Bien que le fait de toucher et de toucher avec une carte Oyster ait incontestablement facilité la navigation dans le système de transports en commun de Londres, il est à craindre que la sécurité des puces RFID utilisées dans les cartes ne soit compromise..

En janvier, Karston Nohl, étudiant diplômé de l'Université de Virginie, a révélé que son équipe de recherche avait déchiffré les algorithmes de protection des données stockées sur des «cartes à puce» équipées de la technologie RFID, comme la carte Oyster..

“Nous avons désossé les composants cryptographiques des étiquettes RFID MIFARE Classic. Ce type de carte est utilisé dans diverses applications de micro-paiement, y compris la carte Oyster.,” Nohl a déclaré dans un communiqué de presse à l'époque.

En réponse, NXP Semiconductors (NXP), la société qui fabrique le MIFARE Classic, a déclaré qu’elle examinerait la question. La semaine dernière, NXP a annoncé l'introduction du MIFARE Plus.

Selon NXP, MIFARE Plus améliore considérablement la sécurité de Classic en utilisant une longueur de clé de 148 bits par rapport aux 48 bits du Classic. Ceci est en plus du nombre de “caractéristiques de sécurité supplémentaires,” donc la société prétend.

17 millions de cartes compromises?

Malheureusement, les cartes MIFARE Plus ne devraient pas être libérées avant un an. La génération actuelle de cartes Oyster, transportée par 17 millions de passagers à travers Londres, utilise la puce MIFARE Classic désormais compromise..

Lorsque TechRadar a contacté Transport for London (TfL) pour commenter, un porte-parole nous a simplement dit: "La sécurité du système Oyster n’a jamais été violée. Nous effectuons des tests quotidiens pour les cartes clones ou les dispositifs non fiables, mais aucun n’a été découvert..”

Lorsqu'on leur a demandé si TfL envisageait de passer à la puce MIFARE Plus plus sécurisée l'année prochaine, leur porte-parole nous a référé à TranSYS, qui travaille en partenariat avec TfL pour fournir et gérer le système de cartes Oyster..

Ancienne technologie?

TechRadar s'est entretenu avec Richard Rowlands, directeur de l'ingénierie chez TranSYS, qui nous a dit que la carte Oyster actuelle avait été choisie bien avant que des chercheurs comme Karsten Nohl aient commencé à révéler les vulnérabilités potentielles liées à la technologie..

“Il a été choisi il y a huit ou neuf ans. C'était la carte qui était autour alors. Cependant, nous sommes en train d’évaluer d’autres cartes, y compris la carte MIFARE Plus.,” Rowlands a expliqué.

En ce qui concerne la sécurité des cartes Oyster actuelles, TranSYS reste aussi inflexible que TfL que leurs cartes sont en sécurité: “Il existe deux niveaux de sécurité: la sécurité au niveau du système et la sécurité au niveau de la carte” Rowlands a expliqué. “De toute façon, aucune information personnelle n'est stockée sur les cartes,” il ajouta.

Chez TechRadar, nous ne sommes cependant pas entièrement convaincus par les propos rassurants de TranSYS et de TfL. Dans un secteur où la confiance des consommateurs en matière de sécurité est d’une importance cruciale, nous nous attendrions à n’entendre parler.

fort Knox

La dure réalité est que, aussi dur que soient les opérateurs qui vantent leur dossier de sécurité jusqu'alors sans faille, les recherches de Karston Nohl et de ses collègues démontrent que la technologie RFID n'est pas totalement impénétrable. Il n'est pas non plus susceptible d'être.

Cela dit, la panique générale n’est pas non plus nécessaire. À moins que vous ne soyez un enquêteur privé travaillant sur une mission d'infidélité, il y a très peu à gagner, voire même rien, à extraire des données personnelles de voyage des utilisateurs individuels d'Oyster..

Les cartes à puce sont-elles assez intelligentes??

Non, la véritable menace à la sécurité survient lorsque plusieurs services sont combinés sur une seule carte à puce équipée de la technologie RFID au nom de «commodité». Lorsque les cartes à puce portent les informations bancaires des utilisateurs ainsi que leur titre de transport, elles deviennent instantanément une cible beaucoup plus lucrative..

L'année dernière, TfL, en liaison avec Barclaycard, a lancé la Barclaycard OnePulse. Cette carte à puce 3-en-1 est une carte de paiement de bas niveau «one touch» et une carte de débit standard à puce et à code PIN.

Bien que la carte OnePulse n’ait pas encore été compromise, c’est exactement le type de carte à puce équipée de la technologie RFID qui intéresserait le monde criminel aux technologies éprouvées..

Il semble que la technologie RFID ne soit plus qu'un champ de bataille technologique où les fabricants sont soumis à une immense pression pour rester un pied devant les pirates.