Pirater une carte de paiement à distance: un jeu d'enfant
Les étiquettes RFID utilisées dans deux nouveaux types de documents frontaliers aux États-Unis sont vulnérables à l'espionnage et à la copie, selon un chercheur jeudi.
Cartes de passeport américaines délivrées par le Département d'État américain et EDL (permis de conduire améliorés) de l'État de Washington contiennent des étiquettes RFID (identification par radiofréquence) qui peuvent être scannées aux postes frontaliers sans être remises aux agents. Les deux ont été introduits plus tôt cette année pour les passages frontaliers par voie terrestre et maritime seulement, et ne peuvent pas être utilisés pour le transport aérien. New York est le seul autre État américain disposant d'une liste EDL, mais d'autres sont en cours d'élaboration.
Les informations contenues dans ces étiquettes pourraient être copiées sur une autre étiquette standard, qui pourrait être utilisée pour usurper l'identité du détenteur légitime. de la carte si un agent du Département américain de la sécurité intérieure à la frontière n'a pas vu la carte elle-même, les chercheurs ont dit. Un autre danger est que les étiquettes peuvent être lues jusqu'à 150 pieds dans certaines situations, de sorte que les criminels peuvent les lire sans être détectés. Bien que les balises ne contiennent pas d'informations personnelles, elles pourraient être utilisées pour suivre les mouvements d'une personne grâce à une surveillance continue.
Un autre danger est que les pirates
"Il serait relativement facile pour quelqu'un de lire votre carte de passeport ou votre permis de conduire électronique", a déclaré Tadayoshi Kohno, professeur adjoint en informatique et en génie à l'Université d'Ottawa. l'Université de Washington
Bien qu'il n'y ait pas de raison de paniquer, «nos coeurs devraient commencer à battre un peu plus vite», a déclaré Kohno. Le risque pour les passagers individuels est faible, mais les problèmes créent des faiblesses systémiques dans le système de franchissement des frontières, selon un résumé du rapport.
Les détaillants, les transporteurs et autres entreprises utilisent de plus en plus les étiquettes RFID comme codes à barres sans fil. plus d'informations que celles imprimées traditionnelles. Le développement de la technologie rend les outils de piratage RFID plus facilement disponibles, dit Kohno.
Dans une attaque de clonage, un pirate pouvait lire les informations sur l'étiquette RFID d'une carte, soit pendant que le détenteur passait ou lecteur de cartes ramassait les données. L'attaquant pourrait alors encoder une étiquette RFID générique avec ces mêmes données, a déclaré Kohno. Avec cette étiquette nouvellement encodée, quelqu'un pourrait passer à travers la frontière en apparaissant au lecteur RFID pour avoir une carte d'identité légitime, tant que personne n'a demandé à regarder la carte réelle.
Par eux-mêmes, les vulnérabilités RFID ne "En réalité, le système impliqué dans les passages frontaliers est beaucoup plus important que l'aspect technique", a déclaré M. Kohno. Par exemple, les autorités sont susceptibles d'interroger les conducteurs et les passagers qui traversent la frontière et regarder leurs cartes d'identité, at-il dit. Ils peuvent également utiliser d'autres mesures contre le clonage de cartes près des points de passage des frontières.
Cependant, Kohno et trois autres chercheurs pensent qu'il existe des mécanismes pour les étiquettes RFID que les gouvernements des États-Unis et de Washington n'utilisent pas. chaque étiquette a deux numéros spécialisés: un code PIN d'accès (numéro d'identification personnel) et un code PIN de suppression. (Ils sont plus grands que les codes PIN des cartes bancaires et ne sont pas choisis par les titulaires de carte.) Le code PIN d'accès peut être utilisé pour vérifier qu'une étiquette est légitime et que le code PIN kill peut être utilisé pour rendre la balise illisible. Les NIP sont utilisés à la fois sur les cartes de passeport et les permis de conduire Plus, mais il y a des mesures de sécurité supplémentaires que les chercheurs ne pensent pas que les autorités utilisent. Par exemple, ils pourraient tester le code PIN d'accès en utilisant les informations d'une base de données, a déclaré Kohno. De plus, le code PIN de la mort n'est pas mis en place sur les EDL de Washington, ce qui pourrait les rendre vulnérables à une attaque qui rendrait toutes ces cartes sur un site illisible, a-t-il dit. Une telle attaque pourrait causer une nuisance ou miner la confiance des voyageurs, selon le résumé.
sont métalliques. Selon les chercheurs, les couvertures protègent contre l'espionnage.
Pour l'autoprotection, les chercheurs suggèrent aux consommateurs d'utiliser les manchons de protection fournis avec les deux cartes, ce qui peut aider à prévenir le scannage clandestin. Les voyageurs peuvent également utiliser les passeports américains plus sûrs en taille réelle.
Les chercheurs du MIT disent que les traits plus denses peuvent être gravés sur des puces Les chercheurs du Massachusetts Institute of Technology disent avoir fait une percée avec la technologie de la lumière qui pourrait éventuellement aider les fabricants de puces à créer des circuits plus fins.
Les chercheurs ont trouvé un moyen de focaliser un faisceau de lumière Rajesh Menon, ingénieur de recherche au département de génie électrique et d'informatique du MIT, a déclaré que les fabricants de puces dépendent de la lumière pour tracer des schémas de circuits sur les puces, mais la plupart des les techniques utilisées aujourd'hui ne peuvent pas produire de motifs plus petits que la longueur d'onde de la lumière elle-même.
Les chercheurs trouvent des centaines de systèmes de contrôle des bâtiments peu sûrs
Les intrus sont utilisés pour pénétrer dans les conduits de ventilation. Maintenant, ils utilisent le logiciel qui contrôle la ventilation.
La police de Mumbai a arrêté samedi un chercheur en sécurité qui a enquêté sur des problèmes de sécurité dans des machines à voter électroniques. chercheur en sécurité qui a enquêté sur les machines à voter électroniques (EVM) utilisées lors des élections indiennes a été arrêté par la police à Mumbai samedi. Hari Prasad et d'autres chercheurs ont publié une vidéo plus tôt cette année montrant comment, après avoir bricolé avec l'électronique interne d'un EVM, ils pourraient effectuer des attaques
En avril, Prasad a déclaré à IDG News Service que son groupe de chercheurs avait accès à une EVM opérationnelle. lors d'une élection par le biais d'une source anonyme.