Mifare - Définition

Les cartes MIFARE T=CL

Les cartes MIFARE ProX et SmartMX sont à base de microprocesseur. En elle même, la puce de la carte ne fait rien : elle doit être programmée avec un logiciel dédié : un système d'exploitation. La plupart du temps le microprocesseur est couplé à un coprocesseur spécialisé pour les calculs cryptographiques rapides (comme les algorithmes Triple DES, AES, RSA, etc). Ces cartes sont capables d'exécuter des opérations complexes de façon aussi sécurisée et rapide que les cartes à puce à contact que l'on connaît qui contiennent des systèmes d'exploitation à base de Java comme JCOP.

Selon le logiciel installé, la carte peut être utilisée pour presque tous les types d'applications. Ce genre de carte est davantage utilisé là où un haut niveau de sécurité est requis (par exemple dans la sécurisation des documents de voyage, des passeports électroniques, les cartes de paiement etc).

Sécurité

Une présentation faite par Henryk Plötz et Karsten Nohl le 28 décembre 2007 lors du "Chaos Communication Congress" décrit un reverse-engineering partiel de l'algorithme d'authentification mutuelle de Mifare Classic ainsi que certains problèmes de sécurité du modèle Mifare Classic.

Depuis, le Professeur Jacobs et son équipe identifièrent la vulnérabilité de la puce dans un article qui devait être publié en mars 2008. Cependant cette publication a été retardée après que NXP, le fabricant a tenté une action en justice visant à l’interdire. Il a été finalement publié en Octobre 2008 lors de l’ « European Symposium on Research in Computer Security (Esorics) 2008 » une conférence sur la sécurité informatique organisée à Malaga en Espagne. Les informations sensibles, stockées sur la puce Mifare Classic, sont protégées par un numéro qui agit comme une clé. La sécurité de tout le système est basée sur le fait que cette « clé » ne peut être découverte. En mars, le Prof Jacobs et son équipe ont découvert qu’il était relativement facile de “calculer” ces clés à partir de données récupérables, et à partir de là, encore plus facile de créer ou de copier des cartes. Le temps actuel pour "calculer" ces clés est de 6 secondes, avec un lecteur disponible sur internet.

Steve Owen, vice president sales and marketing, identification de NXP Semiconductors, fabricant des puces mifare classic declare alors à la BBC lors de l’émission “ Click” du samedi 11 Octobre 2008. "We do not recommend the use of Mifare Classic for new installations," said Mr Owen "We are working with customers to review their security" “ Nous ne conseillons pas l’utilisation de la carte Mifare Classic pour de nouvelles installations” dit Mr Owen “Nous travaillons avec des clients pour revoir leur sécurité »

VIDEOS:

• démo de hack :

http://fr.youtube.com/watch?v=NW3RGbQTLhE

• Présentation originale de Karsten Nohl et Henryk Plötz (avec pdf originaux) :

http://www.cr80news.com/2008/04/02/episode-8-interview-with-mifare-hacker-karsten-nohl

articles: http://www.newspedia.eu/news/34788/Oyster+card+hack+details+revealed

Historique

• 1994 — Apparition de la technologie MIFARE 1k sans contact
• 1996 — 1^er système de transport à Séoul utilisant des cartes MIFARE 1k.
• 1997 — Apparition des MIFARE PRO avec coprocesseur Triple DES .
• 1999 — Apparition des MIFARE PROX avec coprocesseur à PKI
• 2001 — Apparition des MIFARE UltraLight.
• 2002 — Apparition des MIFARE DESFire, produit à base de microprocesseur
• 2004 — Apparition des MIFARE DESFire SAM, version de MIFARE DESFire à infrastructure sécurisée

La technologie MIFARE (MIkron FARE-collection System) a été développée par Mikron puis acquise par Philips en 1998. Mikron transmit la licence de la technologie MIFARE à Atmel aux États-Unis, à Philips aux Pays-Bas et à Siemens en Allemagne.

Après l'acquisition par Philips, Hitachi a contracté une licence MIFARE avec Philips pour le développement de solutions à base de cartes à puce sans contact pour la téléphonie à carte de NTT entre 1999 et 2006. Trois autres partenaires ont rejoint le projet des cartes sans contact pour les téléphones : Tokin-Tamura-Siemens, Hitachi (en contrat avec Philips pour le support technique), Denso-(Motorola pour la production). NTT demanda deux versions de la puce,comme MIFARE classique, une avec petite capacité mémoire et l'autre avec une grande capacité mémoire. Hitachi a développé seulement la carte à grande capacité et retira une partie de la mémoire pour la version à faible capacité.

Siemens a développé seulement la puce à logique câblée basée sur leur technologie MIFARE avec quelques modifications. Motorola tenta de développer une puce à logique câblée similaire à MIFARE mais finit par abandonner. Le projet visait la production d'un million de cartes par mois pour commencer mais atteint 100 000 cartes par mois juste avant qu'il soit abandonné.