Les serrures électroniques vont faire le bonheur des c... https://www.01net.com/actualites/securite-physique-la...

 Produits (https://www.01net.com/actualites/produits/) Applis, Logiciels (https://www.01net.com/actualites/applis-logiciels/) Jeux (https://www.01net.com/actualites/jeux/)

(/)

01net (https://www.01net.com/)  Actualités (https://www.01net.com/actualites/)  Sécurité (https://www.01net.com/actualites/securite/)

Les serrures électroniques vont faire

le bonheur des cambrioleurs ! 
 28/04/2014 à 17h34 Mis à jour le 29/04/2014 à 17h00

Un chercheur en sécurité estime que Vigik, un système

très populaire de contrôle d'accès aux immeubles, sera
totalement vulnérable d'ici à quelques années, sans
aucune possibilité de mise à jour. Il faudra refaire toutes
les installations, ce qui coûtera de l'ordre du milliard
d'euros.

Mise à jour à 17h34

Suite à notre article, La Poste - qui a conçu le système Vigik - nous a fait
part de sa propre analyse de sécurité. « La sécurité du système Vigik est
une priorité pour La Poste. La Poste fait régulièrement procéder à des
analyses de sécurité par des cabinets externes spécialisés dans la sécurité
des systèmes à carte à puce et la cryptographie. La dernière opérée sur
Vigik a moins de 2 ans. Ces analyses effectuées par des experts ont évalué
à 10 ans la pérennité de l’actuel système Vigik. Sans attendre ce délai, La
Poste travaille d’ores et déjà à une nouvelle version de Vigik, notamment
avec les gestionnaires d’immeubles et les industriels. Les deux versions
pourront coexister et seront parfaitement compatibles. La Poste reste par
ailleurs attentive aux recherches susceptibles de nourrir ses travaux »,
explique l'entreprise.

On est rassuré, mais pas totalement. En effet, la pérennité « à 10 ans » est

plutôt étonnante dans la mesure où l'ANSSI - l'Agence nationale de sécurité
des systèmes d'information - recommande depuis 2010 l'utilisation d'une
clé de longueur 2048 bits. Au-délà de 2020, elle recommande même une
longueur de 4096 bits (Source: Référentiel Général de Sécurité
(http://www.ssi.gouv.fr/IMG/pdf/RGS_B_1.pdf), 26 janvier 2010). Du coup,
la longueur de clé du système Vigik (1024 bits) paraît bien désuète...

Article publié à 15h58

Dans trois ou quatre ans, les copropriétés françaises qui ont investi dans le
système de contrôle d’accès multiservices Vigik risquent de passer un
mauvais quart d’heure. Car il est probable que d’ici là, la création d’un badge
Vigik sera technologiquement accessible au premier cambrioleur venu, pour
peu qu’il se connaisse un peu en informatique. Et dans ce cas, il n’y aura
qu’une seule solution : changer l’ensemble des lecteurs Vigik.

En effet, le chercheur en sécurité Renaud Lifchitz s’est penché récemment

sur la sécurité de ce système qui a été créé en 1997 par La Poste et qui
permet à différents prestataires - La Poste évidemment, mais aussi EDF-
GDF, France Télécom, etc. - de rentrer dans les parties communes des

1 sur 4 17/03/2021 à 22:02

Les serrures électroniques vont faire le bonheur des c... https://www.01net.com/actualites/securite-physique-la...

immeubles équipés. Il a présenté le résultat de son travail il y a quelques

jours, à l'occasion de la conférence Hackito Ergo Sum 2014
(http://2014.hackitoergosum.org/).

Pour la gestion des droits d’accès, Vigik s’appuie sur une signature
électronique à durée de validité limitée (84 heures max), basée sur
l’algorithme RSA 768 ou 1024 bits. Ainsi, chaque matin, le postier charge son
badge avec la nouvelle date de validité. Dans la foulée, le badge Vigik est
signé en moyen d’une clé privée propre au prestataire, La Poste en
l’occurrence. Quand il fait sa tournée, le facteur présente son badge au
lecteur Vigik des différents immeubles, qui disposent tous de la clé publique
correspondante et peuvent donc vérifier la validité du badge.

Des cartes mémoires anciennes et fragiles

Malheureusement, il s’avère que le niveau de sécurité des badges Vigik n’est

pas très bon. Première lacune : les badges utilisent pour le stockage des
données des cartes mémoire d’ancienne génération, nommées « NXP Mifare
Classic 1K ». Normalement, les données stockées sont protégées, « mais
cela fait des années qu’il existe des attaques permettant de lire et écrire sur
ce type de cartes », explique Renaud Lifchitz. Ce dernier est passé de la
théorie à la pratique : il a copié le badge de son facteur et a testé les
différentes attaques pour lire le contenu. Voilà ce qu’il a obtenu :

Une fois que l’on est capable de lire et interpréter les entrailles d’un badge
Vigik, on peut en déduire sa signature. C’est alors que cela se complique.
Renaud Lifchitz a copié une deuxième fois le badge de son facteur pour
obtenir une deuxième signature. Grâce à un algorithme mathématique qu’il a
mis au point, le chercheur a déduit de ces deux signatures la clé publique de
La Poste. C’est loin d’être banal, car cette clé n’est pas aussi publique que
l’on pourrait le penser. Elle n'est diffusée sur aucun site. Seuls les
professionnels habilités peuvent y avoir accès. Voici les clés publiques 1024
bits récupérées :

2 sur 4 17/03/2021 à 22:02

Les serrures électroniques vont faire le bonheur des c... https://www.01net.com/actualites/securite-physique-la...

