Re: [FRnOG] [MISC] Mifare et CSN
Vi mais dans ce cas je parlais des mifares "Plus", ce sont les remplaçantes sécurisées des mifare "Classic" qui elles sont clairement à ne plus utilisées Le ven. 22 nov. 2019 à 12:25, Emmanuel DECAEN a écrit : > Bonjour, > > Le 22/11/2019 à 11:59, David PACHOLEK a écrit : > > [...] > > > > C'est bizarre de proposer des mifare classic de nos jours, sachant > qu'elles > > sont 100% crackable (presque) facilement. > > La solution si tu veux utiliser juste des cartes RFID c'est d'utiliser ou > > bien des Mifare Plus, ou bien des Mifare Desfire (souvent utilisé en DC), > > il n'existe pas (encore) de solution pour les copier, a condition > > d'utiliser un password qui ne soit pas celui par défaut bien sur. > > Aujourd'hui, il me parait plus raisonnable de partir sur du Mifare > Desfire plutôt que du Classic. > > Des gens comme Siemens proposent la solution Vanderbilt (cité dans un > précédent message) sur leur offre de base. > En mode Desfire, le traitement est un tout petit peu plus lent sur le > lecteur de badge, mais de toute façon si c'est associé à un code PIN, > c'est la saisie du code qui prend du temps :-) > > > -- > > *Emmanuel DECAEN* > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Mifare et CSN
Bonjour, Le 22/11/2019 à 11:59, David PACHOLEK a écrit : > [...] > > C'est bizarre de proposer des mifare classic de nos jours, sachant qu'elles > sont 100% crackable (presque) facilement. > La solution si tu veux utiliser juste des cartes RFID c'est d'utiliser ou > bien des Mifare Plus, ou bien des Mifare Desfire (souvent utilisé en DC), > il n'existe pas (encore) de solution pour les copier, a condition > d'utiliser un password qui ne soit pas celui par défaut bien sur. Aujourd'hui, il me parait plus raisonnable de partir sur du Mifare Desfire plutôt que du Classic. Des gens comme Siemens proposent la solution Vanderbilt (cité dans un précédent message) sur leur offre de base. En mode Desfire, le traitement est un tout petit peu plus lent sur le lecteur de badge, mais de toute façon si c'est associé à un code PIN, c'est la saisie du code qui prend du temps :-) -- *Emmanuel DECAEN* --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Mifare et CSN
Hello Si l’on part sur un CSN de 10 bytes et sachant que j’ai 1500 badges dans le même intervalle 9x existe il des émulateurs qui permettrait de tromper les lecteurs et combien de temps faudrait il pour faire l’ensemble des possibilités ? Il me semble avoir vu quelques app du genre sur Android. Les mifare classic ont un UID composé de 8 caractères, je ne connais pas de carte sous 10 caractères. Et le crack de Mifare Classic ne se fait pas en force brute, on exploite soit une faille nommé darkside, soit un dictionnaire de password connu, soit un chameleon ou pm4 pour aller lire directement au moins un password d'un des secteur de la carte. La recup des password est totalement inutile si vraiment l'authen ne se fait que sur le UID, mais là franchement c'est un sacrilège, ça mérite un gros ban, plus besoin de rien a part une proximité avec la carte comme disait Romain. C'est bizarre de proposer des mifare classic de nos jours, sachant qu'elles sont 100% crackable (presque) facilement. La solution si tu veux utiliser juste des cartes RFID c'est d'utiliser ou bien des Mifare Plus, ou bien des Mifare Desfire (souvent utilisé en DC), il n'existe pas (encore) de solution pour les copier, a condition d'utiliser un password qui ne soit pas celui par défaut bien sur. Si vraiment tu utilises des Mifare Classic, au minimum il faut aller lire une donnée écrite sur la carte, et que la carte ait sur tous ses secteurs un password qui ne soit pas du tout standard (16 sectors x2, donc 32 password, il