Faille VIGIK

[eljojo2]

Dans ma boite, a cause d'abus de la part des employées, ils ont
décidés d'installer des portes avec des systèmes VIGIK un peu partout.
Je sais que VIGIK utilise un cryptage RSA et communique via la norme
14443 (13,56 MHz).

Mais à ma grande stupéfaction en lisant les pécifications technique de
VIGIK j'ai appris que le protocole était géré du coté client, en gros
c'est le badge qui décide si la porte s'ouvre ou non !!! On la mainte
fois vu, que ce soit avec des jeux en ligne en java ou la YC, la
sécurité sur un systeme géré en mode client est faible.

De plus le processus de duplication des badges est carrément honteux,
il suffit de passer un badge vierge devant le lecteur vigik, puis un
badge autorisé, puis les enlever, et de repasser le vierge devant la
borne...

C'est bien beau d'utiliser de la crypto si c'est pour commettre de si
grosses bourdes sécuritaires...

J'ai entendu parlé d'une télécommande fabrication maison qui fait
office de passepartout norme 14443, et donc vigik. Est-ce seulement
une rumeur ou alors une réalité? Si vous en avez parlé dites le moi.

------
Ma vraie email est mob * altern.org

[Noé]

"eljojo2" <de...@altern.org> a écrit dans le message de
news:2970c58b.04031...@posting.google.com...

> Dans ma boite, a cause d'abus de la part des employées, ils ont
> décidés d'installer des portes avec des systèmes VIGIK un peu partout.
> Je sais que VIGIK utilise un cryptage RSA et communique via la norme
> 14443 (13,56 MHz).

Badges Mifare classics 1k pour être précis.

> Mais à ma grande stupéfaction en lisant les pécifications technique de
> VIGIK j'ai appris que le protocole était géré du coté client, en gros
> c'est le badge qui décide si la porte s'ouvre ou non !!! On la mainte
> fois vu, que ce soit avec des jeux en ligne en java ou la YC, la
> sécurité sur un systeme géré en mode client est faible.

Tu as du mal lire. Ce n'est pas le badge qui décide si la porte s'ouvre ou
non, c'est la porte qui décide de s'ouvrir si le badge est valide. Par
valide, on entend,
- présenté pendant sa période de validité
- associé à un service autorisé sur la porte
- signé convenablement avec la clé privée du service (la signature prend en
compte le numéro de série du badge, le numéro du service, et la période de
validité).

> De plus le processus de duplication des badges est carrément honteux,
> il suffit de passer un badge vierge devant le lecteur vigik, puis un
> badge autorisé, puis les enlever, et de repasser le vierge devant la
> borne...

Mauvais vocabulaire, un badge Vigik ne peut pas être dupliqué (ou plutôt, il
peut l'être, mais la copie ne sera pas opérationnelle puisque le calcul de
signature dépend du numéro de série du badge). Mauvaise interprétation de
l'action, pour charger un badge Vigik on ne le présente pas sur un lecteur
mais sur une borne de rechargement (d'accord, physiquement ça peut
ressembler à un lecteur, mais il n'y a pas de porte à côté !).

N'êtes vous pas en train de confondre VIGIK avec autre chose... Ce que vous
décrivez ressemble plus à l'enrôlement de badges résidants sur une centrale
de contrôle d'accès autonome... La centrale peut être certifiée VIGIK, cela
veut dire que le facteur, les préposés EDF-GDF et tout et tout pourront
rentrer avec leur badge VIGIK, ça ne préjuge pas du tout de la technique
utilisée pour la gestion des habitants ou usagers réguliers du site.

Il n'y a qu'un seul fabricant de contrôle d'accès qui signe ses badges
résidants. Les autres se contentent soit de les "enregistrer" dans la
mémoire de la centrale (numéro de série Mifare ou numéro d'identifiant
"privé" au fabricant) soit dans l'autre sens "d'enregistrer" les centrales
autorisées dans le badge... AMHA cette deuxième solution est une hérésie,
puisque dans ce cas précis c'est le badge qui décide si la porte doit
s'ouvrir ou non, et que le badge n'est "authentifié" que par ses clés
d'accès Mifare (6 octets, chiffrement symétrique). Donc, oui, si c'est ça
qu'on t'as vendu, on sait faire mieux, mais cela n'a absolument rien à voir
avec VIGIK.

