Dans notre monde toujours plus connecté, les cartes à puce sont impliquées quotidiennement dans nos activités, que ce soit pour le paiement, le transport, le contrôle d'accès ou encore la santé. Ces cartes contiennent des informations personnelles liées aux faits et gestes de leur possesseur. Cet article décrit les informations qu’il a été possible de récupérer à partir des cartes disponibles dans un porte-feuille. Parmi ces informations, on retrouve par exemple le nom du possesseur de la carte, ses derniers trajets en bus, les prénoms de ses enfants, sa photo, ou son numéro de compte.
Introduction
250, tel est le nombre de cartes que nous avons analysées pour les lecteurs de MISC. Pourquoi ? Ce travail a été réalisé pour déterminer si les cartes que nous utilisons tous les jours contenaient des informations personnelles, que l’on préfèrerait ne pas voir divulguées.Nous identifions plusieurs scénarios dans lesquels ces informations peuvent fuiter. Cela peut être par exemple lors de la perte de notre porte-feuille : bien que des informations soient imprimées sur les cartes et peuvent être lues directement, la puce ou la piste magnétique contient des informations personnelles supplémentaires telles que l’historique d’utilisation de la carte. Ça peut aussi être tout simplement une personne qui souhaite connaître les trajets de son conjoint. Des scénarios d’attaque plus avancés peuvent également être imaginés, avec un mouchard présent sur un lecteur de cartes, ou une lecture à distance d'une carte sans contact, même si cette...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première
[CP] http://pannetrat.com/Cardpeek/
[PC] https://www.service-public.fr/particuliers/actualites/008124
[CRYPTO-1] http://www.cs.ru.nl/~flaviog/publications/Security_Flaw_in_MIFARE_Classic.pdf
[RFIDIOT] http://rfidiot.org/
[TagInfo] https://play.google.com/store/apps/details?id=at.mroland.android.apps.nfctaginfo&hl=fr
[TagInfo2] https://play.google.com/store/apps/details?id=com.nxp.taginfolite&hl=fr
[eID-France] https://www.nextinpact.com/news/100752-des-senateurs-veulent-relancer-carte-d-identite-biometrique.htm
[eID-Belgique] http://eid.belgium.be/fr/en_savoir_plus_sur_l_eid/les_documents_d_identite_electroniques/l_eid
[eID-BelgiqueOutil] http://eid.belgium.be/fr
[CNILEMV] https://www.cnil.fr/fr/carte-de-paiement-sans-contact-mode-demploi
[servicepub] https://www.service-public.fr/particuliers/vosdroits/F21742
[PiratesMag] http://www.acbm.com/pirates/num_18/carte-vitale-ald.html, Patrick Gueulle
[MISC48] « Lire son Passe Navigo en un clin d’œil ». Gildas Avoine, Tania Martin et Jean Pierre Szikora
[MISCHS02] « La carte SIM ou la sécurité du GSM par la pratique ». Pascal Urien
[MISC52] « Python Simple Smartcard Interpreter ». Éric Bourry et Marc de Saint Sauveur
[MISC79] « Contrôle d’accès physique : étude des cartes sans contact ». Vincent Le Toux et Vincent Bolatre
[BMW1] http://www.bmw.com/com/en/insights/technology/technology_guide/articles/car_key_memory.html
[BMW2] http://www.bmw.com/com/en/owners/service/service_from_bmw/keyreader.html
