Bien que je ne vois pas encore d’utilité pour le NFC ici en France, il est déjà largement utilisé là-bas. Les plateformes mobiles comme Android et Windows Phone disposent d’applications NFC qui vous permettent d’effectuer des tâches comme le paiement, le transfert de fichiers et la personnalisation des appareils, par exemple. Mais quelques chercheurs américains ont trouvé une utilisation plus noble (et pas très légitime) d’une telle fonctionnalité : prendre le métro gratuitement.
Les chercheurs Corey Benninger et Max Sobell ont créé une application Android appelée UltraReset qui, en exploitant une vulnérabilité de la carte RFID utilisée dans le métro, pouvait la réécrire. Ils ont fait une démonstration de la faille ce jeudi lors de la conférence EUSecWest sur la sécurité et ont enregistré une démo dans un métro, que vous pouvez voir dans la vidéo ci-dessous.
En gros, ils utilisent l’application Android pour copier complètement le contenu de la carte utilisée dans le métro et, lorsqu’elle est épuisée, ils réécrivent les informations qui ont été lues précédemment. De cette façon, si une carte a assez de place pour 8 voyages et que tous sont dépensés, en passant la carte sur Android et en activant l’application, elle aura à nouveau 8 voyages.
Cette technique n’est pas vraiment nouvelle, les cartes Mifare sont connues pour avoir des vulnérabilités largement documentées. Mais c’est la première démonstration publique d’un hack portable, qui ne dépend pas d’un lecteur NFC connecté à l’ordinateur ou quelque chose comme ça. Il suffit de le prendre dans votre poche et de l’utiliser quand cela vous convient.
Les chercheurs ont démontré dans la vidéo une vulnérabilité spécifique de la carte Mifare Ultralight. Ici, en France, dans le métro de Paris comme dans celui de Marseille, le modèle utilisé est le Mifare Classic, qui connaît des échecs depuis longtemps. En théorie, il serait donc possible d’utiliser une application similaire pour explorer la vulnérabilité de ce type de carte et pouvoir voyager gratuitement dans les transports publics. Il suffit d’oser prendre un risque, car prendre le métro sans payer est un crime prévu par la loi.