> C'est bien beau d'utiliser de la crypto si c'est pour commettre de si
> grosses bourdes sécuritaires...

Faut toujours relativiser. Chez moi on dit "c'est bien beau d'utiliser de la
crypto, mais la porte elle s'ouvre au mieux avec un bon coup de pied, au
pire avec une hâche de sapeur". Grosso merdo, il y a d'un côté le système de
La Poste avec le discours qui va bien (VIGIK c'est super sécurisé et ça
permet au facteur de rentrer dans tous les immeubles sans remettre en
question la sécurité des-dits immeubles) et la nécessité pratique et
concrête que les habitants puissent rentrer chez eux pour pas cher et sans
avoir à lire le mode d'emploi...

> J'ai entendu parlé d'une télécommande fabrication maison qui fait
> office de passepartout norme 14443, et donc vigik. Est-ce seulement
> une rumeur ou alors une réalité? Si vous en avez parlé dites le moi.

La norme ISO 14443 concerne le couplage de proximité, donc n'a rien à voir
avec l'appellation "télécommande" qu'on réserve plutôt à la radio ou à
l'infra-rouge ("longue" distance). Maintenant, si vous avez bien lu tout ce
qu'il y a au-dessus, soit c'est un badge VIGIK et c'est par définition un
passe-partout qui ouvre toutes les portes connaissant la clé publique de
l'opérateur concerné, soit c'est un badge résidant selon la technologie
"privée" de X ou Y et on en fait absolument ce qu'on veut.

-- N.O.E.

PS: au fait, quelle marque ?

[Jean-Marc]

"Noé" <noeg...@yahoo.frOG.INVALID> a écrit dans le message de
news:c32d14$u0e$1...@news-reader2.wanadoo.fr...

> Faut toujours relativiser. Chez moi on dit "c'est bien beau d'utiliser de
la
> crypto, mais la porte elle s'ouvre au mieux avec un bon coup de pied, au
> pire avec une hâche de sapeur".

Et le plus amusant, c'est quand les copropriétaires décident d'investire
dans un système de badge comme celui que vous décrivez, de renforcer les
gonds de la porte d'entrée, etc.. Puis quelques semaines plus tard, juste
pour rire, j'ai sonné chez 5 ou 6 résidents en disant: "je suis le livreur
de Pizza XXX, vous pouvez m'ouvrir ?" et que 4 sur 5 m'ont gentiment laissé
entrer ... Autre variante qui marche aussi "Bonjour, je suis monsieur
<<grmbl dupont grumbl gruml incompéhensible >> j'ai oublié ma clé vous
pouvez m'ouvrir svp?" Idem, 4 sur 5 ont ouvert ..

Et encore idem dans la sté ou je travaille. Un samedi matin, sans mon badge,
je vais voir le vigile (un nouveau)et lui dit "je suis monsieur XX, de la
sté XXX. J'ai laissé mon badge à la maison ... Vous pouvez m'ouvrir ??" et
hop, je suis rentré comme une fleur. Evidemment, on ne fait pas dans le "Top
Secret", mais il y a qd même un paquet d'infos confidentielles et du
matériel vraiment sensible d'un point de vue industriel.

Jean-Marc

[eljojo2]

Salut,

Tu à l'air de t'y connaitre, merci de m'avoir répondu

> Tu as du mal lire. Ce n'est pas le badge qui décide si la porte s'ouvre ou
> non, c'est la porte qui décide de s'ouvrir si le badge est valide. Par
> valide, on entend,
> - présenté pendant sa période de validité
> - associé à un service autorisé sur la porte
> - signé convenablement avec la clé privée du service (la signature prend en
> compte le numéro de série du badge, le numéro du service, et la période de
> validité).

Si les postiers doivent recharger leur badge tout les jours c'est que
c'est dans le badge que ca se passe, a moins que chaque porte
d'immeuble de france et de navarre soit relié au bureau de poste, ce
dont je doute.

