Sacré découverte pour la société Quarkslab qui vient de mettre la main sur une porte cachée embarquée dans des milliards de cartes d’accès sans contact. Pour Fred Raynal « On n’est pas dans la maintenance du produit, mais bien dans le contournement du service de sécurité. »

RECEVEZ LES INFOS ZATAZ DIRECTEMENT SUR VOTRE TÉLÉPHONE ✨✨
Abonnez-vous maintenant et restez à la pointe de l’info ! ✨

Le site DataSecuritybreach.fr est revenu sur une découverte étonnante effectuée par un chercheur de la société Quarkslab. L’entreprise française spécialisée en cybersécurité, a découvert une porte dérobée dans des millions de cartes sans contact fabriquées par Shanghai Fudan Microelectronics, utilisées globalement dans les transports publics et l’hôtellerie.

Philippe Teuwen, chercheur chez Quarkslab, a identifié cette vulnérabilité permettant de cloner ou de manipuler les cartes via une clé commune, mettant en lumière les risques de sécurité inhérents à la technologie NFC. « Une porte cachée voulue pour la mise à jour … ou pour faciliter des accès à des personnes connaissant le « truc” ? » a demandé ZATAZ à Fred Reynal. Sa réponse est sans appel : « On parle de différentes choses là, avec le même mot : backdoor. C’est plus cela le problème. Les backdoors évoquées sont – des accès de maintenance pour se faciliter la vie – grosso modo. Il y en a des tonnes dans des objets IoT par exemple, caméras ou autres. Dans le cas des MIFARE, rien à voir avec la maintenance. On est dans des choses similaires à CryptoAG, la backdoor NSA dans Lotus Notes pour le gouvernement Suédois ou Dual_EC_DRBG.On n’est pas dans la maintenance du produit, mais bien dans le contournement du service de sécurité. Pour moi, c’est ça une vraie backdoor. » Bref, cette entrée a été mise en place pour faciliter l’accès à celui qui connaît le truc.

Backdoor « made in China »

Les cartes MIFARE sont largement utilisées dans plus de 750 villes (50 pays) pour diverses applications, telles que les paiements sans contact, la billetterie de transport et le contrôle d’accès. En raison de leur large déploiement, elles représentent une cible attrayante pour les pirates. La gamme MIFARE Classic, introduite en 1994 par Philips Semiconductors (aujourd’hui NXP), a été soumise à de nombreuses attaques au fil des années, notamment des attaques « card-only« , qui permettent aux attaquants de cloner ou de modifier les cartes simplement en étant à proximité.

Cette découverte a des implications profondes, notamment pour les infrastructures critiques comme les transports publics, où ces cartes sont omniprésentes. La possibilité de cloner ou de manipuler les cartes pourrait avoir des conséquences graves sur la sécurité des systèmes utilisant la technologie NFC.

« Comment s’en protéger ? » Fred Reynal explique à ZATAZ que toute la question est là ! « Bonne question ! Changer de système ? Parce que mettre à jour toutes les cartes, ça va être très très long.«

✨ LES INFOS DE LA SEMAINE, CHAQUE SAMEDI, PAR COURRIEL ! ✨
✨ Ne manquez rien ! Abonnez-vous et restez informé ! ✨

NSA Lotus Notes

La « backdoor » de la NSA citée par Fred Reynal date du siècle dernier. Elle fait référence à une fonctionnalité secrète introduite par la National Security Agency (NSA) des États-Unis dans le logiciel Lotus Notes, un client de messagerie électronique populaire dans les années 1990. Lotus Notes était un logiciel développé par Lotus Development Corporation (ensuite acquis par IBM). Il était largement utilisé par les entreprises et les gouvernements pour la messagerie électronique et la gestion d’informations. Une des fonctionnalités cruciales de Lotus Notes était son chiffrement robuste, qui garantissait que les communications électroniques étaient sécurisées et confidentielles.

Dans les années 1990, la NSA s’inquiétait de la diffusion de technologies de chiffrement puissantes (comme PGP) qui auraient pu empêcher les agences de renseignement américaines d’accéder aux communications de leurs cibles. Selon des rapports, la NSA aurait exercé des pressions sur Lotus pour introduire une « backdoor » dans le logiciel. Lotus Note incluait une fonctionnalité de dépôt de clé appelé cryptographie différentielle. L’idée était d’obtenir l’autorisation d’exporter un chiffrement 64 bits si 24 de ces bits étaient chiffrées pour la clé publique de la NSA. La NSA n’avait alors plus qu’à forcer brutalement les 40 bits restants pour obtenir le texte brut.

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (16) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Médaille d'argent du 1er CTF Social Engineering Canadien, en 2023, lors du HackFest de Québec. Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.

One Comment

Pierre 24/08/2024 at 15:25 Reply

Bonjour, on comprend mieux pourquoi les USA et l’Europe ne veulent pas des équipements Huawei pour les réseaux 5G et informatiques. Backdoor un jour, backdoor toujours.