Est-il possible de cloner une carte RFID / NFC à l'aide d'un simple lecteur RFID, pour une réutilisation et une usurpation d'identité futures?
La technologie RFID/NFC est tilisée dans les cartes de crédit et de nombreuses autres applications d'identification personnelle.
Est-il possible/à quel point est-il facile de cloner une carte à l'aide d'un simple lecteur RFID ?
En d'autres termes, les informations récupérées peuvent-elles être réutilisées à l'avenir par l'attaquant?
Les appareils NFC qui n'utilisent pas de crypto à clé publique, de jetons chiffrés ou de jetons HMAC ou de mécanismes cryptographiques similaires où il existe un secret qui ne quitte jamais l'appareil, ils peuvent tous être empruntés. Les appareils simples ont souvent juste une chaîne statique de données qu'ils diffusent.
De nombreux appareils NFC NFC $ ainsi que la plupart des appareils de niveau entreprise utilisent essentiellement pour toujours la cryptographie qui empêche l'emprunt d'identité.
Cependant, certaines des nouvelles cartes de crédit n'ont pas ce type de cryptographie. Mais d'après ce que je comprends, la plupart d'entre eux implémentent maintenant la cryptographie telle que définie par les normes de sécurité EMV.
Ensuite, il y a aussi le problème de ce que certaines des variantes comme certaines variantes de Mifare sont fissurables en raison d'attaques à canal latéral contre la cryptographie. La plupart des plus récents de l'IIRC ne sont pas vulnérables, mais je ne suis pas entièrement sûr de l'état actuel à ce sujet.
S'il s'agit d'une balise fournissant des données de base, elle peut être clonée. S'il s'agit d'une balise sécurisée, c'est beaucoup plus difficile.
Pour les cartes sécurisées utilisées pour les paiements et l'authentification, une clé privée est chargée sur la carte et la carte ne la révèle jamais. La clé publique est conservée par la banque ou toute personne devant pouvoir vérifier que la carte a bien été utilisée. Si, par exemple, la carte est utilisée pour un paiement, le terminal du fournisseur envoie des informations sur la transaction à la carte et demande à la carte de signer la transaction. La carte signe la transaction et retourne la signature au lecteur. Cette signature permet au vendeur de prouver à la société émettrice de la carte de crédit que la carte a été utilisée pour cette transaction, mais elle ne donne pas au vendeur les informations nécessaires pour cloner la carte.
Il existe potentiellement des moyens de graver des couches de la carte et d'accéder directement aux circuits contenant les clés, mais ces méthodes sont peu fiables et difficiles à exécuter, en particulier car une bonne étiquette sécurisée doit être conçue pour être inviolable.
Il existe certaines attaques contre des protocoles plus anciens qui devraient maintenant être hors d'usage, mais d'une manière générale, une bonne balise sécurisée moderne ne doit pas être clonable. C'est tout l'intérêt d'utiliser ce type de technologie plutôt qu'une bande magnétique (qui est facilement clonable.)