La faille de sécurité concerne les anciennes cartes et puces NXP1 produites par la société Shanghai Fudan Microelectronics.
La technologie RFID est utilisée, par exemple, dans les cartes de paiement et de voyage. Petteri Paalasmaa
Les cartes sans contact sont devenues plus courantes en Finlande, mais un risque important pour la sécurité des données a été révélé par les équipements associés à la marque Mifare Classic. À propos de ça raconte société de cybersécurité Quarkslab.
MIFARE est une puce IC courante dans les cartes de paiement et de voyage. La technologie a été utilisée en Finlande dans les cartes de voyage HSL. LGV dit dans l’annonce d’acquisition faite en 2022, que leurs cartes utilisaient la technologie Mifare DESFire et Mifare Ultralight.
La faille de sécurité concerne la puce FM11RF08S. La puce a été commercialisée par un fabricant chinois de puces « compatibles Mifare » sans licence Microélectronique de Shanghai Fudan. Quarkslab a réussi à trouver la clé de cryptage de la puce via une porte dérobée qui permet aux attaquants de détourner la carte pour leur propre usage.
Dans la génération précédente de la puce, FM11RF08, un port arrière similaire protégé par une clé de sécurité différente a été observé. Le rétroportage a été détecté sur des cartes remontant au moins à novembre 2007. Une autre clé de cryptage trouvée par Quarkslab est commune à de nombreuses cartes différentes, telles que les anciennes cartes NXP1 (MF1ICS5003 et MF1ICS5004) et Infineon (SLE66R35).
La faille de sécurité est particulièrement problématique car les puces MIFARE Classic utilisées par beaucoup peuvent en réalité être des puces FM11RF08S. Quarkslab souligne que de nombreuses organisations peuvent, sans le savoir, recevoir les puces en question de leurs fournisseurs au lieu des puces MIFARE. L’entreprise a observé des puces utilisées, par exemple, dans des hôtels en Europe.
Mikrobitti a contacté les communications de HSL pour demander si les puces FM11RF08S ou FM11RF08 sont également utilisées dans les cartes de voyage de HSL.
– Nous surveillons activement la situation et nous nous appuyons sur les dernières technologies disponibles, ont répondu les communications de HSL à Mikrobit par e-mail.