Archives de catégorie : RFID

Entreprise, RFID

Le Kenya mise sur la technologie RFID allemande pour identifier les voitures

Un puce RFID collée sur le pare-brise permet d’identifier l’ensemble des véhicules au Kenya.

L’État africain du Kenya continue de s’appuyer sur une technologie Allemande exploitant le RFID. Depuis 2016, le Kenya a numérisé l’enregistrement et l’identification de ses véhicules. Depuis, toutes les nouvelles voitures et tous les nouveaux camions reçoivent un autocollant RFID à apposer sur le pare-brise lors de l’immatriculation. L’IDeSTIX est produit par l’entreprise allemande TÖNNJES. Aujourd’hui, la National Transport & Safety Authority (NTSA) du Kenya a de nouveau fait appel au leader international du marché de l’identification des véhicules : d’autres IDeSTIX doivent être livrés à l’État d’Afrique de l’Est d’ici fin 2023. À l’avenir, les autocollants disposeront en outre d’un code 2D et d’un numéro de série.

Identification sans contact et technologie de cryptage hautement sécurisée

Les produits de TÖNNJES servent à l’identification électronique des véhicules, ou EVI. « Le Kenya utilise l’IDeSTIX comme troisième plaque d’immatriculation », explique le directeur Jochen Betz. L’autocollant contient une puce RFID RAIN sur laquelle est enregistré un numéro d’identification unique et codé plusieurs fois. Celui-ci peut être associé aux informations correspondantes du véhicule dans la base de données NTSA. Seuls les lecteurs autorisés peuvent déchiffrer le numéro. » De cette manière, la police reconnaît immédiatement si les données de l’IDeSTIX correspondent aux autres plaques d’immatriculation du véhicule », explique Betz.

Plus de certitude dans le commerce de voitures d’occasion

Les autocollants RFID, également utilisés par les Philippines ou la société pétrolière saoudienne Saudi Aramco, sont personnalisés et munis d’un code OR lors de leur émission sur place. Celui qui a un smartphone sous la main peut le scanner et voir les caractéristiques telles que le numéro d’immatriculation, la couleur de la voiture, la marque et le modèle. « Les arnaques sont ainsi nettement plus difficiles, surtout lors de la vente de voitures d’occasion », explique Jochen Betz. Enlever simplement l’autocollant pour dissimuler un vol ne fonctionne pas, car il s’autodétruit lorsqu’on le retire.

Argent, BYOD, Chiffrement, cryptage, Cybersécurité, Entreprise, Paiement en ligne, Particuliers, RFID, Securite informatique

Des gants, des autocollants et des Pin’s NFC pour les Jeux Olympiques d’hiver

La société Visa a créé des gants, des autocollants et des pin’s NFC sur le thème des Jeux Olympiques. L’idée, effectuer des paiements rapides sur n’importe quel terminal de paiement équipé en sans contact.

Le sans contact dit NFC gagne du terrain. Visa, le fabriquant de cartes bancaires, vient de lancer trois produits NFC, paiement sans contact, pour les Jeux Olympiques d’Hiver. Des JO qui se dérouleront en Corée du Sud. L’entreprise s’est associée à Lotte Card, le pôle financier du géant de la grande distribution Lotte Department Store. Mission, créer de nouveaux accessoires de paiement. Ils sont disponibles depuis le 9 novembre partout en Corée. Parmi les produits, quatre pin’s au prix unitaire de 5 000 KRW (4€). Il faut ajouter un montant prépayé intégré d’une valeur de 30 000 (23€) ou 50 000 (38€) Won coréen (KRW).

Qui dit hiver, dit gant. Visa propose des gants… de paiement. Ils sont équipés d’une puce à double interface munie d’une antenne sans contact permettant d’effectuer des achats sur les sites officiels des Jeux Olympiques et sur les terminaux compatibles partout dans le monde. Les gants seront pré-chargés avec un montant prépayé d’une valeur de 30 000 ou 50 000 Won coréen (KRW).

Pour finir, des autocollants. Ici aussi, une puce et une antenne NFC à double interface. Ces micro-étiquettes peuvent être collées sur n’importe quel support, afin d’effectuer facilement et rapidement des paiements à tout moment. Les autocollants de paiement seront pré-chargés avec des montants prépayés s’élevant à 30 000, 50 000, 100 000 ou 200 000 Won coréen (KRW).

Pour rappel, la société LotteCard avait été victime d’un piratage massif de ses données en décembre 2013. Les données personnelles d’environ 20 millions de clients de Citi Bank Korea, Kookmin Bank, NongHyup Bank, KB Kookmin Card et Lotte Card avaient été touchées par cette fuite massive.

Protection des moyens de paiement sans contact

Pour la première fois, un moyen de protection active proposé sous forme de carte plastique empêche toute utilisation frauduleuse d’une carte de paiement sans contact ou d’un moyen de paiement utilisant le NFC sur un smartphone. C’est la promesse du laboratoire de design dirigé par Tomasz Pomorski, Omnichip et ISRA Cards, un fabricant français de cartes plastiques avec ou sans puce et avec ou sans contact. Les deux entreprises ont réfléchi à la création de cartes intégrant la technologie Active Blocker.

