Un bogue de carte à puce permet à n’importe qui de prendre le métro gratuitement
Le rapide de masse de l’Inde les systèmes de transport en commun – ou métro, comme on l’appelle localement – reposent sur des cartes à puce de banlieue qui sont vulnérables à l’exploitation et permettent à quiconque de se déplacer efficacement gratuitement.
Chercheur en sécurité Nikhil Kumar Singh a découvert un bogue affectant le système de carte à puce du métro de Delhi. Le chercheur a déclaré à TechCrunch que le bogue exploite le processus de recharge qui permet à quiconque de recharger la carte à puce du métro autant de fois qu’il le souhaite.
Singh a déclaré à TechCrunch qu’il avait découvert le bogue après avoir obtenu par inadvertance une recharge gratuite sur sa carte à puce de métro à l’aide d’une machine à valeur ajoutée dans une station de métro de Delhi.
Le bogue existe, dit Singh, parce que le système de recharge du métro ne vérifie pas correctement les paiements lorsqu’un voyageur crédite sa carte à puce de métro à l’aide d’une machine à valeur ajoutée de la station. Il a déclaré que le manque de chèques signifie qu’une carte à puce peut être trompée en pensant qu’elle a été rechargée même lorsque la machine à valeur ajoutée indique que l’achat a échoué. Dans ce cas, un paiement est marqué comme en attente, puis remboursé, permettant à la personne de prendre le métro gratuitement.
« Je l’ai essayé sur le système du métro de Delhi et j’ai pu obtenir une recharge gratuite », a déclaré Singh à TechCrunch. « Je dois encore initier une recharge en la payant avec PhonePe ou Paytm, mais comme la recharge reste toujours en attente, elle sera remboursée après 30 jours. C’est pourquoi il est techniquement gratuit », a-t-il déclaré.
Singh a partagé avec TechCrunch une vidéo de preuve de concept qu’il a enregistrée en février montrant comment une carte à puce peut être dupée pour ajouter de la valeur à une carte du métro de Delhi. Après avoir mieux compris le bug, le chercheur atteindre à la Delhi Metro Rail Corporation (DMRC) un jour plus tard. En réponse, le DMRC a demandé à Singh de partager les détails du bogue par e-mail, ce qu’il a fait, ainsi qu’un rapport technique et un fichier journal démontrant le bogue en action, que TechCrunch a vu. Le 16 mars, Singh a reçu une réponse passe-partout, accusant réception de son e-mail, mais n’a reçu aucune autre réponse.
Singh a déclaré à TechCrunch que le problème, qui n’a pas été résolu, existe dans les cartes à puce elles-mêmes. Le métro de Delhi s’appuie sur les cartes à puce MiFare DESFire EV1 fabriquées par le fabricant de puces néerlandais NXP Semiconductors. D’autres systèmes de métro, dont Bengaluru, utilisent également le même système de carte à puce.
« Si l’infrastructure technique est la même dans d’autres trains de métro d’État, alors ce bogue fonctionnera là aussi », a déclaré Singh à TechCrunch.
Ce n’est pas la première fois que des chercheurs en sécurité découvrent des problèmes avec la même marque de cartes à puce. Des recherches antérieures ont révélé des vulnérabilités similaires affectant les mêmes cartes à puce DESFire EV1 que le métro de Delhi utilise, ainsi que d’autres systèmes de transport en commun européens. En 2020, MiFare a présenté le DESFire EV3 comme sa solution sans contact avec une meilleure sécurité.
Singh a suggéré que le bogue de la carte à puce pourrait être corrigé si les systèmes de métro migraient vers les cartes DESFire EV3.
Trois porte-parole du DMRC n’ont pas répondu à plusieurs courriels sollicitant des commentaires. Lorsqu’il a été contacté, un porte-parole de NXP (via une agence) n’a pas été en mesure de fournir de commentaires au moment de la publication. Bengaluru Metro Rail Corporation, l’organisme responsable du service de métro de la ville, n’a pas non plus fait de commentaires.