> Mauvais vocabulaire, un badge Vigik ne peut pas être dupliqué (ou plutôt, il
> peut l'être, mais la copie ne sera pas opérationnelle puisque le calcul de
> signature dépend du numéro de série du badge). Mauvaise interprétation de
> l'action, pour charger un badge Vigik on ne le présente pas sur un lecteur
> mais sur une borne de rechargement (d'accord, physiquement ça peut
> ressembler à un lecteur, mais il n'y a pas de porte à côté !).
>

Pourtant j'ai lu sur une fiche technique VIGIK que cela se faisait
aussi sur la borne qu'il y a à l'entrée, ce qui me parait logique
puisque la borne de rechargement n'est pas obligatoire dans l'achat du
systeme. Si tu regardes le branchement il ya 4 fils, 2 pour
l'alimentation, et 2 relié au penne de la serrures électroniques. J'ai
vu aussi d'autre modèle que tu peux relier à une centrale aussi. Mais
moi je parle uniquement de ces bornes à 4 fils reliées à rien du tout.

Maintenant avec tes explications je comprends mieux ou intervient le
cryptage. Ils empeche, en collaboration avec le numéro de serie unique
invariable, la duplication d'un badge. La sécurité serait du au fait
qu'il faudrait un accès physique au badge autorisé et à la borne pour
dupliquer les droits dudit badge.

Je vais essayer de retrouver cette fiche technique.

[Johann Dantant]

"eljojo2" <de...@altern.org> a écrit dans le message de
news:2970c58b.04031...@posting.google.com...

> Salut,

Bonjour aussi.

> Si les postiers doivent recharger leur badge tout les jours c'est que
> c'est dans le badge que ca se passe, a moins que chaque porte
> d'immeuble de france et de navarre soit relié au bureau de poste, ce
> dont je doute.

Pour préciser le (long) exposé de Noé, il ne se passe rien dans le badge. Le
badge est un badge à mémoire, pas à uC. Pour faire le parallèle avec une
vision informatique, le badge représente un jeton d'accès. Lorsque l'usager
(le facteur) se logge le matin (il pointe à la Poste), le serveur
d'authentification (système de chargement) lui délivre un jeton d'accès
(badge chargé) valable pendant une durée limitée. Le jeton d'accès contient
les droits d'accès aux différentes ressources (les portes des immeubles). Au
bout d'un certain temps, le jeton d'accès expire (fin de la plage de
validité) et il faut une nouvelle demande au serveur d'authentification pour
le réactiver (rechargement le lendemain matin). C'est le certificat du
serveur d'authentification (la clé publique associée au système de
chargement) qui permet de vérifier sur chaque ressource que le jeton est
valide sans avoir à contacter systématiquement le serveur d'authentification
(en l'occurrence, on ne le contacte jamais, ce qui pose essentiellement le
problème de non-répudiation de la clé, mais c'est une autre histoire).

> Pourtant j'ai lu sur une fiche technique VIGIK que cela se faisait
> aussi sur la borne qu'il y a à l'entrée, ce qui me parait logique
> puisque la borne de rechargement n'est pas obligatoire dans l'achat du
> systeme. Si tu regardes le branchement il ya 4 fils, 2 pour
> l'alimentation, et 2 relié au penne de la serrures électroniques. J'ai
> vu aussi d'autre modèle que tu peux relier à une centrale aussi. Mais
> moi je parle uniquement de ces bornes à 4 fils reliées à rien du tout.

La borne de rechargement est obligatoire pour signer des badges Vigik. Elle
peut prendre plusieurs formes (borne autonome, logiciel sur PC, borne
connectée à un serveur...) mais elle est obligatoire. Revoir les précisions
qu'on t'a donné, on peut très bien avoir des lecteurs marqués Vigik et faire
avec du contrôle d'accès résident qui n'utilise ni cryptage ni signature.

> Maintenant avec tes explications je comprends mieux ou intervient le
> cryptage. Ils empeche, en collaboration avec le numéro de serie unique
> invariable, la duplication d'un badge. La sécurité serait du au fait
> qu'il faudrait un accès physique au badge autorisé et à la borne pour
> dupliquer les droits dudit badge.

Non. Avant d'enrôler un badge Vigik le norme impose la saisie (au clavier !)
d'un mot de passe. La présentation d'un badge "maître" n'est pas suffisante
pour passer une borne en mode administration.

Johann

--
Dieu merci il y en a que vous pouvez encore faire rire, et il vous
sera donc beaucoup pardonné pour cela. Mais c'est bien votre seule
excuse, et même de cela vous n'êtes pas responsable.
-+-EJ in <http://neuneu.mine.nu> : Ces bennes qu'on éteint -+-

[Noé]

"eljojo2" <de...@altern.org> a écrit dans le message de
news:2970c58b.04031...@posting.google.com...

