Aller au contenu
CJ74

Forum • Possibilité de piratage des cartes de recharge

Messages recommandés

Bonjour,

J'ai lu un article assez intéressant quoique technique hier sur la N2.

Pour simplifier, il est possible, avec un lecteur NFC de dupliquer les données de votre carte lorsque vous la scanner à la borne

 

Donc, on risque de voir à terme des équivalents de skimmers se développer (bon, les VE ne sont pas encore assez développer pour vraiment intéresser les pirates, pour l'nstant), et donc vous vous retrouveriez à payer la recharge d'autre utilisaterus.

Partager ce message


Lien à poster
Partager sur d’autres sites

quel est l intérêt ?

 

repasser une fois que l utilisateur est partit et badger son compte ?

youpi, on as graté 5€ ( ou 17 si borne sodetrel )

 

si tu sait faire ça , tu sais dupliquer un badge NFC , c est beaucoup plus rentable d aller dupliquer le NFC des cartes bancaires , enfin c est mon avis .

 

au passage, pas besoin de bcp de materiel , un simple téléphone ajd sais lire les infos de votre carte bancaire , j ai pas eté plus loin, mais une appli permettant d encoder une carte vierge ca doit pas etre dur a trouver/faire .... et un antenne amplifiée deportée permet le sans contact distant ...

Partager ce message


Lien à poster
Partager sur d’autres sites

C'était juste pour info. Ce système clone même l'UID, qui du coup n'est plus unique. Ce que tous les editeurs de NFC ne font pas.

 

 

Dans l'article, la borne testée identifiait seulement l'utilisateur, pas les charges. Le compte pouvait donc faire plusieurs charges simultanées...

 

Quand aux cartes bancaires, je suis d'accord avec toi. Ca s'appelle une yes card. C'est même plus facile de générer un code CB avec l'algoritme idoine que d'essayer de cloner une carte au passage.

 

Le risque est très modéré, nous sommes d'accord, mais existant. Je ne suis pas sûr que les badges de sociétés/services publics soient systématiquement vérifiés tous les mois, par exemple

Partager ce message


Lien à poster
Partager sur d’autres sites

Ca peut être intéressant pour dupliquer sa propre carte si on a plusieurs VE et éviter de payer un abonnement par carte, non ?

Partager ce message


Lien à poster
Partager sur d’autres sites

Normalement l'abonnement c'est pour le compte pas pour la carte. Mais effectivement, dupliquer sa carte peut permettre d'en disposer d'une par véhicule.

Partager ce message


Lien à poster
Partager sur d’autres sites

Chez Kiwhi, je n'ai pu enregistrer qu'une carte, j'ai donc créé un deuxième compte, il n'y avait pas d'abonnement.

Maintenant que la situation change, je n'ai pas envie de payer un abonnement par carte...

Partager ce message


Lien à poster
Partager sur d’autres sites

Alors déjà on va couper court à l'analogie avec le milieu bancaire.

 

vous ne pourrez pas 'dumper' votre carte bancaire, que ce soit par l'interface contact ou via le contactless.

 

le principe d'une transaction par carte est que la carte contient une clef privée, protégée par un microcontroleur sécurisé.

 

Cette clef sert à signer la transaction bancaire (votre paiement) et c'est cette signature (+ d'autres données) qui sont transmises à la banque.

Votre banque ayant la clef publique de votre carte, elle est en capacité de vérifier la signature et les données transmises.

(c'est une explication TRES TRES simplifiée).

 

J'ose espérer que Kiwhi Pass ne fonctionne pas sur le seul UUID de la carte... car ça c'est ce qu'on faisait il y a 15 ans en arrière ! (et encore c'était surtout pour la gestion d'acces aux portillons mécaniques... mais même là aujourd'hui, les sites sensibles utilisent de vraies méthodes d'authentification)

 

Si ils ont un architecte sécurité, il y a fort à parier qu'il y a un échange un peu plus sécurisé (challenge [généré par un TRNG], réponse [message chiffré et signé] par exemple, ou toutes autres méthodes mettant en oeuvre une infrastructure clef publique/privée et une authentification forte)

 

Donc si ils ont fait le boulot dans les règles de l'art, vous pourrez toujours espionner la communication RF, ca ne vous permettra pas de dupliquer la carte.

 

Donc si certains réseaux se font duper par des cartes mimant un UUID, je dirai que c'est bien fait pour leur gueule. C'est une évidence que TRES TRES insuffisant d'un point de vue sécurité !

 

 

 

--- hors sujet concernant les Yes cards ----

d'autre part, une yes card c'etait tout autre chose.

il s'agissait de carte non bancaires programmées pour imiter une partie du protocole EMV mais en négligeant la gestion des risques et en répondant OK pour n'importe quel PIN.

Ce système permettait de tromper certains équipements sur de petits montants ET si l'équipement faisait des transactions dites offline.

 

Aujourd'hui il y a des parades implémentées.

--fin du hors sujet ---

Partager ce message


Lien à poster
Partager sur d’autres sites

Il se trouve que dans l'essai réalisé, seul l'UID étati utilisé, donc cartes (et compte payant) piratable à volonté après duplication

Partager ce message


Lien à poster
Partager sur d’autres sites

Créer un compte ou se connecter pour commenter

Vous devez être membre afin de pouvoir déposer un commentaire

Créer un compte

Créez un compte sur notre communauté. C’est facile !

Créer un nouveau compte

Se connecter

Vous avez déjà un compte ? Connectez-vous ici.

Connectez-vous maintenant

Automobile Propre

Automobile Propre est un site d'information communautaire qui est dédié à tout ce qui concerne l'automobile et l'environnement. Les thématiques les plus populaires de notre blog auto sont la voiture électrique et les hybrides, mais nous abordons également la voiture GNV / GPL, les auto à l'hydrogène, les apects politiques et environnementaux liés à l'automobile. Les internautes sont invités à réagir aux articles du blog dans les commentaires, mais également dans les différents forums qui sont mis à leur dispositon. Le plus populaire d'entre eux est certainement le forum voiture électrique qui centralise les discussions relatives à l'arrivée de ces nouveaux véhicules. Un lexique centralise les définitions des principaux mots techniques utilisés sur le blog, tandis qu'une base de données des voitures (commercialisées ou non) recense les voitures électriques et hybrides.

×