Cartes à puce : découvrez leurs fonctionnalités et leur limites

MISC

HS n°

novembre 2008

| Du Castel Bertrand, Schlumberger Fellow

Qui a jamais participé à un évènement historique ne peut qu’être surpris à le voir relaté dans des articles de journaux, des livres ou des émissions diverses. Il apparaît presque que leurs auteurs ont vécu une toute autre expérience, parfois et peut-être souvent même incompatible avec sa propre impression.En 2005, j’ai eu l’honneur de recevoir le prestigieux trophée du visionnaire du magazine Card Technology, à l’époque la référence en matière de publications dans le monde des cartes à puces. Dans un long article, le journaliste Dan Balaban a fourni une histoire assez exacte de la carte à puce Java et de mon implication. Mais, naturellement, je ne pouvais pas à l’époque lui dire ce que je vais maintenant raconter, car il était trop tôt. Comme j’ai toujours été curieux de savoir comment l’Histoire sonne, écrite par ses auteurs, j’ai été très heureux quand il m’a été demandé d’écrire cet article.

Le marché des cartes à puce

Par Avenel Yvon

MISC

HS n°

novembre 2008

| Avenel Yvon

Plus de 4 milliards de cartes à puce ont été livrées dans le monde en 2007, pas loin de 5 milliards devraient l’être en 2008.

YesCard, entre mythe et réalité ou un aperçu du système bancaire français

Par Eluard Marc, Lelievre Sylvain

MISC

HS n°

novembre 2008

| Eluard Marc, Lelievre Sylvain

L'idée de paiement sans argent liquide n'est pas récente : « Chaque fois qu'un Gonda désirait quelque chose de nouveau, des vêtements, des objets, il payait avec sa clé. Il pliait le majeur, enfonçait sa clé dans un emplacement prévu à cet effet et son compte, à l'ordinateur central, était aussitôt diminué de la valeur de la marchandise ou du service demandé. » [1]. Depuis plus de vingt ans, la carte à puce est au cœur du système bancaire. Elle fait l'objet de toutes les attentions de la part des banques et des utilisateurs, mais aussi, voire encore plus, de la part des pirates. La carte à puce en tant que coffre-fort électronique impénétrable était censée apporter le niveau de sécurité élevé requis pour les applications bancaires. Mais il semble que deux lois de base aient été oubliées par les banques, à savoir que le niveau de sécurité d'un système est caractérisé par son maillon le plus faible et qu'un système sécurisé ne résiste pas éternellement aux attaques. Nous allons tenter dans cet article de décrire le rôle de la carte à puce dans le système bancaire français. Nous détaillerons d'abord le premier protocole qui était encore en vigueur il y a quelques années. Nous verrons ensuite les failles de sécurité que ce protocole présentait et comment elles ont été exploitées par les pirates avec notamment les « YesCard ». Enfin, nous étudierons les principales évolutions de sécurité liées en particulier à ces attaques.

La carte SIM ou la sécurité du GSM par la pratique

Par Urien Pascal

Mobilité Électronique Sécurité système

MISC

HS n°

novembre 2008

| Urien Pascal

La carte SIM (ou Subscriber Identity Module, mot à mot le module d’identité d’un abonné) est le type de carte à puce le plus vendu de par le monde. Environ trois milliards d’unités ont été fabriquées en 2007, soit une carte pour deux habitants de la planète. Ce produit constitue véritablement le poumon de l’industrie de la carte à puce, dont la première entreprise mondiale, Gemalto, réalise un chiffre d’affaire d’environ deux milliards d’euros.

