Cette page appartient aux archives web de l'EPFL et n'est plus tenue à jour.
This page belongs to EPFL's web archive and is no longer updated.

Cryptage insuffisant

Reproduction d'un article publié par Zataz le 04.02.2005 :

Depuis peu, les constructeurs automobiles proposent à la vente des voitures équipées de systèmes antivol fondés sur la technologie des puces d'identification par radiofréquence (RFID). Au moment du démarrage, un lecteur situé à l'intérieur du véhicule authentifie par radiofréquence la balise électronique associée à la clé de contact ; en cas d'échec, le moteur s'arrête. Mais ce système offre-t-il toutes les garanties de sécurité ? Pas selon des informaticiens de l'Université John Hopkins (Maryland). En achetant des composants électroniques classiques à un prix modique et en s'aidant de documentations disponibles sur Internet, ces derniers sont en effet parvenus à décoder la clé de chiffrement du Digital Signature Transponder (DST), le dispositif vendu par Texas Instruments (TI) aux fabricants comme Ford. La vulnérabilité du système repose en fait sur la cryptographie des informations échangées entre le lecteur et la puce. Pour cela, TI a utilisé un algorithme développé dans les années 1990 avec une clé de 40 bits, un niveau de sécurité largement dépassé de nos jours. En moins de 2 heures, les chercheurs ont percé à jour les clés de 5 DST.
Ils ont ensuite répété l'opération avec succès sur le Speedpass d'ExxonMobile qui permet de faire le plein à une station service sans fournir de carte de crédit grâce à une étiquette électronique. Pour les spécialistes, ces deux réussites démontrent la nécessité de recourir à un chiffrement plus fort (de type 128 bits), sans quoi des pirates pourraient bien apprendre à dérober à distance les clés d'identification radio - de plus en plus répandues - des consommateurs. (NYT/Adit).
Posted by Philippe Pichon on Monday 7 February 2005 at 13:16