Symposium sur la sécurité des technologies de l'information et des communications

Conférence francophone sur le thème de la sécurité de l'information.
Elle a eu lieu à Rennes du 5 au 7 juin 2024.

Tears for fears, breaking an RFID counterJean-Joseph Marty, Pierre Granier, Rémy Delion


Date : 06 June 2024 à 11:15 — 15 min.

Cette présentation est une adaptation de l'attaque "d'arrachage" (tearing) présentée par QUARKSLAB au SSTIC en 2021. Dans cette dernière, différentes fonctions sur les cartes RFID avaient été détournées, dont des compteurs monotones. Les tags RFID de la famille des ST25TB n'étaient pas concernés par les précédentes découvertes. AMOSSYS propose une méthodologie pour compromettre les compteurs monotones de ces cartes, communément utilisées comme titres de transport dans de nombreuses villes françaises. Cette attaque est non-intrusive, demande moins de 50 euros de matériel, et peut être exécutée en quelques minutes. Elle permet de manipuler le système de billetterie, si sa sécurité repose seulement sur ces compteurs.