Hello ---- Si l’on part sur un CSN de 10 bytes et sachant que j’ai 1500 badges dans le même intervalle 9xxxxxxxxx existe il des émulateurs qui permettrait de tromper les lecteurs et combien de temps faudrait il pour faire l’ensemble des possibilités ? Il me semble avoir vu quelques app du genre sur Android. ----
Les mifare classic ont un UID composé de 8 caractères, je ne connais pas de carte sous 10 caractères. Et le crack de Mifare Classic ne se fait pas en force brute, on exploite soit une faille nommé darkside, soit un dictionnaire de password connu, soit un chameleon ou pm4 pour aller lire directement au moins un password d'un des secteur de la carte. La recup des password est totalement inutile si vraiment l'authen ne se fait que sur le UID, mais là franchement c'est un sacrilège, ça mérite un gros ban, plus besoin de rien a part une proximité avec la carte comme disait Romain. C'est bizarre de proposer des mifare classic de nos jours, sachant qu'elles sont 100% crackable (presque) facilement. La solution si tu veux utiliser juste des cartes RFID c'est d'utiliser ou bien des Mifare Plus, ou bien des Mifare Desfire (souvent utilisé en DC), il n'existe pas (encore) de solution pour les copier, a condition d'utiliser un password qui ne soit pas celui par défaut bien sur. Si vraiment tu utilises des Mifare Classic, au minimum il faut aller lire une donnée écrite sur la carte, et que la carte ait sur tous ses secteurs un password qui ne soit pas du tout standard (16 sectors x2, donc 32 password, il existe plein de liste sur le net pour tester), et surtout qu'elle ne soit pas exposé à la faille "DarkSide". Un seul pass trouvé, et on peut découvrir les autres avec la faille Nested, ou à défaut (mais plus long) la Hardnested Attack. Ca limite les hack, après si vraiment on veut la cracker, il faut un chameleon ou un PM4 et un accès à ton lecteur de badge, mais là déjà c'est un peu plus high level. Le ven. 22 nov. 2019 à 01:45, Jérôme Quintard <jquint...@outlook.com> a écrit : > Je viens de me rendre compte que l’un de nos prestataires sûreté nous mets > en place des badges mifare dont les lecteurs ne font que comparer le CSN du > badge avec celui présent dans leur base de données. Ils n’utilisent aucun > chiffrement. > > A mes yeux c’est risque. > > Quelqu’un peut il me confirmer ? > > Si l’on part sur un CSN de 10 bytes et sachant que j’ai 1500 badges dans > le même intervalle > 9xxxxxxxxx existe il des émulateurs qui permettrait de tromper les > lecteurs et combien de temps faudrait il pour faire l’ensemble des > possibilités ? Il me semble avoir vu quelques app du genre sur Android. > > Jérôme > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