Alors que les systèmes de protection actuels se contentent de proposer un « bouclier » physique censé arrêter les ondes de façon aussi passive qu’imparfaite, Active Blocker va plus loin que la simple perturbation de la communication : il l’empêche en la brouillant. En effet, si un fraudeur tente de se connecter à une carte NFC via un lecteur pirate, ActiveBlocker empêchera toute communication en émettant des signaux qui « couvriront » ceux de la carte NFC. Le procédé de brouillage est vieux comme les ondes mais s’avère compliqué à mettre en œuvre dans une communication en champ proche car son effet perturbateur doit rester circonscrit à des distancent à la fois relativement courtes et suffisamment longues pour être parfaitement efficace.

C’est pourquoi ISRA a réfléchi à la création d’une carte dédiée à la protection des moyens de paiements, mais aussi des documents d’identités utilisant la technologie sans contact tels que les e-passeports. Cette carte se glisse simplement dans le portefeuille ou le porte-carte avec les cartes de paiement et agit immédiatement, sans batterie. Dès que l’utilisateur sort sa carte de sans contact pour effectuer un paiement chez un commerçant, elle quitte le champ d’action d’ActiveBlocker, son signal n’est donc plus brouillé et le paiement peut s’effectuer tout à fait normalement.

ISRA Cards et Omnichip proposeront leur produit commun à tous les acteurs susceptibles d’être confrontés à des problématiques de sécurité liés au NFC tels que banques, sociétés d’assurance ou d’assistance, distributeurs, fabricants ; dans des formes adaptées aux besoins des utilisateurs finaux : carte de protection, carte de fidélité, carte d’authentification, etc.

La rédaction a demandé une version pour test, nous n’avons pas encore reçu de réponse.

BYOD, Cyber-attaque, Cybersécurité, IOT, Mise à jour, Patch, Piratage, RFID, santé

Santé et sécurité : peut-on hacker le cœur humain ?

Les appareils utilisés dans le secteur de la santé et les failles de sécurité s’y trouvant inquiètent les chercheurs en sécurité.

Même la branche de la santé ne résiste pas à la tendance croissante de la mise en réseau. Cette interconnexion promet des avantages, autant pour les patients que pour les médecins et le personnel soignant. Mais à côté de ces annonces enthousiastes, on trouve des experts de sécurité qui mettent en garde contre des systèmes potentiellement non sécurisés. G Data tire la sonnette d’alarme.

L’Internet des objets en question

En août 2016, des chercheurs ont trouvé des failles de sécurité un produit connecté du fabricant St. Jude Medical, leader dans la production de stimulateurs cardiaques et défibrillateurs. Sur ce produit, un émetteur/récepteur permet une surveillance à distance des valeurs de l’appareil implanté. En fonction des valeurs, des actions à distances sur l’appareil sont possibles. Seul prérequis : le patient doit se trouver à proximité de l’émetteur. Mais des chercheurs ont démontrés qu’en exploitant certaines failles de sécurité, ils pouvaient également agir sur cet appareil.

Le fabricant a publié une mise à jour qui corrige les vulnérabilités. L’office américaine de contrôle des produits pharmaceutiques et alimentaires (FDA) a rendu l’information publique et informé le personnel médical tout comme les patients sur la mise à jour logicielle nécessaire.

Des failles de sécurité dans les appareils médicaux : rien de nouveau !

En 2015, un chercheur de sécurité allemand a repéré que les standards de sécurité des appareils médicaux dataient des années 1990. Il a pu désactiver la fonction respiratoire d’un appareil d’anesthésie connecté. Son rapport montre que via les failles de sécurité dans le logiciel de contrôle d’une pompe à insuline, les attaquants peuvent administrer une dose mortelle du médicament. La même chose est possible pour les pompes à transfusion utilisées dans les hôpitaux. Tous les appareils médicaux, modernes et connectés qui arrivent aujourd’hui sur le marché sont en retard sur le domaine de la sécurité. Une des raisons est la lenteur des procédures d’autorisations et de certifications.

Intégrer la sécurité dès la conception des appareils

Avec l’augmentation et la popularité croissante des ransomware, des nouveaux scénarios sont envisageables. Des attaquants pourraient demander des rançons en échange de quoi ils n’agiraient pas sur des appareils médicaux maintenant des patients en vie. Pour éviter cela, une coopération efficace entre chercheurs en sécurité et fabricants est indispensable, au niveau des appareils mais aussi au niveau des plateformes connectées qui centralisent les données des patients. Accélérer les processus de certifications est également nécessaire. Enfin, intégrer la sécurité dès la conception des produits « security by design » constitue une étape indispensable pour l’industrie médicale.

Base de données, Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, IOT, Mise à jour, RFID

Label Objets Digital Security

Le groupe Econocom va lancer se trimestre un label dédié à la sécurité des objets connectés. Mission annoncée, permettre une identification fiable et objective du niveau de sécurité des solutions connectées.

