La carte Mobib pas assez sécurisée selon les chercheurs de l’UCL

Filed in Piratage , Service 1 comments

carte_mobib

Les transports publics de la Région Bruxelles-Capitale en Belgique (STIB) ont mis en service en 2008 un nouveau système de titres de transport appelé MOBIB. Ce nouveau système repose sur une technologie sans contact (Radio Frequency IDentification) qui suit le standard Calypso, déjà déployé dans plus de 20 pays.

G. Avoine, T. Martin et J.-P. Szikora du Groupe Sécurité de l’Information (GSI) de l’Université catholique de Louvain ont analysé la carte MOBIB et démontré qu’elle contient des données personnelles sur le porteur. Ces données peuvent être obtenues par n’importe quelle personne se trouvant à proximité de la carte. Prénom, nom, date de naissance et code postal sont présents, mais aussi et surtout la trace des trois derniers passages dans les transports publics. Cette révélation est en contradiction avec les propos du Ministre du Gouvernement de Bruxelles-Capitale chargé de la Mobilité et des Travaux Publics qui indiquait le 8 octobre 2008 devant le parlement que “les trajets ne sont pas enregistrés au niveau de la carte”. Le fait que la carte contienne des informations personnelles non protégées ne garantit pas le respect de la vie privée. Déterminer où et quand un collègue, conjoint ou enfant a pris le métro, bus ou tramway peut être réalisé par quiconque utilisant le logiciel rendu public par les chercheurs de l’UCL.

Tel est le communiqué du groupe GSI de l’UCL. Ce qui est troublant, ce n’est pas trop qu’effectivement des données privées se situent sur la carte et que celle-ci ne soit pas sécurisée (bien que cela soit hautement discutable aussi bien entendu, mais bon ne soyons pas parano), mais plutôt que le débat ait été réalisé sur de fausses affirmations.

Malgré cela, le ministre a affirmé qu’il n’y avait pas de contradiction entre les constats des chercheurs et ce qu’il a dit au parlement. On peut réelement où il va chercher cela.

Plus grave encore, il affirme que “le contenu de la carte Mobib n’est guère différent de celui d’une carte d’identité électronique ou d’une carte bancaire qui sont facilement lisibles à domicile à l’aide de lecteurs bon marché”. Inquiétant. Les technologies sont totalement différentes et le niveau de sécurité aussi !!

Enfin, selon lui, la Commission sur le respect de la vie privée a été consultée, mais n’a pas de donné de suite, alors qu’elle en avait la possibilité.

Très inquiétant! On peut décemment se poser la question savoir comment on a pu laisser la STIB valider et implémenter ce projet !

Sources: DHnet.be, BelSec, GSI, Ecolo, RTBF Info, LeSoir, …

Posté par Pascal   @   12 janvier 2009 1 commentaires
Tags :

1 Comments

Commentaires
jan 14, 2009
4:01
#1 ratp :

C’est vraiment dingue ses cartes qui garde nos données !

Leave a Comment

Name

Email

Website

Previous Post
«
Next Post
»
CrossBlock designed by DeltaManual.Com  |  In conjunction with Web Hosting   |   Web Hosting   |   Reverse phone