Même pas peur des amendes, j’ai un smartphone Android ! Les chercheurs en sécurité Corey Benninger et Max Sobell de Intrepidus Group ont fait sensation lors de la conférence EUSecWest qui s’est tenue à Amsterdam les 19 et 20 septembre derniers. Ils ont démontré que leur application, baptisée UltraReset, était capable d’exploiter une faille de sécurité des puces NFC pour créditer les comptes de transports en commun à l’infini à l’aide d’un smartphone Android (démonstration en vidéo à la fin de l’article).
D’après les deux chercheurs, cette application permet aux voyageurs « de réécrire les données stockées sur la carte et la recréditer ». UltraRest est compatible avec tous les smartphones équipés d’Android 2.3.3 et supérieur, c’est-à-dire à peu près tous les smartphones équipés de puces NFC.
Ne rêvez pas !
Attention cependant, les chercheurs ont expliqué que l’application utilisait une faille de sécurité présente dans les systèmes de transport de San Francisco et de certaines villes du New Jersey. Ces puces, Mifare Ultralight, équipent principalement des cartes de transport jetables. Une faille permet de réécrire sur ces puces grâce à la puce de votre smartphone. Les chercheurs ont affirmé que « ce type de puce permet à toute personne qui sait comment faire, de réécrire des données sur la puce NFC ». Les deux chercheurs ont aussi affirmé que plusieurs villes américaines comme Boston, Seattle ou Chicago étaient vulnérables. Pas de nouvelles pour la France et les villes utilisant des systèmes de cartes sans contact. Cependant cette faille de sécurité serait facile à corriger. De quoi empêcher les utilisateurs Android de se muer en hackers ? Pas sûr.