« La Poste Service Universel »

0xAB9953CBFCCD9375B6C028ADBAB7584BED15B9CA037FADED9765996
F9EA1AB983F3041C90DA3A198804FF90D5D872A96A4988F91F2243B821E
01C5021E3ED4E1BA83B7CFECAB0E766D8563164DE0B2412
AE4E6EA63804DF5C19C7AA78DC14F608294D732D7C8C67A88C6F84C0
F2E3FAFAE34084349E11AB5953AC68729D07715

« La Poste Autres Services »

0xA6D99B8D902893B04F3F8DE56CB6BF24338FEE897C1BCE6DFD4EBD
05B7B1A07FD2EB564BB4F7D35DBFE0A42966C2C137AD156E3DA
B62904592BCA20C0BC7B8B1E261EF82D53F52D203843566305A49A22
062DECC38C2FE3864CAD08E79219487651E2F79F1C9392B48CAFE1BF
FAFF4802AE451E7A283E55A4026AD1E82DF1A15

« France Telecom »
0xC44DBCD92F9DCF42F4902A87335DBB35D2FF530CDB09814CFA1F4B
95A1BD018D099BC6AB69F667B4922AE1ED826E72951AA3E0EAAA7D49
A695F04F8CDAAE2D18D10D25BD529CBB05ABF070DC7C041EC35C2BA7
F58CC4C349983CC6E11A5CBE828FB8ECBC26F08E1094A6B44C8953C8
E1BAFD214DF3E69F430A98CCC75C03669D

« EDF-GDF »
0xB35193DBD2F88A21CDCFFF4BF84F7FC036A991A363DCB3E802407A
5E5879DC2127EECFC520779E79E911394882482C87D09A88B07
11CBC2973B77FFDAE40EA0001F595072708C558B484AB89D02BCBCB9
71FF1B80371C0BE30CB13661078078BB68EBCCA524B9DD55EBF7D47D
9355AFC95511350CC1103A5DEE847868848B235

Mais en quoi la connaissance d’une clé publique représente-t-elle un risque ?

C’est là qu’intervient la seconde grosse lacune de Vigik : le système est limité
matériellement à RSA 1024 bits pour créer ses signatures. « RSA 768 bits a
été cassé en 2009. RSA 1024 bits le sera dans trois ou quatre ans de
manière publique, c’est-à-dire qu’un particulier pourra le faire. A ce jour,
seules les organisations gouvernementales ou les grandes entreprises
peuvent casser RSA 1024 bits », explique Renaud Lifchitz. Dès lors, un
quidam pourra donc, avec un peu de bonne volonté, casser le système et
récupérer la clé privée du prestataire pour fabriquer ses propres badges. Il
aura alors accès à tous les immeubles équipés du système Vigik. Sésame,
ouvre-toi !

Conclusion : le jour où RSA 1024 bits sera cassé, il faudra remplacer tous les
lecteurs, parce que dans les années 90, les ingénieurs de La Poste n’ont pas
prévu des cartes mémoire suffisamment grandes pour assurer l’évolutivité de
leur système. C’est une erreur qui coûtera assez cher, car il faut compter
environ 1000 euros pour installer un lecteur. « Or, en France, il existe environ
un million de lecteurs Vigik. Cette mauvaise conception coûtera donc de
l’ordre du milliard d’euros », souligne Renaud Lifchitz. La grande question est
la suivante : le jour où RSA 1024 bits sera cassé et qu’il faudra remplacer les
lecteurs Vigik, qui paiera l’addition ? La Poste ? Les fabricants de lecteurs ?
Ou les syndicats de copropriétés ?

Sur l’ensemble de ces points, nous avons contacté l’association Vigik

(http://www.vigik.com/sommaire.php3), sans obtenir de réponse pour l’instant.

Source:

La présentation de Renaud Lifchitz (http://fr.scribd.com/doc/220701062/Day3-

Extractpub-Renaud-Lifchitz-Hes2014)

Gilbert Kallenborn

Votre opinion

3 sur 4 17/03/2021 à 22:02

Les serrures électroniques vont faire le bonheur des c... https://www.01net.com/actualites/securite-physique-la...

Connectez-vous pour écrire ici...

Inscrivez-vous (https://www.01net.com/mon-compte/s-inscrire.html)
Connectez-vous (https://www.01net.com/mon-compte/s-identifier.html)

Contact (https://www.01net.com/info/contact/) Services (//www.01net.com/services/) Flux RSS (//www.01net.com/info/flux-rss/)

Plan du site (//www.01net.com/info/plan-du-site/) Applications (//www.01net.com/info/application/)
Newsletters (//www.01net.com/info/newsletter/) Mentions légales & CGU 01net.com (//www.01net.com/info/mentions-legales/)
(//www.01net.com) Cookies (//www.01net.com/info/infos-cookies/) Données personnelles (//www.01net.com/info/donnees-personnelles/)
Publicité : annoncer sur 01 (//www.01net.com/info/publicite/)
Recrutement (https://nextradiotv-recrute.talent-soft.com/accueil.aspx?LCID=1036) Archives 01net.com (//www.01net.com/archives/)

01net.com (//www.01net.com) - Telecharger.com (//www.01net.com/telecharger/) - MeilleurMobile (https://www.meilleurmobile.com/)

RMC (//rmc.bfmtv.com) - RMC Sport News (//rmcsport.bfmtv.com) - RMC Sport.tv (https://www.rmcsport.tv/) -
RMC Découverte (https://rmcdecouverte.bfmtv.com) - BFMTV (//www.bfmtv.com) - BFM Business (https://www.bfmtv.com/economie/) -
Association RMC/BFM (http://www.associationrmcbfm.fr) - MyCuisine (https://www.mycuisine.com/)
Bons plans et codes promo (//code-promo.01net.com/)

4 sur 4 17/03/2021 à 22:02