Digital Security, filiale de la société Econocom, va lancer d’ici la fin mars 2017 son label dédié aux objets connectés. Baptisé IoT Qualified Security, le but annoncé de cette norme privée est de permettre aux acteurs du marché des objets connectés de posséder une identification reconnue sur la sécurité de leurs produits. Pour être très honnêtes avec vous, je n’en sais pas beaucoup plus. Impossible d’avoir plus de détails par le service communication d’Econocom contacté plusieurs fois, mais à première vue, problème de connexion !

En attendant, le projet a tout pour plaire. Il faut dire aussi que d’ici 3 ans, la planète sera équipé de plus de 25 milliards d’objects connectés. Un marché de plusieurs milliards de dollars. Autant dire que ne pas protéger cette masse de caméras, cafetières, montres, panneaux d’affichages urbains… risque de rendre l’ambiance numérique du XXIème particulièrement chaotique. Les attaques DDoS, bloquer un site, un serveur, … à coups de connexions pirates via des objets connectés infiltrés sont devenues légions. Face à ce genre d’attaques, une armée doit pouvoir y répondre.

Ce genre de label en fait parti, en plus de l’éducation des utilisateurs. « La multiplicité des socles technologiques, l’émergence de nouveaux protocoles de transport, les contraintes de consommation d’énergie et les délais très courts de mise sur le marché sont autant de facteurs qui nécessitent la création d’un référentiel de sécurité pour les acteurs de la filière de l’Internet des Objets. » indique Cédric Messeguer, Directeur général de Digital Security.

IoT Qualified Security doit permettre aux futurs acquéreurs (entreprises et particuliers) d’être capable d’identifier le degré de sécurité d’une solution connectée selon un indicateur fiable, neutre et indépendant. Ce label n’est pas contrôlé par n’importe qui. Derrière cette idée, le CERT-UBIK, première mondiale (et Française, NDR), spécialisé des sujets de la sécurité de l’IoT. L’un des fondateurs de ce CERT, « maestro » Renaud Lifchitz, expert français du sans fil/sans contact.

BYOD, Chiffrement, cryptage, Cybersécurité, Entreprise, ID, Identité numérique, IOT, Particuliers, RFID, Social engineering, Téléphonie

Les trois principales implications de sécurité de l’IoT

Les professionnels de la sécurité informatique font face depuis une dizaine d’années au raz-de-marée que provoque l’augmentation des connexions d’utilisateurs et de terminaux pour accéder aux ressources de l’entreprise ; dans le même temps, ils s’efforcent de réduire la surface d’exposition aux attaques en éliminant autant de points d’accès que possible.

Pour ce faire, ils procèdent généralement à un inventaire des connexions, ils consolident les systèmes sur le réseau et les serveurs ciblés, ils créent des portails en alternative aux accès à distance, et ils opèrent une corrélation avancée des événements de sécurité au moyen d’une solution centrale de sécurité.

Introduire des dispositifs IoT dans un environnement revient à ajouter un nombre inconnu de nouvelles portes à un bâtiment qui en compte déjà 100 dont l’accès est à peine contrôlé. En 20 ans, nous sommes passés d’un appareil par utilisateur à quatre ou cinq par personne et bientôt nous ne saurons probablement plus combien notre environnement compte de points d’accès exploitables connectés à Internet.

Rien que l’audit et l’inventaire de ces terminaux apparaissent comme des tâches monumentales, or c’est la première étape d’une stratégie de protection efficace. L’accessibilité future de dispositifs IoT sur le réseau a des incidences sur la sécurité. Voici trois implications qu’il convient de garder à l’esprit :

La prolifération des dispositifs IoT augmente la surface d’attaque
Pensez aux conditions d’accueil des personnes dans un grand immeuble de bureaux d’une ville moyenne. Il est possible que de nombreuses portes ne soient pas gardées, mais la progression du flux est guidée vers un guichet d’accueil ou un hall d’entrée central où les personnes titulaires d’un badge le présentent tandis que les autres doivent se soumettre à des procédures de vérification d’identité avant de se voir remettre un badge qui les autorise à aller plus loin. Pour d’autres types d’accès, l’approche n’est pas différente ; en instaurant une connexion centrale de courtage, au moins pour les requêtes émanant de l’extérieur de la surface d’attaque, l’entreprise peut établir des contrôles à un point unique d’entrée/sortie.

Suffisamment anodins pour être ignorés, mais suffisamment intelligents pour être dangereux
On a trop souvent tendance à réduire l’IoT à un grille-pain intelligent. Et c’est une partie du problème.
La plupart des « objets » connectés sont d’une telle simplicité qu’on banalise leur présence ou ce sont des outils ou des fonctions intégrées dont on ignore même l’existence. On en vient à oublier que, tout anodin qu’ils aient l’air, ces dispositifs sont connectés à Internet. Ce qui les rend aussi intelligents que quiconque décidera d’y accéder ou de s’en servir.

L’objet entre vos mains, à qui appartient-il réellement ?
Ce qui nous amène à la troisième préoccupation : à qui appartient réellement ou qui contrôle le dispositif IoT avec lequel vous vivez ? Est-ce vous qui l’entretenez ? Espérons que quelqu’un s’en charge car faute de correctifs et de maintenance, il y a fort à parier que votre dispositif IoT figurera bientôt dans une base de données des vulnérabilités avec le risque d’être exploité immédiatement après. S’il y a effectivement maintenance, qui y a accès ? Et même si vous avez la réponse à cette question, que savez-vous de la politique de sécurité du fournisseur concerné ? Pour revenir au point précédent, votre sécurité dépend de la vigilance dont fait preuve celui à qui vous confiez des droits d’accès au réseau de votre entreprise. Effrayant, non ? Mais à nouveau, c’est en suivant les bonnes pratiques de gouvernance des accès, comme l’utilisation d’une connexion de courtage comme indiqué précédemment, que vous saurez qui a accès à vos systèmes IoT, par quel moyen, où, quand et comment.

Le nombre des points d’accès et des dispositifs connectés présents sur votre réseau va très certainement continuer d’augmenter au cours des prochaines années. Avez-vous adopté des mesures pour prévenir les risques de compromission liés aux dispositifs IoT ? (Par Thierry Tailhardat, Directeur France de Bomgar)

Chiffrement, cryptage, Cybersécurité, Logiciels, NFC, RFID

Montre connectée, outil involontaire pour pirates

Pirater une montre connectée Fitbit en 10 secondes permet ensuite de transformer la tocante en complice involontaire d’actes malveillants.

Des ingénieurs de Fortinet ont annoncé, il y a quelques jours, avoir trouvé le moyen de pertuerber et pirater les objets connectés de la marque Fitbit. Un piratage possible en 10 secondes. Les montres sont ensuite transformées en diffuseurs de malveillances. La chercheuse Axelle Apvrille a expliqué que trop d’objets connectés sont totalement exsangue de sécurité. Une lapalissade tant l’alerte est lancée depuis des mois. Il faut cependant que les « connectés » soient totalement ouverts par leurs utilisateurs. Et dans ce cas aussi, les fabricants devraient avoir l’obligation d’information concrètement leurs clients sur les danger d’une trop grande ouverture sur le monde connecté. Surtout que pour le cas de la Fitbit, il suffit d’être dans la zone Bluetooth d’un bracelet et lui injecter le code malveillant en proposant un téléchargement « amical ». Fitbit, alerté en mars 2015, n’avait toujours pas corrigé 8 mois plus tard. Dangereux ou simple effet d’annonce d’une société qui cherche la communication facile ? A vous de voir ! L’Etat américain d’Alaska vient d’équiper 5.000 élèves des écoles primaires avec ce genre de matériel.

Chiffrement, cryptage, Cybersécurité, ID, Identité numérique, Mise à jour, Particuliers, Patch, RFID, Vie privée

Maison connectée : le défi de la protection de l’identité

Fin mai se tenait à Paris la Connected Conference, un rendez-vous devenu incontournable pour tous les acteurs du Monde Connecté où de grands acteurs de l’industrie ont été invités à s’exprimer (Nest, Alcatel-Lucent, Lego). C’est en se rendant à l’intérieur de leur «Maison Connectée» créée pour l’événement que l’on pouvait prendre la mesure du phénomène: de l’ampoule, aux serrures en passant par les thermostats, tout sera connecté.

Il est nécessaire que les industriels développent des appareils se focalisant sur l’identité de l’utilisateur et créent un protocole de sécurité simple et uniforme, à travers les appareils, les applications, et les réseaux. Cependant, comment être sûrs que ces appareils soient assez sécurisés au vue de leur nombre et diversité et de la croissance exponentielle des applications multi-plateformes ?

Des défis à ne pas négliger
Les technologies biométriques s’installent peu à peu dans notre quotidien, mais ce n’est que tout récemment qu’elles ont fait leur entrée dans nos maisons. Au-delà des nombreux avantages que peut offrir la maison connectée pour nous faciliter la vie (praticité, automatisation des processus, optimisation des coûts…), elle soulève de nombreuses questions, notamment en matière de confidentialité et de sécurité des données. « Avec de nouveaux points d’entrées dans nos foyers, les pirates peuvent facilement s’immiscer dans notre quotidien, connaitre nos habitudes et pirater nos données »

Les appareils connectés d’ores et déjà disponibles à la vente offrent des services au top de la technologie, mais dont la sécurité est souvent sacrifiée à la fonctionnalité : la plupart d’entre eux ne disposent pas, par exemple, de mécanismes de réponse en cas de piratage de leurs équipements. Avec ces nouveaux points d’entrées dans nos foyers, les hackers peuvent facilement s’immiscer dans notre quotidien, connaitre nos habitudes et pirater nos données. Nous entendons trop souvent parler de cyber attaques, de vols de données confidentielles pour ne pas s’interroger, à juste titre, sur les menaces pesant sur les appareils enregistrant notre quotidien, nos habitudes, nos préférences, notre intimité.