> Salut,
>
> Tu à l'air de t'y connaitre, merci de m'avoir répondu
>
> > Tu as du mal lire. Ce n'est pas le badge qui décide si la porte s'ouvre
ou
> > non, c'est la porte qui décide de s'ouvrir si le badge est valide. Par
> > valide, on entend,
> > - présenté pendant sa période de validité
> > - associé à un service autorisé sur la porte
> > - signé convenablement avec la clé privée du service (la signature prend
en
> > compte le numéro de série du badge, le numéro du service, et la période
de
> > validité).
>
> Si les postiers doivent recharger leur badge tout les jours c'est que
> c'est dans le badge que ca se passe, a moins que chaque porte
> d'immeuble de france et de navarre soit relié au bureau de poste, ce
> dont je doute.

Ben non... As tu bien lu les explications sur www.vigik.com ?

>
> > Mauvais vocabulaire, un badge Vigik ne peut pas être dupliqué (ou
plutôt, il
> > peut l'être, mais la copie ne sera pas opérationnelle puisque le calcul
de
> > signature dépend du numéro de série du badge). Mauvaise interprétation
de
> > l'action, pour charger un badge Vigik on ne le présente pas sur un
lecteur
> > mais sur une borne de rechargement (d'accord, physiquement ça peut
> > ressembler à un lecteur, mais il n'y a pas de porte à côté !).
> >
>
> Pourtant j'ai lu sur une fiche technique VIGIK que cela se faisait
> aussi sur la borne qu'il y a à l'entrée, ce qui me parait logique
> puisque la borne de rechargement n'est pas obligatoire dans l'achat du
> systeme. Si tu regardes le branchement il ya 4 fils, 2 pour
> l'alimentation, et 2 relié au penne de la serrures électroniques. J'ai
> vu aussi d'autre modèle que tu peux relier à une centrale aussi. Mais
> moi je parle uniquement de ces bornes à 4 fils reliées à rien du tout.

Ben non... Ca c'est pas du rechargement... c'est du non-VIGIK.

> Maintenant avec tes explications je comprends mieux ou intervient le
> cryptage. Ils empeche, en collaboration avec le numéro de serie unique
> invariable, la duplication d'un badge. La sécurité serait du au fait
> qu'il faudrait un accès physique au badge autorisé et à la borne pour
> dupliquer les droits dudit badge.
>
> Je vais essayer de retrouver cette fiche technique.

Au moins la marque ?

N.O.E.

[David Garnier]

> Pour préciser le (long) exposé de Noé, il ne se passe rien dans le badge. Le
> badge est un badge à mémoire, pas à uC. Pour faire le parallèle avec une
> vision informatique, le badge représente un jeton d'accès. Lorsque l'usager
> (le facteur) se logge le matin (il pointe à la Poste), le serveur
> d'authentification (système de chargement) lui délivre un jeton d'accès
> (badge chargé) valable pendant une durée limitée. Le jeton d'accès contient
> les droits d'accès aux différentes ressources (les portes des immeubles). Au
> bout d'un certain temps, le jeton d'accès expire (fin de la plage de
> validité) et il faut une nouvelle demande au serveur d'authentification pour
> le réactiver (rechargement le lendemain matin).

Comment est-ce que le jeton "expire" ? Il y a une date dedans ? Ca
voudrait alors dire que les lecteurs contiennent une horloge ?

David

[Johann Dantant]

"David Garnier" <david.garn...@trusted-logic.fr> a écrit dans le
message de news:4056b3f8$0$313$626a...@news.free.fr...

>
> Comment est-ce que le jeton "expire" ? Il y a une date dedans ? Ca
> voudrait alors dire que les lecteurs contiennent une horloge ?
>

Evidemment. On n'a jamais vu de contrôle d'accès sans horloge (dates de
validité, jours fériés, heures et jours d'accès autorisés...). Il n'y a que
dans un immeuble résidentiel qu'on peut se passer d'horloge puisque qu'a
priori les habitants peuvent aller et venir à leur guise (et encore, on peut
limiter les heures d'accès du personnel d'entretien, prévoir une ouverture
automatique aux horaires du cabinet médical et tout et tout...). Donc, oui,
heureusement, le badge Vigik est horodaté et à durée de vie limitée (84h
max). Lire la présentation sur leur site qui explique a peu près tout cela.