NXP Mifare Classic : une star déchue

Par Avoine Gildas, Martin Tania, Szikora Jean-Pierre

MISC

HS n°

novembre 2008

| Avoine Gildas, Martin Tania, Szikora Jean-Pierre

Frénésie, le mot n'est pas trop fort pour décrire l'engouement actuel envers le sans contact. Plus question désormais de se torturer l'esprit pour comprendre le pictogramme décrivant la façon d'insérer une carte à puce dans un lecteur ; il suffit de passer sa carte à proximité de celui-ci et le tour est joué. La star de toutes ces cartes sans contact, la figure de proue du domaine, c’est la NXP Mifare Classic (une icône vendue à plus d’un milliard d'exemplaires). Dans cet article, nous présentons comment elle fut lapidée au printemps 2008, lorsque plusieurs équipes de recherche ont mis au grand jour des failles de sécurité aussi sérieuses qu’impardonnables. La star déchue entraîne dans sa débâcle des millions de systèmes de contrôle d'accès, de billetterie et de porte-monnaie électronique.

Mise en place de PKI1 et carte à puce

Par Loutrel Marc, Gelgon Sébastien

MISC

HS n°

novembre 2008

| Loutrel Marc, Gelgon Sébastien

Face aux nouvelles menaces liées à l’interconnexion croissante des SI (commerce en ligne, dématérialisation, mobilité des salariés,…) et des menaces internes, l’utilisation de certificats électroniques s’impose comme étant l’une des solutions les plus sécurisées pour garantir le contrôle d’accès, la traçabilité et l’imputabilité, en d’autres termes, garantir l’identité de la personne ayant agi. Des infrastructures de gestion de clés (PKI) ont d’ailleurs été déployées dans de nombreuses grandes entreprises. Il apparaît même aujourd’hui des cartes d’identité nationales intégrant des certificats numériques (Portugal, Belgique,…).La sécurité d’un système bâti sur des certificats repose sur la protection des clés privées des autorités de certification, des serveurs et des utilisateurs. C’est au confinement de la clé privée de ces derniers que nous nous intéresserons : la carte à puce.

Java Card (U)SIM et applications sécurisées sur téléphones mobiles

Par Chaumette Serge, Ouoba Jonathan

Électronique Mobilité Sécurité du code

MISC

HS n°

novembre 2008

| Chaumette Serge, Ouoba Jonathan

Les cartes à puce sont aujourd’hui considérées comme des ressources sûres du fait de leur structure interne et des validations qu’elles subissent tout au long de leur cycle de vie. Il est donc possible de les utiliser comme éléments de base pour sécuriser différents types d’environnements : accès physiques à des locaux, transactions bancaires, systèmes embarqués, etc. Dans cet article, nous expliquons comment utiliser les cartes (U)SIM Java des téléphones mobiles afin d’apporter de la sécurité, en termes de confidentialité des données et des communications, dans le fonctionnement des applications développées pour ces matériels. Nous présentons les différentes technologies qui interviennent (Java Card, (U)SIM, Java ME) ainsi que la façon de les combiner. Nous terminons par un exemple d’application qui utilise tous les éléments présentés.

Programmation de cartes avec Java Card

Par Bouzefrane Samia, Cordry Julien, Grimaud Gilles

Sécurité du code

MISC

HS n°

novembre 2008

| Bouzefrane Samia, Cordry Julien, Grimaud Gilles

La technologie Java Card fournit une machine virtuelle qui joue le rôle de système d'exploitation pour cartes à puce en apportant sécurité et indépendance vis à vis du matériel. Ainsi, des développeurs indépendants peuvent concevoir et déployer dans des cartes à puce toute une variété de produits et de services sécurisés, dans la poche de leurs utilisateurs. Nous explorons ici l'essence de cette technologie.

Un SDK JavaCard générique ou comment développer une application carte complète pour toutes les cartes Java

Par Guyot Vincent

Sécurité du code

MISC

HS n°

novembre 2008

| Guyot Vincent

Les informations que l'on peut trouver ici et là quant au développement d'applications mettant en œuvre des cartes à puce JavaCard programmables sont bien souvent parcellaires. Nous exposons dans cet article les différentes étapes nécessaires à l'assemblage complet d'un kit de développement logiciel JavaCard générique, à savoir n'étant lié à aucun modèle de carte Java en particulier, à partir de logiciels librement téléchargeables (à différencier avec des logiciels libres téléchargeables). Dans un second temps, nous le mettrons en pratique sur un exemple d'application de type HelloWorld.