existe plein de liste sur le net pour tester), et surtout qu'elle ne soit pas exposé à la faille "DarkSide". Un seul pass trouvé, et on peut découvrir les autres avec la faille Nested, ou à défaut (mais plus long) la Hardnested Attack. Ca limite les hack, après si vraiment on veut la cracker, il faut un chameleon ou un PM4 et un accès à ton lecteur de badge, mais là déjà c'est un peu plus high level. Le ven. 22 nov. 2019 à 01:45, Jérôme Quintard a écrit : > Je viens de me rendre compte que l’un de nos prestataires sûreté nous mets > en place des badges mifare dont les lecteurs ne font que comparer le CSN du > badge avec celui présent dans leur base de données. Ils n’utilisent aucun > chiffrement. > > A mes yeux c’est risque. > > Quelqu’un peut il me confirmer ? > > Si l’on part sur un CSN de 10 bytes et sachant que j’ai 1500 badges dans > le même intervalle > 9x existe il des émulateurs qui permettrait de tromper les > lecteurs et combien de temps faudrait il pour faire l’ensemble des > possibilités ? Il me semble avoir vu quelques app du genre sur Android. > > Jérôme > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Mifare et CSN
La solution la plus intéressante est de rajouter un 2x facteur en zone sensible : biométrie, OTP etc... J'ai maquetté une solution maison à base de google authenticator + lecture badge : tu passes le badge et tu tapes ton code et chaque user a un hash différent. Ca se scripte sans soucis :) mais je ne sais si on trouve ce genre de choses sur étagère ? @++ Le ven. 22 nov. 2019 à 01:46, Jérôme Quintard a écrit : > Je viens de me rendre compte que l’un de nos prestataires sûreté nous mets > en place des badges mifare dont les lecteurs ne font que comparer le CSN du > badge avec celui présent dans leur base de données. Ils n’utilisent aucun > chiffrement. > > A mes yeux c’est risque. > > Quelqu’un peut il me confirmer ? > > Si l’on part sur un CSN de 10 bytes et sachant que j’ai 1500 badges dans > le même intervalle > 9x existe il des émulateurs qui permettrait de tromper les > lecteurs et combien de temps faudrait il pour faire l’ensemble des > possibilités ? Il me semble avoir vu quelques app du genre sur Android. > > Jérôme > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > -- Nicolas FOURNIL - nicolas.four...@eho.link --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Mifare et CSN
Pour les carte avec UID modifiable, on trouve sur Amazone et AliExpress des carte Mifare avec UID modifiable pour quelques centimes... Ce genre d'attaque n'est absolument pas coûteuse. Bien cordialement, Darcosion ‐‐‐ Original Message ‐‐‐ Le vendredi, novembre 22, 2019 2:11 AM, Romain Labolle a écrit : > Bonjour, > > L'attaque la plus simple reste de copier un badge existant. Il faut juste > lire le CSN (UID) d'un badge existant. La lecture de l'UID se fait avec un > téléphone ou un lecteur portable : > T'as ton badge dans la poche, l'attaquant a un lecteur dans la poche ou dans > sa main, s'il arrive a rapprocher le lecteur à quelques centimètres du badge, > il a gagné. C'est faisable dans un métro ou un assesseur bondé par exemple. > > Ensuite il suffit d'écrire l'ID sur un badge fait pour ça (badge avec UID > modifiable sur lab401 par exemple) pour avoir un badge valide. > > C'est clairement pas juste théorique comme attaque. > > Sinon des appareils tel que le proxmark3 ou le chameleon peuvent faire > tourner du code arbitraire pour simuler ce genre de carte. Je ne sais pas > exactement combien de temps ça prendrait de bruteforcer un UID valide (sans > planter le lecteur...) mais à mon avis c'est de l'ordre du faisable. > > Mais pour moi le premier scénario d'attaque est suffisant pour considérer ce > type de contrôle d'accès (malheureusement beaucoup trop fréquent) comme cassé. > > Cordialement, > Romain. > > De : Jérôme Quintard jquint...