L’Associatie KU Leuven commande des badges équipés d’une puce Mifare peu sûre

Alors qu’aux Pays-Bas, le piratage des puces FRID ‘Mifare’ de NXP cause pas mal d’émoi, l’Associatie KU Leuven lance une adjudication pour des badges à l’attention de son personnel, intégrant cette puce peu sûre. La KU Leuven a cependant pris conscience du problème à présent. Par ailleurs, l’accès aux 7 parlements de notre pays est protégé par des… badges Mifare.

Alors qu’aux Pays-Bas, le piratage des puces FRID ‘Mifare’ de NXP cause pas mal d’émoi, l’Associatie KU Leuven lance une adjudication pour des badges à l’attention de son personnel, intégrant cette puce peu sûre. La KU Leuven a cependant pris conscience du problème à présent. Par ailleurs, l’accès aux 7 parlements de notre pays est protégé par des… badges Mifare.

Ce sont nos collègues de Diskidee qui ont eu vent du choix étrange de l’Associatie KU Leuven (regroupant l’université et une série d’écoles supérieures belges). Fin janvier, l’Associatie a lancé une adjudication pour une solution d’impression de nouveaux badges à l’attention de son personnel (matériel + badges). Le contrat porterait normalement sur quelque 80.000 badges par an. La phrase suivante figure dans les spécifications: “Etant donné les diverses applications, Mifare Classic (puce MF1-S70 à 4 Ko) doit être supportée par l’adressage indirect (MAD).”

C’est très étonnant dans la mesure où avec un simple PC, il est possible de ‘craquer’ aisément la protection de la puce de sécurité sans fil (RFID) Mifare Classic de l’ex-filiale de Philips, NXP. Aux Pays-Bas, il y eut pas mal de remue-ménage au début janvier de cette année, lorsque [deux pirates ont annoncé ce genre de ‘viol’ lors du Chaos Communication Congress de Berlin]. La puce Mifare Classic est en effet utilisée notamment dans les transports en commun néerlandais (carte à puce ‘OV’), mais aussi dans le métro londonien. Dans le monde, NXP a vendu plus d’un milliard de ce genre de carte, mais selon les spécialistes de la sécurité, la technologie est à présent devenue totalement inutilisable.

Qu’en pense KU Leuven? “C’est exact”, réagit Peter Bleukx de Ludit, le service informatique de l’université. “Mais lorsque nous avons organisé notre adjudication, le piratage en question n’était, à notre connaissance, encore qu’une rumeur non vérifiée. Actuellement, nous sommes réellement conscients du fait que la puce Mifare causera des problèmes. Nous avons par conséquent décidé, à la lumière des récents développements, de revoir notre position. Dans le cahier des charges, qui n’est d’ailleurs pas encore connu, nous effectuerons les adaptations nécessaires, afin que d’autres technologies puissent aussi être prises en considération.”

Par contre, les 7 bâtiments parlementaires que compte notre pays, ne peuvent, eux, revenir sur leur choix des badges Mifare. La puce peu sûre est en effet intégrée aux cartes d’accès. “Mais cela ne signifie pas que nous allons nous trouver dans une situation dangereuse”, s’empresse de répondre Kurt De Vriendt, directeur ‘Techniek & Informatica’ du Parlement flamand. “Au contraire, la sécurité y est plus poussée que celle offerte par les cartes magnétiques nettement moins sûres ou en comparaison de ce qui se passe à l’entrée ou à la sortie de certains autres parlements.”

Il s’explique: “Au Parlement flamand, par exemple, le badge ne porte qu’un numéro unique relié à une photo dans nos systèmes. Dans le local de contrôle, la Police Militaire peut, grâce aux caméras de surveillance, se rendre compte si l’utilisateur du badge est bien la personne qui entre dans le bâtiment. Même si l’on peut copier le badge d’accès, il n’est pas possible de passer outre le stade de la photo.” Et de faire la comparaison avec les cartes plus ‘anonymes’ des transports en commun, où l’abus est plus aisé.

Le choix de la puce Mifare a été motivé par le caractère ouvert du système. “Tous les parlements peuvent ainsi choisir leurs propres applications et intégrer au système des solutions de fournisseurs encore présents”, poursuit De Vriendt. Lorsque Mifare a été sélectionnée l’an dernier, il n’était pas encore question de problèmes de sécurité. “On pourrait à présent dire: ‘stop, on recommence tout’. Mais nous n’allons pas le faire. Le système sera bien entendu évalué. Si des problèmes devaient néanmoins se manifester, nous n’hésiterions pas. En d’autres mots: est-il totalement sûr? Non. Est-ce nécessaire dans le cas qui nous occupe? Non.”