Sécurité RFID anti piraterie

[invitefa96bd8f]

Bonjour à tous,

J'ai quelques difficultés à comprendre les technologies de cryptage dans la mesure ou je n'ai pas de connaissances particulières sur le sujet.
L'exemple donné est factice, il s'agit là de comprendre un principe de fonctionnement.

Mon entreprise fabrique des lampes sur pied et des ampoules. Le client qui utilise ma lampe n'a que le droit d'utiliser mes ampoules et je souhaite éviter qu'il utilise des ampoules de la concurrence.

Pour ce faire,

Je place dans le pied de ma lampe un lecteur RFID. Je place dans chaque ampoule une puce RFID. Quand le client veut installer une nouvelle ampoule, il vient la coller contre le pied, et la lampe autorise l'utilisation pendant 1000h (on veut savoir si l'ampoule est reconnue avant d'être montée sur le tabouret, le lecteur se trouve obligatoirement dans le pied et non pas dans le culot). La puce RFID de l'ampoule enregistre le fait d'avoir été scanné. Si on retente d'utiliser cette ampoule sur une lampe à pied, elle sera refusée.
Bien sur, le client pourrait scanner mon ampoule et monter une ampoule de la concurrence: au bout des 1000h il devra racheter une de mes ampoules, ce qui est le but. Donc pas de problème de ce côté.

Le contenu de la puce RFID de l'ampoule est sécurisé (prenons un exemple concret :mifare desfire ev2, avec chiffrement AES non cracké à ce jour). Chaque ampoule est identifiée par un contenu crypté unique. Il est impossible de copier son contenu sur une puce vierge sans avoir les clés de chiffrement.
Une fois scannée on enregistre de manière crypté qu'elle a déjà été utilisée dans l'ampoule; le numéro unique est sauvegardé dans la lampe et blacklisté.

Problème:

Le client achète 5 lampes sur pied et une ampoule.
Il scan l'ampoule sur la lampe du salon. Lors du scan, il place un scanner à proximité et regarde la trame envoyée par la lampe, et la réponse de l'ampoule (même si il n'arrive pas à comprendre ce qui à été échangé car crypté). La puce RFID de l'ampoule est désactivée (ou contient la donnée "déjà servi") et son identifiant unique blacklisté de la lampe de salon.

Le client attends maintenant que la lampe de la cuisine envoie la trame de lecture pour reconnaître l'ampoule, et avec son émulateur il répond exactement les mêmes bits que ceux enregistrés avec la lampe de salon.

Il peut faire de même avec les 3 autres lampes, ce qui lui permet d'acheter une ampoule chez moi,et 4 à la concurrence.

Les lampes n'ont pas de possibilité de communiquer entre elles ou avec un serveur.

Est ce que mon raisonnement est faux ? si non, existe t il un moyen d'éviter ce type de manipulation ? Si oui, qu'est ce que j'ai loupé ?

Merci à ceux ayant eu le courage de me lire
Merci à ceux pouvant me répondre
-----

[nornand]

Bjr, piouffffff , c'est tarabiscoté comme démarche , une solution toute bête un culot d'ampoule dédié.

Commercialement la clientèle va vite fuir ce comportement qui en fait un client captif . (ceci est un autre débat)

[f6exb]

Ça ressemble à de l'obsolescence programmée. Même arnaque que les cartouches d'encre.

[invitefa96bd8f]

J'ai pris l'exemple de l'ampoule et de la lampe pour que le concept soit accessible à tous, pour pouvoir se concentrer sur le principe de protection du consommable (et non sur le bien fondé de l'introduction de cette technologie). J'espère ne pas apporter plus de confusion qu'autre chose en donnant la situation réelle :

Nous souhaitons équiper nos filtres pour machines agricoles de cette technologie. Certains clients achètent volontairement du filtre chinois moins cher, d'autres, et là c'est encore plus gênant, achètent notre marque et se retrouvent avec de la contrefaçon chinoise. Dans 90% des casses dans la chaine de composants hydrauliques, un filtre "non genuine" a pu être retrouvé.

Pour reprendre l'analogie, le culot d'ampoule dédié est la solution actuellement utilisée. Les chinois n'ont pas attendus longtemps pour faire les mêmes.

Effectivement c'est le même principe que pour les cartouches d'encre.

Il y aura probablement des personnes qui vont continuer à vouloir acheter du chinois tout en scannant notre filtre auparavant, mais l'attrait financier aura dans ce cas disparu, cela devrait réduire le nombre d'utilisation "frauduleuses"

[A voir en vidéo sur Futura]

[nornand]

BSR si on part sur du filtre hydraulique , c'est une autre affaire , le corps du filtre étant métallique , un puce radio interne n'est pas envisageable ( cf cage de Faraday) ,je partirait vers une étude plus orientée TAG NFC qui peut se coller sur l'extérieur du filtre . A ce stade c'est purement théorique car la copie est toujours possible.
A voir le CDC .

