
Premiers PoC de Virus, Maliciels & Vers – rfidvirus.org
Il y a eu des tonnes de sites d’informations ( rfidiot.org ; no2id.net ; spychips.com ; … ), de démonstrations à couper le souffles (comme celle de Renaud). C’est terminé, cessons d’être naïfs, discuter ne sert à rien. Les lobbyistes trop tenaces et plus malins, nos politiques sont incompétents, ils ne comprennent que ce qu’ils veulent entendre. Depuis toujours, les risques sont minimisés : sous entendu, une exploitation de masse à peu de chance de se produire. Comme à chaque fois, il faudra attendre une suite d’incidents majeurs pour réaliser que tout est possible dès lors qu’il est question d’argent. Si ces systèmes envahissent la planète alors tous les moyens seront utilisés par des attaquants. Les acteurs se confortent par la présence de garanties, d’assurances, de protections des consommateurs ; ils se fichent pas mal des faiblesses technologiques, du moment que ça ne perturbe pas leur business. Au diable les lanceurs d’alertes, les chercheurs en sécurité, les experts : place à la facilité, au succès et au fric!
L’exploitation d’implémentations foireuses sera le sport de demain.
A condition que ces technologies survivent dans la durée
2 Ju wrote:
et le probleme c’est qu’on va encore montrer du doigt le méchant hacker qui vole les sous, alors que ça fera des années que des gentils hackers leur auront dit que c’est insécure et qu’il faut changer ça