-- Johann
Connaîtriez-vous une adresse oû télécharger un mail bomber ?
Ou bien si vous en avez un (assez simple), pouvez-vous me l' envoyer ?
-+- Y.G. in Guide du Neuneu d'Usenet : NeunEu vA tOuT p3TeR -+-

[David Garnier]

Johann Dantant wrote:

> "David Garnier" <david.garn...@trusted-logic.fr> a écrit dans le
> message de news:4056b3f8$0$313$626a...@news.free.fr...
>
>>Comment est-ce que le jeton "expire" ? Il y a une date dedans ? Ca
>>voudrait alors dire que les lecteurs contiennent une horloge ?
>>
>
>
> Evidemment. On n'a jamais vu de contrôle d'accès sans horloge (dates de
> validité, jours fériés, heures et jours d'accès autorisés...). Il n'y a que
> dans un immeuble résidentiel qu'on peut se passer d'horloge puisque qu'a
> priori les habitants peuvent aller et venir à leur guise (et encore, on peut
> limiter les heures d'accès du personnel d'entretien, prévoir une ouverture
> automatique aux horaires du cabinet médical et tout et tout...). Donc, oui,
> heureusement, le badge Vigik est horodaté et à durée de vie limitée (84h
> max). Lire la présentation sur leur site qui explique a peu près tout cela.

L'horloge est donc obligatoire. J'espère que celle-ci peut être mise à
jour automatiquement (radio-fréquence ou autres), sinon ça risque de ne
pas fonctionner longtemps.

Sinon, le site est vraiment léger et il faut payer 500€ HT pour avoir
les specs. Dommage.

David

[Francois Grieu]

In article <4056f4db$0$280$626a...@news.free.fr>,
David Garnier <david.garn...@trusted-logic.fr> wrote:

> L'horloge est donc obligatoire. J'espère que celle-ci peut être
> mise à jour automatiquement (radio-fréquence ou autres), sinon
> ça risque de ne pas fonctionner longtemps.

Ne crachons pas sur l'horloge locale, surtout en l'espèce: sauf
précaution particulière il serait en théorie concevable de faire
un faux émetteur de signaux horaire (*), avec pour effet de mettre
la serrure à une date ancienne pour laquelle on possède une vielle
signature Vigik permettant d'entrer comme un postier.

François Grieu

(*) le standard le plus répandu est le DCF77
<http://www.aurel32.net/elec/dcf77.php>

[Noé]

"David Garnier" <david.garn...@trusted-logic.fr> a écrit dans le

message de news:4056f4db$0$280$626a...@news.free.fr...

>
> L'horloge est donc obligatoire. J'espère que celle-ci peut être mise à
> jour automatiquement (radio-fréquence ou autres), sinon ça risque de ne
> pas fonctionner longtemps.

Il y a forcément une dérive, mais on n'est surement pas à quelques secondes
près... Même 1/2 heure de décalage après quelques années ne serait surement
pas une catastrophe....

N.O.E.

[lotoan...@gmail.com]

Bonjour tout le monde, je prends le sujet en cours avec beaucoup de retard.
Quelques liens utiles à tout hasard :

http://www.evicom.fr/image_client/portiers/pdf/NO_30762-notice-UAV0151_094-proxilight2.pdf

et surtout ce lien très important qui évoque une future mise à jour du système

http://www.secuobs.com/news/28042014-vigik-rsa.shtml


Notons tout de même le coût exorbitant de la mise à jour de tous les immeubles : facture globale comprise entre 100 millions et 1 milliard d'euros.


Angel

[chapel...@laposte.net]

Sinon il y a plus simple desormais on peut commander une copie exacte de son badge d'immeuble pour 15€ : https://badge-vigik.fr

[ptilou]

Chez Welleman le kit K8019, permet de programmer ses propre clés un tours sur Darknet pour trouver les clés "maître" ou on parle d'arborescence vers le haut et les porte du bonheur paradis s'ouvriront ...

Comme les gens c'est des pinces t'inquiètes, ils corrigent pas les failles de sécu qui sont trouver dans le temps !

--
ptilou

[bus.error]

Ce qui me dérange, c'est les contrats juteux de calcul des signatures et
rechargement des badges qui sont indirectement payés par nos impôts pour
pouvoir utiliser un système Vigik (Pompier, Police, Renseignement...)
alors que le système ne répond plus aux recommandations du jour et que
le badge du résident est clonable chez le cordonnier du coin (et je
parle même pas des simples TAG 125 KHz).

--
bus.error