[invitefa96bd8f]

Le TAG RFID serait dans le carton avec le filtre. L'utilisateur prends le TAG, le scan sur le lecteur du tracteur, et l'ecran valide que le filtre est original.
Bien sur, avec ce système, on ne peut pas être sur que l'utilisateur monte vraiment le filtre scanné, mais il n'y a financièrement parlant aucun intérêt à ne pas le faire, vu que le TAG n'est plus utilisable.

Ma question assez généraliste est : si le pirate écoute une unique conversation valide, il pourrait fabriquer un émulateur et transmettre au lecteur les mêmes bits qu'il a écouté, ou bien il y a quelque chose que je n'ai pas compris.

PS: Le NFC est une forme de RFID, 13.56 MHz.

[Vincent PETIT]

Bonjour,

Ma question assez généraliste est : si le pirate écoute une unique conversation valide, il pourrait fabriquer un émulateur et transmettre au lecteur les mêmes bits qu'il a écouté, ou bien il y a quelque chose que je n'ai pas compris.

La toute première question est peut-être plus simple ; et si l'utilisateur ne scan rien du tout et qu'il continue à mettre des filtres contrefait, il se passerait quoi ?

J'imagine rien du tout ? Si ? Y a-t-il des mécanismes de blocage dans un traceur ? Est-ce que le filtre peut-être refusé et le tracteur bloqué si pas de scan ? Est ce que le tracteur s'aperçoit d'un filtre démonté ?


********

Pour moi il y a deux problèmes pour réaliser ce que tu souhaites faire

1) Il faut de l'intelligence des deux côtés ; tracteur et filtre. Par exemple si le tracteur voit que le filtre est contrefait il doit réagir (ne démarre pas, un voyant alarme allumé, une limitation de la vitesse, ...) sinon ça ne sert pas à grand chose. Est ce que de l'électronique peut-être placé dans le filtre ? Car dans ce cas on peut très bien mettre en place un système de cryptage genre clé RSA (il y a un échange entre le filtre et le tracteur, ce dernier contient une clé privé et le filtre la clé publique). Si le numéro de cryptage dans le filtre, qu'on réalise avec la clé publique qui peut-être connue, n'arrive pas à être déchiffrée par la clé privé et secrète dans le tracteur alors le filtre est contrefait.

2) Je suis presque sur qu'il y aurait un problème législatif à "verrouiller" un filtre de la même marque que le tracteur au nom de la libre concurrence et de l'existence des produits génériques. Ce n'est pas John Deer qui en a fait l'expérience en voulant que la maintenance ne puisse être réalisée que par lui ? Les fabricants automobiles se sont fait aussi avoir avec ça, avant la garantie du véhicule n'était valable que si vous alliez chez le concessionnaire de la marque mais aujourd'hui cette pratique est interdite. Même les fabricants de cartouches d'encre s'y sont pliés (pas de monopole)


Désolé pour les fautes d'orthographe, j'écris depuis mon téléphone.

[nornand]

Honnêtement je ne vois pas de solution viable pour éviter la monte d'autres filtres , si ce n'ai un bonne communication au niveau commercial .
L'investissement et les contraintes techniques me paraissent disproportionnés par rapport a l'enjeu économique . De plus le client hors garantit peut bien faire ce qu'il veut de sont matériel , les réparations se factures une fois la pompe HP grillée.
Une simple étiquette de mise en garde collée a proximité du / des filtres sera tout aussi efficace .

[invitefa96bd8f]

La toute première question est peut-être plus simple ; et si l'utilisateur ne scan rien du tout et qu'il continue à mettre des filtres contrefait, il se passerait quoi ?

Il y a plusieurs scénarios possibles qui dépendent de nos différents clients (à ne pas confondre avec l'utilisateur final), ne rien faire et enregistrer qu'aucun filtre n'est présent. On peut aussi limiter certaines fonctions, comme la prédiction de durée de vie restante du filtre (nos modèles de prédictions ne fonctionnent qu'avec nos filtres, forcément), ou la détection d'altération de qualité d'huile.
Dans tous les cas l'utilisateur final verra une indication si le filtre acheté est original ou copié. Le système est aussi là pour lui assurer ne pas s'être fait refourgué une copie chinoise par son fournisseur.
Bloquer la machine est comme tu l'as dis borderline d'un point de vue législatif.

Est ce que le tracteur s'aperçoit d'un filtre démonté ?

Si la machine tourne sans filtre, oui. Avec un autre filtre, pas forcément. Ce qui reviendrait à dire que le client achète un filtre original et une copie, scan notre original (à usage unique) et met en place le copié. C'est un scénario possible mais capillo-tracté.

