Le point faible de la puce Mifare réside dans son algorithme secret
L’algorithme CRYPTO1 utilisé dans la Mifare Classic – la puce RFID piratée aux Pays-Bas, mais en usage aussi en Belgique – n’est pas un bon algorithme, essentiellement du fait qu’il est secret. La longueur de la clé est également trop courte. Voilà ce que déclarent des chercheurs britanniques au terme d’une contre-expertise.
L’algorithme CRYPTO1 utilisé dans la Mifare Classic – la puce RFID piratée aux Pays-Bas, mais en usage aussi en Belgique – n’est pas un bon algorithme, essentiellement du fait qu’il est secret. La longueur de la clé est également trop courte. Voilà ce que déclarent des chercheurs britanniques au terme d’une contre-expertise.
Le principal problème de la Mifare Classic récemment piratée réside dans son algorithme de sécurité secret. C’est ce qu’écrit la Royal Holloway University of London (RHUL) dans un rapport. Tant le lecteur que la carte exploitent un algorithme secret, à savoir CRYPTO1.
L’inconvénient d’un algorithme secret, c’est que la communauté des chercheurs en sécurité ne peut participer à la réflexion sur la question de savoir si la sécurité offerte est suffisante. “Une meilleure pratique largement acceptée veut que dans les systèmes cryptographiques, l’on n’utilise que des algorithmes qui sont évalués officiellement par des spécialistes en la matière”, indiquent les chercheurs dans le rapport.
La longueur de la clé utilisée par l’algorithme est également trop courte, selon les chercheurs. La clé a une longueur de 48 bits et offre donc 2 à la puissance 48 de possibilités. Avec l’équipement informatique actuel, une telle clé peut être aisément piratée, selon la RHUL.
Les chercheurs de la RHUL affirment qu’une puce alternative pour la carte à puce des transports en commun devra être testée par des experts en cryptographie. Cette puce ne peut pas être basée sur un algorithme secret et doit intégrer des clés de sécurité suffisamment longues.
Aux Pays-Bas, la Mifare sera utilisée dans ce qu’on appelle la carte à puce servant de carte de paiement dans les transports en commun. Suite à l’étude effectuée par la RHUL, Tineke Huizinga, la secrétaire d’Etat du trafic aux Pays-Bas, a fait parvenir à la chambre des représentants un courrier dans lequel elle pose la question de savoir si la date d’introduction du 1er janvier 2009 de cette carte à puce dans les transports en commun peut encore être respectée. Elle a aussi posé des questions à ce propos à TransLinkSystems (TLS), responsable de l’introduction de la carte, ainsi qu’aux entreprises participantes à ce projet.
En Belgique, la puce Mifare posant problème est entre autres intégrée aux badges d’accès aux 7 parlements que compte le pays. La puce n’y est provisoirement pas encore remise en question.
En collaboration avec Computable
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici