211service.com
Comment (ne pas) réparer un défaut
Les efforts visant à censurer trois étudiants du MIT qui ont découvert des failles de sécurité dans le système de paiement du métro de Boston ont été vivement critiqués par les experts, qui soutiennent que la suppression de telles recherches pourrait finalement rendre le système plus vulnérable.
Les étudiants ont reçu une ordonnance d'interdiction temporaire ce week-end au Defcon conférence sur la sécurité à Las Vegas, les empêchant de donner leur conférence prévue sur le système de paiement du métro de Boston.
Selon les diapositives soumises avant la conférence, qui ont également été mises en ligne, leur présentation Anatomy of a Subway Hack aurait révélé des moyens de falsifier ou de copier à la fois les anciens laissez-passer à bande magnétique et les nouvelles cartes d'identification par radiofréquence (RFID) utilisées sur Le métro de Boston, permettant de voyager gratuitement. L'ordonnance de non-communication a été déposée au nom de la Autorité des transports de la baie du Massachusetts (MBTA), qui a dépensé plus de 180 millions de dollars pour installer le système, selon des documents judiciaires. La MBTA a également intenté une action en justice plus importante accusant les étudiants d'avoir enfreint la loi sur la fraude et les abus informatiques et accusant AVEC d'être négligent dans sa surveillance d'eux.
L'un des étudiants impliqués, Zack Anderson, a déclaré que son équipe n'avait jamais eu l'intention de donner un avantage aux vrais attaquants. Nous avons omis certains détails dans le travail que nous avons fait, car nous ne voulions pas que quiconque puisse attaquer le système de billetterie ; nous ne voulions pas que les gens puissent contourner le système et obtenir des tarifs gratuits, dit-il.
Marcia Hoffman, avocate au sein de l'Electronic Frontier Foundation, un groupe de défense des droits numériques qui assiste l'équipe du MIT dans sa défense, affirme que les chercheurs doivent être protégés lorsqu'ils enquêtent sur ces types de failles. Il est extrêmement rare qu'un tribunal interdise à quiconque de parler avant même que cette personne n'ait eu l'occasion de parler, dit-elle. Nous pensons que cela crée un terrible précédent qui est très dangereux pour la recherche en sécurité.
Le MBTA dit qu'il n'essaie pas d'arrêter la recherche, mais simplement de gagner du temps pour traiter les défauts que les étudiants auraient pu trouver. L'agence a également exprimé son scepticisme quant à savoir si les étudiants du MIT avaient effectivement trouvé de réels défauts. Ils racontent une terrible histoire de problèmes de sécurité généralisés, mais ils n'ont toujours pas fourni au MBTA d'informations crédibles pour étayer une telle affirmation, a déclaré Joe Pesaturo, porte-parole du MBTA. C'est si simple.
Il n'est pas clair, cependant, si le MBTA peut réellement gagner le temps dont il a besoin. Karsten Nohl , un doctorant de l'Université de Virginie qui a été l'un des premiers à publier les détails des vulnérabilités de sécurité dans MiFare Classic, la marque de carte à puce sans fil utilisée dans le système de Boston, affirme que la résolution des problèmes pourrait prendre un an ou deux et pourrait même impliquer le remplacement de tous lecteurs de cartes et toutes les cartes en circulation.
Ce n'est pas le premier procès qui frappe des chercheurs qui ont étudié la sécurité de MiFare Classic. Le mois dernier, une entreprise néerlandaise Semi-conducteurs NXP , qui fabrique les cartes MiFare, a poursuivi une université néerlandaise pour tenter d'empêcher les chercheurs de publier des détails sur des failles de sécurité similaires. L'injonction n'a pas abouti, mais alors que la technologie RFID continue de proliférer, d'autres experts en sécurité craignent de pouvoir discuter ouvertement des recherches pertinentes en matière de sécurité.
Bruce Schneier , directeur de la technologie de la sécurité chez Comptoir BT , affirme que le dernier procès ne fait que détourner l'attention de ce qui est vraiment en jeu. MiFare a vendu un produit moche à des clients qui ne savaient pas comment demander un meilleur produit, dit-il. Cela ne sera jamais corrigé tant que la sécurité de mauvaise qualité de MiFare sera gardée secrète. Il ajoute : La raison pour laquelle nous publions les vulnérabilités est qu'il n'y a pas d'autre moyen d'améliorer la sécurité.
La même marque de carte RFID est utilisée sur les réseaux de transport d'autres villes, dont Londres, Los Angeles, Brisbane et Shanghai, ainsi que pour les cartes d'identité d'entreprise et gouvernementales. La technologie a même été intégrée à certaines cartes de crédit et téléphones portables.
Nohl dit que l'industrie devrait considérer le travail des étudiants du MIT comme un service gratuit qui pourrait finalement conduire à une meilleure sécurité. Bien qu'il y ait eu beaucoup de recherches universitaires sur la sécurité de la RFID, dit-il, peu de choses ont encore fait leur chemin dans les produits. Le cœur du problème est toujours la conviction de l'industrie qu'elle devrait renforcer elle-même la sécurité et que ce qu'elle a elle-même construit sera plus forte si elle la garde secrète, dit Nohl.
Pendant ce temps, des chercheurs indépendants ont proposé un certain nombre d'idées pour améliorer la sécurité des cartes RFID. Nohl et d'autres recherchent de meilleurs moyens de crypter les informations stockées sur les cartes. Mais une partie du problème est que les cartes sont passives, ce qui signifie qu'elles renvoient un signal à tout lecteur qui envoie une demande. Tadayoshi Kohno et des collègues de l'Université de Washington travaillent également sur un système de détection de mouvement qui permettrait aux utilisateurs d'activer leurs cartes avec un geste spécifique, de sorte qu'il ne réponde normalement pas aux demandes. Karl Koscher, l'un des chercheurs qui a travaillé sur le projet, affirme que leur système vise à augmenter la sécurité sans détruire la commodité qui a rendu les cartes si populaires.