Comment nous avons perdu 230 euros chez CJ Affiliate (Conversant)

[accueil]  [menu]  [marions-nous !]  [chercher]


2013-12-16 00:00

Salon MILIPOL : des badges d'accès sécurisés « pour rire » ?



Nous avons toujours déploré le manque criant de sécurisation des badges d'accès au salon CARTES. Le cordonnier est souvent le plus mal chaussé, dit-on. Mais, cette année, ces sésames permettaient de visiter également MILIPOL (le très confidentiel salon mondial de la sécurite intérieure des États) ! Il a donc bien fallu faire quelques efforts, au moins pour donner le change et faire plaisir aux militaires...
Patrick Gueulle

Suivez-vous sur Twitter !

Des Mifare Classic « ouverts »
C'est dès 2006 que les archaïques badges à code-barres ont été remplacés par des Mifare Classic, que nous avons bien évidemment aussitôt auscultés avec la plus grande attention.
Aucune mesure technique ne protégeait alors leur contenu, pourtant très personnel : l'identité du porteur (imprimée sur le badge), mais aussi ses coordonnées complètes, et (semble-t-il) une liste codifiée de ses principaux centres d'intérêt.



Pour couronner le tout sont apparues, quelques années plus tard et pour des raisons « écologiques », des poubelles spécialisées dans lesquelles les visiteurs les plus imprudents déposaient bien sagement leurs badges, toujours lisibles « sans contact », en quittant le salon.
En 2013, fini de rire : on n'accédait au salon MILIPOL qu'en franchissant des portiques de détection (qui sonnaient presque systématiquement) et en se soumettant à un contrôle d'identité, voire à un simulacre de fouille. Et les visiteurs les plus paranoïaques adoraient manifestement cela ! Du coup, les badges permettant d'accéder indifféremment aux deux manifestations ont visiblement été repensés. Pas tant que cela, toutefois, puisqu'ils demeurent lisibles avec les « clefs de transport » (FF FF FF FF FF FF) programmées par défaut chez NXP, leur fabricant et généreux sponsor.
Leur lecture (ou même leur modification) est donc toujours possible avec n'importe quel équipement compatible (à commencer par les smartphones des exposants), mais cette fois-ci les données sont apparemment cryptées : au lieu de lire FRANCE (46 52 41 4E 43 45 en ASCII) au début du secteur n° 8, on trouve en effet g+dpUU (67 2B 64 70 55 55). Mieux vaut tard que jamais !
Mais en poussant plus loin la comparaison avec les badges des années précédentes, de troublantes corrélations apparaissent très vite : des quartets invariants entre le contenu en clair et sa version cryptée, toujours aux mêmes endroits d'un bloc de données à l'autre... Bref, il y a du louche !

Le cryptage de Mickey !
A vrai dire, il ne faut pas plus de dix minutes pour découvrir le pot aux roses : l'algorithme de cryptage mis en oeuvre est basé sur un principe qui fut couramment utilisé, dans les années 1960, par... Le journal de Mickey !
Il ne s'agit tout de même pas d'un simple cryptage par substitution de type dit « maçonnique », car un caractère donné est codé différemment selon le rang qu'il occupe dans la chaîne d'octets où il figure. Prenons l'exemple du fragment de numéro de téléphone 354353 (33 35 34 33 35 33 en ASCII hexadécimal) que l'on retrouve (dans le secteur n° 11) codé en 56 57 46 43 45 47 : le chiffre 3 est représenté une première fois par un octet 56h mais par 43h la seconde fois et par 47h à sa troisième occurence. Diantre, on a fait fort, dirait-on !
Pas vraiment, en réalité, car l'algorithme est d'une terrifiante naïveté : additionner ou soustraire simplement les octets de même rang du texte en clair et d'une clef. Même pas l'ombre d'un XOR (OU exclusif)...
Dans notre cas, la partie de clef utilisée pour ce calcul est (toujours en hexadécimal) 23 22 12 10 10 14 puisque 33h + 23h = 56h, 35h + 22h = 57h, et ainsi de suite.
Curieusement (et peut-être pour tromper un instant l'ennemi ?), il n'est fait usage que de lettres majuscules : même les adresses emails sont libellées en capitales, tout comme le prénom du porteur, qui est pourtant imprimé au recto du badge en respectant la casse.
Comme la clef « secrète » est quasiment la même pour chaque secteur du badge Mifare (et évidemment pas diversifiée d'un badge à l'autre), il suffit de comparer les contenus de quelques badges de cette année (cryptés) et des années précédentes (en clair) pour la reconstituer. Mais ne comptez pas sur nous pour révéler en entier ce « secret d'État » sans doute jalousement gardé !
Il n'empêche que la preuve irréfutable de sa découverte est facile à apporter : l'an dernier, le nom du salon, enregistré dans le secteur n° 15, était très logiquement CARTES2012 (sans espace). Eh bien cette année, c'est CRTSMPO13 (astucieuse abréviation de CARTES + MILIPOL + 2013). Cela ne s'invente pas et n'a jamais, à notre connaissance, été divulgué !
Bref, la mention « peut mieux faire » étant méritée haut-la-main, rendez-vous est pris à Villepinte en novembre 2015, pour évaluer les progrès accomplis... ou non. Entretemps, l'édition 2014 de Milipol se sera tenue... au Qatar. Un pays où l'on ne plaisante pas avec la sécurité, paraît-il.

Patrick Gueulle

Tous les ouvrages de l'auteur





Vous aimez cette page ? Partagez-en le lien !

Facebook
Twitter
Google+
LinkedIn
Reddit


[homepage] [RSS] [archives] [legal & cookies] [since 1997]