Il est ainsi nécessaire que les industriels développent des appareils se focalisant sur l’identité de l’utilisateur et créent un protocole de sécurité simple et uniforme, à travers les appareils, les applications, et les réseaux. Ainsi, le thermostat intelligent devra être en mesure d’ordonner à votre lave-linge quand commencer un programme d’une autre marque, via un réseau Wi-Fi dont on connaît que trop bien la vulnérabilité. Certes ces appareils ne représentent pas des données confidentielles mais les caméras de surveillance la porte du garage, les baby-phones,… nombreux sont les objets sensés nous rassurer et que des hackers pourraient utiliser contre nous.

La biométrie, une option gagnante
La biométrie, c’est l’identification d’une personne par une partie de son corps (main, œil, doigt, visage) pour accéder à un service ; en d’autres termes, c’est un excellent moyen pour s’authentifier ou se connecter à tous types d’appareils. « Il devient urgent que les industriels s’attachent à travailler conjointement avec des professionnels de la sécurité des identités numériques »

Dans la maison intelligente du futur, la biométrie et par extension toutes les technologies nécessitant l’identité de l’utilisateur pour commander un service seront utilisées. Le téléphone portable sera l’objet central de la maison connectée. Depuis ce dernier, les utilisateurs pourront contrôler tous les aspects de leur maison et de leurs appareils ménagers grâce à l’authentification biométrique. Le management de l’identification et de l’authentification sera la clef pour les contrôler. Il est ainsi maintenant possible de mettre en route certains objets à distance : faire chauffer de l’eau, contrôler la température d’un four depuis notre voiture, tout est possible ! De plus en plus diversifié, le marché de l’IoT doit veiller à uniformiser ses offres s’il ne veut pas basculer dans la complexité. L’industrie a besoin de créer un accès simplifié et sécurisé pour permettre aux différents objets connectés de marques concurrentes de communiquer entre eux.

Nous pouvons facilement imaginer qu’à l’avenir, tout ce qui requiert une connexion par identification ou authentification pourrait être contrôlé par la biométrie : thermostats, compteurs intelligents, interrupteurs… Dans le futur, nous pourrons rendre nos foyers aussi connectés que nous le souhaitons !

L’internet des Objets offre de nombreux avantages mais soulève à la fois de nombreuses inquiétudes en terme de connexion et d’accès. Il devient urgent que les industriels s’attachent à travailler conjointement avec des professionnels de la sécurité des identités numériques pour garantir un accès sécurisé afin de protéger de manière optimale des données hautement confidentielles.

Android, Apple, Chiffrement, cryptage, Cybersécurité, ID, Identité numérique, ios, iOS, Logiciels, Microsoft, Particuliers, RFID, Sécurité, Smartphone, Téléphonie, Windows phone

Coesys mGov : les services gouvernementaux à l’aide d’un téléphone portable

Gemalto lance une solution sécurisée basée sur la carte d’identité électronique et le téléphone NFC pour accélérer l’adoption de l’eGovernment.

Gemalto, spécialiste de la sécurité numérique, annonce le lancement de Coesys mGov, une solution d’authentification mobile pour accéder aux services gouvernementaux en ligne à l’aide d’une carte nationale d’identité sans contact et un téléphone NFC. Cette technologie permet la mise en place de programmes nationaux d’identité sécurisée. Coesys mGov est simple d’utilisation et très pratique pour les citoyens, puisqu’elle permet d’accéder à tous les services grâce à un système d’authentification unique (« Single Sign On »).

Avec Coesys mGov, les citoyens utilisent leur téléphone comme moyen d’authentification et de signature dans un environnement de confiance, pour accéder à un large éventail de services gouvernementaux en ligne. Ces services englobent la santé et le social, la famille, l’emploi et les retraites ou encore l’assurance-maladie. Coesys mGov englobe également les applications associées au permis de conduire, les services municipaux et la citoyenneté, et même le vote en ligne sécurisé et confidentiel.

Coesys mGov aide les gouvernements et les autorités publiques à déployer leurs programmes numériques mobiles en complément de leurs projets d’identité. Les autorités peuvent ainsi répondre aux besoins de sociétés connectées d’aujourd’hui et accroître considérablement l’utilisation des services gouvernementaux en ligne. En outre, le système est suffisamment souple pour renforcer une stratégie d’identification et de sécurité numérique déjà en place. Par exemple, le niveau d’authentification peut être adapté à la nature des services en ligne offerts.

Pour simplifier davantage la vie des utilisateurs, lorsqu’elle est utilisée avec LinqUs Mobile ID de Gemalto, Coesys mGov permet de créer une identité dérivée sécurisée dans la carte SIM ou dans tout autre élément sécurisé du téléphone mobile, ou bien dans le cloud.

« La convergence des appareils mobiles compatibles NFC et l’explosion du nombre de nouveaux programmes nationaux d’identité ouvrent la voie à une nouvelle ère de services innovants axés sur les besoins du citoyen », commente à DataSecurityBreach.fr Frédéric Trojani, vice-président exécutif des Programmes gouvernementaux de Gemalto. « Cette solution extrêmement pratique associe la sécurité et la fiabilité des cartes nationales d’identité électroniques et la simplicité d’utilisation du téléphone portable – une combinaison idéale pour une adoption rapide par tous les citoyens ».

