La réputation des cartes sans contact MIFARE Classic n’était déjà pas fameuse. Les failles de ces cartes avaient en effet déjà été signalées à plusieurs reprises. Des chercheurs en sécurité néerlandais avaient par exemple détourné des cartes pour voyager gratuitement dans le métro londonien en 2008. Plus récemment, d’autres experts avaient signalé qu’il était possible de falsifier les cartes d’accès Saflok, utilisées dans l’hôtellerie.
Philippe Teuwen, le responsable de la recherche de la société française de cybersécurité Quarkslab, vient d’en rajouter une couche en signalant une nouvelle faille.
Une vulnérabilité qui a toutefois l’air d’être une porte dérobée délibérément implantée dans certains modèles de cette famille de carte sans contact.
Une clé inconnue passe-partout
Comme indiqué précédemment, les problèmes de sécurité des cartes MIFARE Classic, mises sur le marché par l’entreprise Philips Semiconductors, sont bien connus des experts. En 2020, une firme chinoise, Shanghai Fudan Microelectronics, commercialise une nouvelle version de cette carte censée être plus sécurisée.
Une promesse rapidement contredite par les travaux de Quarkslab, affirme l’entreprise. En se penchant sur ce modèle, la carte FM11RF08S, le chercheur en sécurité informatique a d’abord découvert qu’une clé inconnue permettait de compromettre toutes les cartes du même genre, “simplement en accédant à la carte pendant quelques minutes”.
Le chercheur s’avise ensuite que le problème est loin d’être isolé. D’autres générations précédentes de cartes du même fabricant, mais également celles de fournisseurs tiers également localisés en Chine, peuvent aussi être compromises de la même façon. Certes, les clés à utiliser sont différentes, mais la méthode est la même.
Porte dérobée ancienne
Un problème particulièrement grave, avertit Quarkslab. Il n’est en effet pas certain que les usagers de ces cartes sans contact savent qu’elles ont été produites par la firme chinoise. Quoiqu’il en soit, la faille semble très ancienne. Comme le relève le chercheur dans son article, les premières versions de la carte FM11RF08 ont visiblement été produites à partir de 2007.
L’expert ne s’aventure pas sur le terrain du mobile. Toutefois, dans un post LinkedIn, son patron, Fred Raynal, suggère une hypothèse.
Cette porte dérobée pourrait avoir été introduite à la demande de l’administration chinoise, que ce soit avec l’aval du fabricant ou à son insu. A voir si cette piste se confirme à l’avenir.