Tests d'intrusion : comment évaluer la sécurité de ses systèmes et réseaux ?

Acheter ce numéro en version papier

J'achète ce numéro

Accès par numéro hors-série

Cyber Threat Intelligence

Spécial OSINT

Cloud, le nouveau Far-West ?

Survivre à une attaque de ransomware

Reverse engineering : apprenez à analyser des binaires

Les fondamentaux de l'analyse forensique - Réponse à incident & investigation numérique

Sécurité système & logiciel - Exploitation & contre-mesures

Sécurité des réseaux TCP/IP

Windows & Active Directory : attaques & contre-mesures

Comprendre les vulnérabilités de l'IoT

Machine Learning & sécurité

Recherche de vulnérabilités

Sécurité des systèmes sans fil

Sécurité des objets connectés

Apprenez à tester les vulnérabilités de vos systèmes et de vos serveurs grâce à Metasploit

Cryptographie

Tests d'intrusion

Outils de sécurité

Réagir à une intrusion

Vulnérabilités et exploits

Apprenez à protéger votre vie privée

Le guide du Reverse Engineering

Les mains dans la cryptographie

Cryptographie : vos secrets sont-ils bien gardés ?

À l'assaut du Web

Petit traité de sécurité

Cartes à puce : découvrez leurs fonctionnalités et leur limites

Tests d'intrusion : comment évaluer la sécurité de ses systèmes et réseaux ?

Spécialités

Magazines précédents

MISC Hors-série N°1

Les derniers articles Premiums

Les derniers articles Premium

Déployer un cluster AMQ Streams avec Ansible

Contenu Premium

Par

Pelisse Romain

Système

Automatiser entièrement le déploiement d’un cluster Red Hat AMQ Streams est possible… en utilisant Ansible et sa collection dédiée au produit. Démonstration par l’exemple.

Bénéficiez de statistiques de fréquentations web légères et respectueuses avec Plausible Analytics

Contenu Premium

Par

Mourey Stéphane

Web

Pour être visible sur le Web, un site est indispensable, cela va de soi. Mais il est impossible d’en évaluer le succès, ni celui de ses améliorations, sans établir de statistiques de fréquentation : combien de visiteurs ? Combien de pages consultées ? Quel temps passé ? Comment savoir si le nouveau design plaît réellement ? Autant de questions auxquelles Plausible se propose de répondre.

Quarkus : applications Java pour conteneurs

Contenu Premium

Par

Pelisse Romain

Système

Code

Initié par Red Hat, il y a quelques années le projet Quarkus a pris son envol et en est désormais à sa troisième version majeure. Il propose un cadre d’exécution pour une application de Java radicalement différente, où son exécution ultra optimisée en fait un parfait candidat pour le déploiement sur des conteneurs tels que ceux de Docker ou Podman. Quarkus va même encore plus loin, en permettant de transformer l’application Java en un exécutable natif ! Voici une rapide introduction, par la pratique, à cet incroyable framework, qui nous offrira l’opportunité d’illustrer également sa facilité de prise en main.

De la scytale au bit quantique : l’avenir de la cryptographie

Contenu Premium

Par

Samhi Jordan

Crypto

Imaginez un monde où nos données seraient aussi insaisissables que le célèbre chat de Schrödinger : à la fois sécurisées et non sécurisées jusqu'à ce qu'un cryptographe quantique décide d’y jeter un œil. Cet article nous emmène dans les méandres de la cryptographie quantique, où la physique quantique n'est pas seulement une affaire de laboratoires, mais la clé d'un futur numérique très sécurisé. Entre principes quantiques mystérieux, défis techniques, et applications pratiques, nous allons découvrir comment cette technologie s'apprête à encoder nos données dans une dimension où même les meilleurs cryptographes n’y pourraient rien faire.