Argent, Chiffrement, Contrefaçon, cryptage, Cybersécurité, Entreprise, ID, Identité numérique, Paiement en ligne, Particuliers, Propriété Industrielle, RFID

Bracelet NFC pour se payer un match de rugby

Les bracelets de paiement sans contact de Gemalto permettent aux supporters de Saracens d’acheter rapidement et en toute sécurité.

Gemalto fournit à Saracens, l’un des clubs de rugby les plus en vue du Royaume-Uni, des bracelets prépayés offrant aux fans un mode de paiement sans contact, rapide et sécurisé, de leurs achats de nourriture et de boissons au stade Allianz Park, au nord de Londres. Ce projet pilote constitue la première étape de l’élargissement du service, un peu plus tard cette année, à l’ensemble des détenteurs d’un abonnement saisonnier. Il promet aux supporters une sortie encore plus agréable les jours de match, de leur éviter de faire la queue au moment d’acheter des rafraîchissements et la fin de l’écumage des fonds de poches à la recherche de monnaie. Les nouveaux bracelets intelligents  facilitent aussi l’accès au réseau de transport en commun londonien, par un simple effleurement du poignet, et peuvent être utilisés avec tous les terminaux de paiement affichant le logo de paiement sans contact.

Les bracelets ont été fournis à un nombre restreint de supporters avant le match à domicile des Saracens le 11 avril dernier et dotés d’un crédit de 5 GBP. Ils peuvent être alimentés rapidement et facilement en ligne, en établissant simplement un lien entre le bracelet et une carte de débit ou de crédit existante, et utilisés pendant les matches restant à jouer cette saison.

Gemalto soutient la nouvelle initiative de l’Allianz Park avec sa Plate-forme Allynis Smart Event conçue pour les stades à paiement dématérialisé. Le service offert par la Plate-forme Allynis Smart Event inclut non seulement la production des bracelets, mais aussi les services de conditionnement, d’exécution et à valeur ajoutée tels que des applications mobiles intégrées, des campagnes de marketing mobile et sur les médias sociaux.

« En fournissant à nos supporters la commodité et la sécurité que confère un paiement par un simple effleurement du poignet, nous démontrons une fois encore notre détermination à leur offrir la meilleure expérience de journée de match possible », déclare à DataSecurityBreach.fr Stefan Crouse, Directeur d’exploitation de Saracens.

L’objectif du club est un déploiement généralisé des bracelets sans contact pour le début de la saison 2015-16.

Android, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Hacking, Leak, Mise à jour, Piratage, Rendez-Vous, RFID, Smartphone, Téléphonie

Une puce dans la main pour pirater des smartphones

Nous avions la puce dans le bras pour rentrer en boîte de nuit, voici venir la puce NFC dans la main pour pirater des téléphones portables.

Seth Wahle est un chercheur en sécurité informatique et technologie sans fil qui a de la suite dans les idées. Il vient de se lancer dans un projet qui demande quelques connaissances en couture et charcuterie.

Il s’est implanté une puce NFC sous la peau de sa main afin de tester son système d’interception de données. Dans sa main gauche, entre le pouce et l’index, du matos acheté sur le site chinois AliBaba. Pour 40 dollars, le voilà avec un outil de 888 bytes de mémoire. Dorénavant, sa main n’a qu’à effleurer un téléphone dont le NFC est branché. Un contact qui lance une page web qui exécute le téléchargement d’un programme comme il l’a expliqué au journal Forbes. Il faut cependant que le téléphone ne soit pas trop protégé pour accepter le téléchargement et l’installation de l’outil pirate.

Il présentera son projet à Miami, du 15 au 17 mai prochains, lors d’un hackfest local.

Banque, Cybersécurité, Fuite de données, RFID, Vie privée, VPN

ZATAZ Web TV HD episode S3E3

Au sommaire de ce nouvel opus de ZATAZWeb.tv HD de Novembre :

1 – Découverte de Gith, un environnement sécurisé et chiffré que vous allez pouvoir emmener partout avec vous sans peur d’être espionné. Cerise sur le gâteau, Gith est une application Mac, Linux, Windows et Smartphone « Made in France ».

2 – Espionner une carte bancaire qui permet le paiement sans fil, une puce RFID, de plus en plus simple. En avant-première, zatazweb.tv va vous présenter l’alarme anti RFID de poche. De la taille d’un porte-clés, il vous indique quand une lecture NFC est en cours.

3 – Contrer la contrefaçon de diplôme ? Une première européenne pour un lycée lillois qui tag les diplômes de ses bacheliers.

4 – WatchDogs retardé ? ZATAZWeb.tv a été tirer les vers du nez d’Ubi Soft pour en savoir plus sur ce jeu qui nous fait baver.

5 – Un 0Day découvert dans plus d’une dizaine de sites de rectorats français. Explications et démonstration.

6 – Pour sauver les hackers, donnez-leur du travail. Découverte de Yes We Hack, le portail dédié à l’emploi de la sécurité informatique.

7 – Wizzywig : la BD qui retrace les « aventures » de l’ancien hacker, Kévin Mitnick.

8 – HackNowLedge – La grande finale (les 7 et 8 décembre) : 6 pays, 12 équipes, 70 épreuves de hacking éthique.