@outlook.com > > Envoyé : vendredi 22 novembre 2019 01:44 > À : FRnOG MISC > Objet : [FRnOG] [MISC] Mifare et CSN > > Je viens de me rendre compte que l’un de nos prestataires sûreté nous mets en > place des badges mifare dont les lecteurs ne font que comparer le CSN du > badge avec celui présent dans leur base de données. Ils n’utilisent aucun > chiffrement. > > A mes yeux c’est risque. > > Quelqu’un peut il me confirmer ? > > Si l’on part sur un CSN de 10 bytes et sachant que j’ai 1500 badges dans le > même intervalle > 9x existe il des émulateurs qui permettrait de tromper les lecteurs > et combien de temps faudrait il pour faire l’ensemble des > possibilités ? Il me semble avoir vu quelques app du genre sur Android. > > Jérôme > > --- > > Liste de diffusion du FRnOG > http://www.frnog.org/ > > -- > > Liste de diffusion du FRnOG > http://www.frnog.org/ publickey - darcosion@protonmail.com - 0x56B65B82.asc Description: application/pgp-keys signature.asc Description: OpenPGP digital signature
Re: [FRnOG] [MISC] Mifare et CSN
Vanderbilt On Fri, Nov 22, 2019 at 10:35 AM Raphael Jacquot wrote: > > > On 11/22/19 7:29 AM, Richard Klein wrote: > > Bonjour, > > Bonjour, > > > Je peux vous dire que la récolte était très bonne. > > Pour ma part entre une serrure électronique et une serrure mécanique je > > préfère la seconde. > > existe t'il un vendeur qui proposerait un truc a 2 facteurs (carte RFID > + pin individuel ?) > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Mifare et CSN
Bonjour, Je travaille régulièrement avec les produits Paxton qui propose l'identification à double facteur (badge + code pin), l'anti-passbacketc. Anthony Le ven. 22 nov. 2019 à 10:33, Raphael Jacquot a écrit : > > > On 11/22/19 7:29 AM, Richard Klein wrote: > > Bonjour, > > Bonjour, > > > Je peux vous dire que la récolte était très bonne. > > Pour ma part entre une serrure électronique et une serrure mécanique je > > préfère la seconde. > > existe t'il un vendeur qui proposerait un truc a 2 facteurs (carte RFID > + pin individuel ?) > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Mifare et CSN
On 11/22/19 7:29 AM, Richard Klein wrote: > Bonjour, Bonjour, > Je peux vous dire que la récolte était très bonne. > Pour ma part entre une serrure électronique et une serrure mécanique je > préfère la seconde. existe t'il un vendeur qui proposerait un truc a 2 facteurs (carte RFID + pin individuel ?) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Mifare et CSN
Bonjour, Je recommande la lecture de cette publication de l’ANSSI : https://www.ssi.gouv.fr/uploads/IMG/pdf/Securite_des_technologies_sans_contact_pour_le_controle_des_acces_physiques.pdf Il y a plein d’informations et de bon conseil, après tes choix seront éclairé. Mais oui la copie de badge Mifare ça marche très bie, ça m’a permis d’avoir un badge de secours durant de longues années. Bonne journée --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Mifare et CSN
Bonjour, Pas besoin de faire du brute force. Dans ma boite Après sensibilisation des équipes sur la fiabilité de ce type de badge et prestataire qui exploitent partiellement les mifares j avais effectué une expérience Prendre un boîtier plus joli que le lecteur RFID d origine avec une led qui clignote brièvement ,ajouter de l électronique pour lire et sauvegarder les numéros de badges. Je peux vous dire que la récolte était très bonne. Pour ma part entre une serrure électronique et une serrure mécanique je préfère la seconde. Richard Le ven. 22 nov. 2019 à 02:12, Romain Labolle a écrit : > Bonjour, > > L'attaque la plus simple reste de copier un badge