Bonjour,

J'ai lu un article assez intéressant quoique technique hier sur la N2.

Pour simplifier, il est possible, avec un lecteur NFC de dupliquer les données de votre carte lorsque vous la scanner à la borne

 

Donc, on risque de voir à terme des équivalents de skimmers se développer (bon, les VE ne sont pas encore assez développer pour vraiment intéresser les pirates, pour l'nstant), et donc vous vous retrouveriez à payer la recharge d'autre utilisaterus.

quel est l intérêt ?

 

repasser une fois que l utilisateur est partit et badger son compte ?

youpi, on as graté 5€ ( ou 17 si borne sodetrel )

 

si tu sait faire ça , tu sais dupliquer un badge NFC , c est beaucoup plus rentable d aller dupliquer le NFC des cartes bancaires , enfin c est mon avis .

 

au passage, pas besoin de bcp de materiel , un simple téléphone ajd sais lire les infos de votre carte bancaire , j ai pas eté plus loin, mais une appli permettant d encoder une carte vierge ca doit pas etre dur a trouver/faire .... et un antenne amplifiée deportée permet le sans contact distant ...

C'était juste pour info. Ce système clone même l'UID, qui du coup n'est plus unique. Ce que tous les editeurs de NFC ne font pas.

 

 

Dans l'article, la borne testée identifiait seulement l'utilisateur, pas les charges. Le compte pouvait donc faire plusieurs charges simultanées...

 

Quand aux cartes bancaires, je suis d'accord avec toi. Ca s'appelle une yes card. C'est même plus facile de générer un code CB avec l'algoritme idoine que d'essayer de cloner une carte au passage.

 

Le risque est très modéré, nous sommes d'accord, mais existant. Je ne suis pas sûr que les badges de sociétés/services publics soient systématiquement vérifiés tous les mois, par exemple

Ca peut être intéressant pour dupliquer sa propre carte si on a plusieurs VE et éviter de payer un abonnement par carte, non ?

Normalement l'abonnement c'est pour le compte pas pour la carte. Mais effectivement, dupliquer sa carte peut permettre d'en disposer d'une par véhicule.

Chez Kiwhi, je n'ai pu enregistrer qu'une carte, j'ai donc créé un deuxième compte, il n'y avait pas d'abonnement.

Maintenant que la situation change, je n'ai pas envie de payer un abonnement par carte...

Alors déjà on va couper court à l'analogie avec le milieu bancaire.

 

vous ne pourrez pas 'dumper' votre carte bancaire, que ce soit par l'interface contact ou via le contactless.

 

le principe d'une transaction par carte est que la carte contient une clef privée, protégée par un microcontroleur sécurisé.

 

Cette clef sert à signer la transaction bancaire (votre paiement) et c'est cette signature (+ d'autres données) qui sont transmises à la banque.

Votre banque ayant la clef publique de votre carte, elle est en capacité de vérifier la signature et les données transmises.

(c'est une explication TRES TRES simplifiée).

 

J'ose espérer que Kiwhi Pass ne fonctionne pas sur le seul UUID de la carte... car ça c'est ce qu'on faisait il y a 15 ans en arrière ! (et encore c'était surtout pour la gestion d'acces aux portillons mécaniques... mais même là aujourd'hui, les sites sensibles utilisent de vraies méthodes d'authentification)

 

Si ils ont un architecte sécurité, il y a fort à parier qu'il y a un échange un peu plus sécurisé (challenge [généré par un TRNG], réponse [message chiffré et signé] par exemple, ou toutes autres méthodes mettant en oeuvre une infrastructure clef publique/privée et une authentification forte)

 

Donc si ils ont fait le boulot dans les règles de l'art, vous pourrez toujours espionner la communication RF, ca ne vous permettra pas de dupliquer la carte.

 

Donc si certains réseaux se font duper par des cartes mimant un UUID, je dirai que c'est bien fait pour leur gueule. C'est une évidence que TRES TRES insuffisant d'un point de vue sécurité !

 

 

 

--- hors sujet concernant les Yes cards ----

d'autre part, une yes card c'etait tout autre chose.

il s'agissait de carte non bancaires programmées pour imiter une partie du protocole EMV mais en négligeant la gestion des risques et en répondant OK pour n'importe quel PIN.

Ce système permettait de tromper certains équipements sur de petits montants ET si l'équipement faisait des transactions dites offline.

 

Aujourd'hui il y a des parades implémentées.

--fin du hors sujet ---

Il se trouve que dans l'essai réalisé, seul l'UID étati utilisé, donc cartes (et compte payant) piratable à volonté après duplication