Retrouvez les autres épisodes de ZATAZ Web TV HD sur http://www.zatazweb.tv

BYOD, Chiffrement, cryptage, Entreprise, Fuite de données, RFID, Téléphonie, VPN

Vous voyagez avec vos appareils connectés ? N’oubliez pas de penser à leur/et votre sécurité.

Un commentaire

Vous partez en vacances ? Une enquête reçue à la rédaction de DataSecurityBreach.fr, menée par F-Secure, met le doigt sur les moments de vos vies digitales qui nécessitent une attention particulière lors de vos déplacements.

Lorsque l’on voyage, il est pratique d’utiliser les réseaux Wifi public des aéroports ou encore des restaurants. Pourtant, 52% des sondés sont inquiets de la sécurité et la confidentialité de ces réseaux, et avec raison. Sean Sullivan, Security Advisor chez F-Secure Labs, affirme qu’il ne faut pas oublier que ces réseaux  Wifi portent bien leurs noms : ils sont publics. Vous partagez ces réseaux avec des inconnus, et il y a toujours le risque qu’ils puissent utiliser un logiciel pour regarder ce que vous faites en ligne.

Selon Sean Sullivan, « Il est naturel de penser qu’il y a de la confidentialité parce que nous utilisons un appareil personnel… mais en réalité ce n’est pas du tout le cas ». Il conseille de ne pas faire ce que l’on souhaite laisser à l’abri des regards indiscrets, comme des connections à des comptes protégés par des mots de passe. Il ajoute : « J’utilise les réseaux de Wifi public pour des choses dont je parlerais avec un ami dans le métro. Les opérations bancaires, je les fais chez moi ».

Le même raisonnement vaut pour l’utilisation des ordinateurs publics dans les bibliothèques ou les cybercafés. Sean Sullivan conseille une utilisation réfléchie et limitée (par exemple, lire les actualités), parce que des logiciels espions pourraient être installés sur l’ordinateur… et voler vos mots de passe.

Si vous devez utiliser des réseaux publics pour communiquer avec vos proches, M. Sullivan recommande la création d’une adresse mail que vous n’utiliseriez que lorsque vous êtes en vacances, et qui n’a rien à voir avec votre adresse mail habituelle. « De cette façon, si quelqu’un pirate votre adresse mail de vacances, il ne pourra que voir des mails de votre mère ou de la gardienne de votre chat, mais ils n’auront pas accès aux données sensibles qui seraient en mémoire dans votre compte de messagerie principal », dit-il.

Une opération bancaire à faire ? Les précautions à prendre lorsque vous êtes loin de chez vous. 85% des gens disent qu’ils se connectent à leur banque via leurs ordinateurs, et 24% à partir de leurs smartphones. Comment procéder si vous deviez absolument faire une transaction lorsque vous êtes en vacances ? Il est probablement préférable d’utiliser votre forfait data mobile avec l’application mobile de votre banque, même si cela signifie faire du roaming. Cela peut coûter un peu cher, mais c’est toujours moins onéreux que de se faire vider votre compte. Les banques utilisent des connections HTTPS. Sont-elles pour autant sécurisées quand vous y accédez via les réseaux Wifi publics ? 39% des gens utilisent très peu de mots de passe différents pour leurs différents comptes. Et si vous utilisez le même mot de passe sur un site non sécurisé et sur un site sécurisé (comme celui de votre banque), cela signifie qu’un « fouineur » pourrait facilement accéder à votre compte bancaire. Les « fouineurs » utilisent parfois des méthodes plus rudimentaires : jeter discrètement un coup d’œil par-dessus votre épaule quand vous entrez votre mot de passe peut leur suffire pour vous le dérober !

Gardez votre contenu en toute sécurité lorsque vous êtes sur la route des vacances 67% des sondés accordent plus de valeur aux contenus d’un appareil plutôt qu’à l’appareil lui-même, d’un point de vue matériel. Cela illustre l’importance des sauvegardes avant le départ en vacances. Par exemple, en utilisant un service de synchronisation de contenu comme Content Anywhere de F-Secure. Fourni par les opérateurs, il permet aux utilisateurs d’avoir accès aux contenus de l’appareil automatiquement synchronisés sur leur cloud personnel. Grâce à ces services, nous ne somme plus obligés de voyager avec des périphériques de stockage encombrants (comme des disques durs), et il est facile de partager nos photos de vacances, en toute confidentialité et en toute sécurité. Les données que vous mettez dans le « Content Cloud » de F-Secure sont entièrement chiffrées pendant le transfert et le stockage.

La localisation d’un appareil perdu ou volé Perdre ou se faire voler un téléphone portable peut gâcher les vacances. DataSecurityBreach.fr a pu lire qu’avec 61% des personnes qui ont une double utilisation pro/perso de leurs appareils, il y a de bonnes raisons d’être prudent. Un téléphone perdu pourrait avoir un impact non seulement sur vos propres données, mais aussi sur celles de votre entreprise. L’application gratuite Anti-Theft de F-Secure pour smartphones et tablettes vous permet de verrouiller à distance et de localiser votre appareil, et si nécessaire, en effacer toutes les données. Autre recommandation : assurez-vous que le mot de passe de votre téléphone portable verrouillant votre écran se mette en place après un court laps de temps, comme une minute.

