Les péages routiers piratés

Les conducteurs utilisant l'automate FasTrak Le système de péage sur les routes et les ponts de la région de la baie de Californie pourrait être vulnérable à la fraude, selon une entreprise de sécurité informatique d'Oakland, en Californie.





Sous la capuche : Après avoir étudié le fonctionnement des transpondeurs FasTrak comme celui-ci, Nate Lawson dit qu'il est possible de copier ou de modifier les numéros d'identification utilisés pour facturer les conducteurs lorsqu'ils franchissent les péages des autoroutes et des ponts.

Malgré les assurances précédentes concernant la sécurité du système, Nate Lawson de Laboratoires racine affirme que les numéros d'identification uniques utilisés pour identifier les transpondeurs sans fil FasTrak transportés dans les voitures peuvent être copiés ou écrasés avec une relative facilité.

Cela signifie que les fraudeurs pourraient cloner des transpondeurs, explique Lawson, en copiant l'ID d'un autre conducteur sur leur appareil. En conséquence, ils pouvaient voyager gratuitement tandis que d'autres paient la facture à leur insu. C'est trivial de cloner un appareil, dit Lawson. En fait, j'ai déjà plusieurs clones avec mon propre ID.



Lawson dit que cela soulève également la possibilité d'utiliser le système FasTrak pour créer de faux alibis, en écrasant sa propre pièce d'identité sur l'appareil d'un autre conducteur avant de commettre un crime. Les journaux du système de péage semblent montrer que l'auteur conduit à un autre endroit au moment où le crime a été commis, dit-il.

Jusqu'à présent, les failles de sécurité n'ont été vérifiées que dans le système FasTrak, mais d'autres systèmes de péage, comme Pass EZ et Je passe , doivent également être examinés, soutient Lawson. Chaque système moderne nécessite un examen de la sécurité publique pour s'assurer qu'il n'y a pas de problèmes différents mais liés, dit-il. En effet, ces dernières semaines, des chercheurs ont annoncé des failles dans un autre système d'identification sans fil : la puce Mifare Classic, qui est utilisée par les navetteurs sur les systèmes de transport dans de nombreuses villes, dont Boston et Londres. Cependant, la semaine dernière, la Massachusetts Bay Transportation Authority (MBTA) a déposé une plainte pour empêcher les étudiants du MIT de présenter une analyse du système de métro de Boston.

La Bay Area Metropolitan Transport Commission (MTC), qui supervise le système de péage FasTrak, maintient qu'il est sécurisé mais dit qu'elle examine les réclamations de Lawson. MTC est en contact avec des fournisseurs qui fabriquent des équipements et dispositifs de voie FasTrak pour identifier les risques potentiels et les actions correctives, a déclaré Randy Rentschler, porte-parole de MTC. Nous améliorons également la surveillance du système afin de détecter les activités potentiellement frauduleuses.



Dans le passé, les autorités ont insisté sur le fait que le système FasTrak utilise le cryptage pour sécuriser les données et qu'aucune information personnelle n'est stockée sur l'appareil - juste deux numéros d'identification uniques attribués au hasard. L'un d'eux est utilisé pour enregistrer l'appareil lorsqu'un client l'achète, tandis que l'autre agit comme un identifiant unique pour permettre aux récepteurs radio des péages de détecter les voitures lorsqu'elles passent.

Mais lorsque Lawson a ouvert un transpondeur, il a découvert qu'aucune sécurité ne protégeait ces identifiants. L'appareil utilise deux antennes, une pour détecter un signal de demande du lecteur de péage et une autre pour transmettre son identifiant afin qu'il puisse être lu, dit-il.

En copiant les identifiants des lecteurs, il était possible d'activer le transpondeur pour transmettre son identifiant. Cette astuce n'a pas à être effectuée sur l'autoroute, note Lawson, mais pourrait être réalisée en traversant un parking et en interrogeant discrètement les transpondeurs.



De plus, malgré les affirmations précédentes selon lesquelles les appareils sont en lecture seule, Lawson a découvert que les identifiants sont en fait stockés sur une mémoire flash réinscriptible. FasTrak n'est probablement pas au courant, c'est pourquoi j'ai essayé de les contacter, dit-il. Il est possible d'envoyer des messages à l'appareil pour écraser l'identifiant de quelqu'un, soit en l'effaçant, soit en le remplaçant par un autre identifiant, explique Lawson.

L'accès à un numéro d'étiquette ne permet pas d'accéder à d'autres informations, explique Rentschler de MTC. Nous pensons également que des efforts importants devraient être investis dans le clonage des balises. Il ajoute : Si une activité de péage frauduleuse est détectée sur le compte d'un client, le système de péage existant peut être utilisé pour identifier et traquer l'auteur.

Lawson dit qu'utiliser chaque pièce d'identité volée une seule fois rendrait difficile la recherche d'un fraudeur. Une meilleure solution, pense-t-il, serait d'exiger des lecteurs de péage et des transpondeurs qu'ils effectuent une certaine forme d'authentification sécurisée. Mais cela nécessiterait des changements par MTC. Comme alternative, Lawson travaille sur un kit de confidentialité pour permettre aux conducteurs d'allumer et d'éteindre leurs transpondeurs afin qu'ils ne soient vulnérables que pendant une brève période lorsqu'ils passent un péage.



Il y a un autre moyen, dit-il. Il est probablement dans le meilleur intérêt de l'utilisateur de le laisser à la maison. C'est parce que FasTrak utilise la reconnaissance de plaque d'immatriculation comme sauvegarde.

Ross Anderson , professeur d'ingénierie de la sécurité à l'Université de Cambridge, au Royaume-Uni, affirme que de très nombreux systèmes embarqués sont totalement ouverts à la falsification par quiconque peut être dérangé pour passer du temps à les étudier.

L'utilisation compétente du cryptage est l'exception plutôt que la norme, ajoute Anderson, et il est peu probable que la situation change bientôt. Une industrie après l'autre adopte la technologie numérique, et aucune d'entre elles ne se rend compte qu'elle a besoin d'une expertise en sécurité informatique jusqu'à ce qu'il soit trop tard et qu'elle se fasse attaquer, dit-il.

Bruce Schneier , directeur de la technologie de la sécurité chez BT, basé à Mountain View, en Californie, déclare qu'il est trop facile pour les entreprises de s'en tirer avec une sécurité informatique minable. Honnêtement, le meilleur moyen pour les entreprises de transport est de poursuivre les fabricants, dit-il. Ensuite, ils réfléchiront à deux fois avant de vendre des produits de mauvaise qualité à l'avenir.

cacher