existant. Il faut juste > lire le CSN (UID) d'un badge existant. La lecture de l'UID se fait avec un > téléphone ou un lecteur portable : > T'as ton badge dans la poche, l'attaquant a un lecteur dans la poche ou > dans sa main, s'il arrive a rapprocher le lecteur à quelques centimètres du > badge, il a gagné. C'est faisable dans un métro ou un assesseur bondé par > exemple. > > Ensuite il suffit d'écrire l'ID sur un badge fait pour ça (badge avec UID > modifiable sur lab401 par exemple) pour avoir un badge valide. > > C'est clairement pas juste théorique comme attaque. > > Sinon des appareils tel que le proxmark3 ou le chameleon peuvent faire > tourner du code arbitraire pour simuler ce genre de carte. Je ne sais pas > exactement combien de temps ça prendrait de bruteforcer un UID valide (sans > planter le lecteur...) mais à mon avis c'est de l'ordre du faisable. > > Mais pour moi le premier scénario d'attaque est suffisant pour considérer > ce type de contrôle d'accès (malheureusement beaucoup trop fréquent) comme > cassé. > > Cordialement, > Romain. > > De : Jérôme Quintard > Envoyé : vendredi 22 novembre 2019 01:44 > À : FRnOG MISC > Objet : [FRnOG] [MISC] Mifare et CSN > > Je viens de me rendre compte que l’un de nos prestataires sûreté nous mets > en place des badges mifare dont les lecteurs ne font que comparer le CSN du > badge avec celui présent dans leur base de données. Ils n’utilisent aucun > chiffrement. > > A mes yeux c’est risque. > > Quelqu’un peut il me confirmer ? > > Si l’on part sur un CSN de 10 bytes et sachant que j’ai 1500 badges dans > le même intervalle > 9x existe il des émulateurs qui permettrait de tromper les > lecteurs et combien de temps faudrait il pour faire l’ensemble des > possibilités ? Il me semble avoir vu quelques app du genre sur Android. > > Jérôme > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Mifare et CSN
Bonjour, L'attaque la plus simple reste de copier un badge existant. Il faut juste lire le CSN (UID) d'un badge existant. La lecture de l'UID se fait avec un téléphone ou un lecteur portable : T'as ton badge dans la poche, l'attaquant a un lecteur dans la poche ou dans sa main, s'il arrive a rapprocher le lecteur à quelques centimètres du badge, il a gagné. C'est faisable dans un métro ou un assesseur bondé par exemple. Ensuite il suffit d'écrire l'ID sur un badge fait pour ça (badge avec UID modifiable sur lab401 par exemple) pour avoir un badge valide. C'est clairement pas juste théorique comme attaque. Sinon des appareils tel que le proxmark3 ou le chameleon peuvent faire tourner du code arbitraire pour simuler ce genre de carte. Je ne sais pas exactement combien de temps ça prendrait de bruteforcer un UID valide (sans planter le lecteur...) mais à mon avis c'est de l'ordre du faisable. Mais pour moi le premier scénario d'attaque est suffisant pour considérer ce type de contrôle d'accès (malheureusement beaucoup trop fréquent) comme cassé. Cordialement, Romain. De : Jérôme Quintard Envoyé : vendredi 22 novembre 2019 01:44 À : FRnOG MISC Objet : [FRnOG] [MISC] Mifare et CSN Je viens de me rendre compte que l’un de nos prestataires sûreté nous mets en place des badges mifare dont les lecteurs ne font que comparer le CSN du badge avec celui présent dans leur base de données. Ils n’utilisent aucun chiffrement. A mes yeux c’est risque. Quelqu’un peut il me confirmer ? Si l’on part sur un CSN de 10 bytes et sachant que j’ai 1500 badges dans le même intervalle 9x existe il des émulateurs qui permettrait de tromper les lecteurs et combien de temps faudrait il pour faire l’ensemble des possibilités ? Il me semble avoir vu quelques app du genre sur Android. Jérôme --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