D’autres conseils si vous utilisez les Wifi public:

·         Ne laissez pas votre appareil se connecter automatiquement à des réseaux publics.

·         Effacez les points d’accès Wifi que vous avez utilisé lorsque vous rentrez chez vous.

·         Ne soyez pas connecté aux applications dont vous n’avez pas besoin lorsque vous vous déplacez.

·         Vérifiez auprès de l’établissement que le réseau Wifi auquel vous vous connectez est vraiment le leur, et non pas celui qu’un « fouineur » aurait mis en place pour vous tromper.

·         Soyez conscient de votre environnement et de toute personne qui pourrait être en train de jeter un regard par – dessus votre épaule.

·         Utilisez un mot de passe différent pour chaque compte.

·         Pour les ordinateurs portables, désactiver le partage de fichiers, activez le pare-feu et configurer le de sorte qu’il bloque les connexions entrantes.

·         Si possible, utilisez un réseau privé virtuel (Virtual Private Network en anglais, abrégé en VPN) qui sécurise votre connexion même sur le Wifi public.

·         Utilisez un routeur de voyage avec une carte SIM prépayée pour créer votre propre réseau Wifi.

·         A minima, vérifiez la présence du cadenas et du « https » dans la barre d’adresse pour n’importe quel site contenant vos informations personnelles. S’ils ne sont pas là, il est préférable d’éviter le site.

·         En règle générale : considérez que tout ce que vous faites sur un réseau Wifi public est comme une conversation publique.

Chiffrement, cryptage, Cybersécurité, Justice, RFID

Le code de sécurité de Porsche piraté

4 commentaires

Flavio Garcia, maître de conférences en informatique à l’université de Birmingham, a découvert comment passer outre le système numérique permettant de faire démarrer les Porsches, Audis, Bentleys et autres Lamborghini. La faille se trouve dans l’algorithme qui permet la vérification de la clé de contact.

Le chercheur devait présenter sa trouvaille lors d’une conférence dédiée à la sécurité informatique, à Washington (Symposium Usenix Security – 14/15 août, ndlr). Une injonction de la justice britannique à interdit à l’universitaire de présenter son travail. Volkswagen, propriétaire des quatre marques de luxe citées, s’attaque aux travaux de Garcia et deux autres experts néerlandais en cryptographie de l’Université Raboud, Baris Ege et Roel Verdult.

La vulnérabilité se situerait dans le RFID de la puce Megamos Crypto, une « bestiole » qui n’a pas évolué depuis plus de 20 ans. Un algorithme trop léger et la clé devient aussi bavarde qu’une mouette.

La justice explique sa décision par le fait que cette publication pourrait permettre de cracker la sécurité des clés et voler les voitures. Le calcule mathématique complexe, qui a permis aux chercheurs de trouver la faille, est sur le web depuis… 2009. Les scientifiques ont utilisé une technique appelée « chip slicing » qui consiste à analyser une puce sous un microscope et lancer un processus d’analyse qui coûte plus de 50,000 euros. Dommage que le juge n’a pas imposé dans la foulée à VW de mettre de l’ordre dans ses bits.

Android, RFID, Smartphone

Hack de badges Mifare Classic avec son smartphone

MIFARE est une technologie de carte à puce sans contact. Badge d’entreprise et autres moyens d’identification sans contact exploitent cette belle technologie installée dans plus 3,5 milliards de cartes dans le monde.

La plupart des smartphones NFC sont équipés d’une puce permettant l’émulation de cette carte. L’application pour Android NFC Mifare Classic Scanner, réalisé par Touf un informaticien chercheur Français, vient d’apparaitre dans sa seconde et nouvelle monture. Parmi les nouveautés de cet outil, la possibilités d’ajouter les clefs obtenues par d’autres moyens (libnfc, mfoc…) ; réalisation de scan très rapides en créant un template de la cible (quels secteurs doivent être lus, avec quelle clef…). Une possibilité offrant comme résultat le scan à la volée avec le téléphone en moins d’une seconde.

Export des résultats par mail au format .mfd (compatible libnfc et carte mifare chinoise) ou encore l’édition, modification de données lues pour réinjectées les données modifiées dans le badge. L’outil permet donc pas mal de manipulations techniques et légales. Il démontre aussi le danger de cette technologie. L’application ne fonctionne que pour les badges Mifare Classic mais permet de prouver la facilité de sauvegarder l’état d’un badge pour ensuite le remettre a zero (paiement à une machine à boisson, photocopieuse…) ; modification pour apparaitre comme un autre utilisateur.

« L’utilisation principale est de comprendre le fonctionnement des différents systèmes exploitant des cartes mifare classic » explique à DataSecurityBreach.fr l’auteur. Avec cette application, vous pouvez scanner le tag de vos badges aprés chaque utilisation et ensuite analyser les modifications. Pour les autres technologies autres que Mifare classic, l’outil ne qu’une identification de la technologie employée et un enregistrement de l’uid. (GooglePlay)