1) Il faut de l'intelligence des deux côtés

Les puces RFID ont une certaines "intelligence", pas comme une carte magnétique

Car dans ce cas on peut très bien mettre en place un système de cryptage genre clé RSA (il y a un échange entre le filtre et le tracteur, ce dernier contient une clé privé et le filtre la clé publique). Si le numéro de cryptage dans le filtre, qu'on réalise avec la clé publique qui peut-être connue, n'arrive pas à être déchiffrée par la clé privé et secrète dans le tracteur alors le filtre est contrefait.

Ce point est très intéressant pour moi.
Je vois cet échange de la manière suivante. La machine demande "Hey, quel filtre es-tu ?", et la puce RFID répond "ffsd54cfsd, ma clé publique est "123abc""
La machine applique la clé publique au message, et comprends "Je suis un filtre original"
Qu'est ce qui empêche le pirate d'écouter une fois cette conversation, et de faire une puce qui réponds "ffsd54cfsd, ma clé publique est "123abc"", même si il ne comprends pas le sens de ce message ?

2) Je suis presque sur qu'il y aurait un problème législatif à "verrouiller" un filtre de la même marque que le tracteur au nom de la libre concurrence et de l'existence des produits génériques. Ce n'est pas John Deer qui en a fait l'expérience en voulant que la maintenance ne puisse être réalisée que par lui ? Les fabricants automobiles se sont fait aussi avoir avec ça, avant la garantie du véhicule n'était valable que si vous alliez chez le concessionnaire de la marque mais aujourd'hui cette pratique est interdite. Même les fabricants de cartouches d'encre s'y sont pliés (pas de monopole)

Tu peux aller dans la concession que tu veux. En cas de casse, la machine est expertisée pour départager les taux de responsabilité.

si ce n'ai un bonne communication au niveau commercial

On en revient au cas ou le client veut acheter notre filtre mais se retrouve avec une contrefaçon.

L'investissement et les contraintes techniques me paraissent disproportionnés

Le but est de protéger la machine, intrinsèquement cela protège le client et notre business. Une machine qui casse c'est une facture de 5 à 8 chiffres. De là à dire que mettre en place une puce RFID à 20cent par filtre est un cout disproportionné... bien sur si il faut passer à une puce qui coute 50€ par filtre pour se prémunir correctement, c'est une autre histoire.

[trebor]

Bonjour à tous,

Il n'y a aucun avantage (bien du contraire) pour un fabricant à produire des filtres qui vont casser un moteur ou gripper une installation hydraulique.

Les prix des pièces d'origines étant bien plus coûteuses que celles qui sont équivalentes mais d'autres marques ne m'ont jamais posé de problème sur le matériel qui ont reçus ces filtres et ce pendant mes 40 ans dans le métier.

Dans le secteur agricole, le filtre à air est la pièce la plus susceptible de provoquer une usure rapide du moteur.

Vendre les filtres et autres pièces d'origine à un prix raisonnable me semble la meilleure solution afin de concurrencer les autres marques qui proposent des équivalent.

[invitefa96bd8f]

Evidemment que le fabriquant chinois ne fait pas volontairement des filtres qui vont tout casser. Il s'agit en général de filtres avec une trop grande ou trop faible finesse de filtration par rapport à la préconisation constructeur. Qui ne possède pas de barrière anti microbienne ou encore de système prévenant l'accumulation de charges electriques. On peut encore citer le bloquage du passage d'eau ou d'air. Ou encore qui n'ont pas une finesse de filtration dynamique.

Le temps ou un filtre ne faisait que filtrer de la limaille ou de la poussière est loin. Il s'agit maintenant de pièce à hautes technicités et intégrations.

Je ne sais pas sur quelles machines ni dans quelle partie du globe tu as pu accumuler ton expérience. Tout ce que je peux dire, c'est que nos clients viennent avec une problématique et on essaie d'y remédier. Je ne viens pas demander une solution à mon problème industriel, juste de savoir si mon raisonnement est erroné et si ce n'est pas le cas, si une piste est possible pour pallier à ce que je pointe du doigt.

Je ne pensais pas déchainer les passions avec ce sujet

[Seb.26]

Est-ce que cela concerne des gros volumes, car la seule solution qui réponde à ton problème c'est de mettre dans la puce du filtre une info dédiée à la machine sur laquelle le filtre sera installé.

Mais cela veut dire soit la mise en place d'une grosse infrastructure de logistique (gros volume de vente) ou alors une personne qui fait le job (il lui faut : un logiciel sur PC + une BDD + un identifiant unique pour chaque machine).

De cette façon, un filtre ne pourra pas activer une autre machine que celle pour laquelle il a été vendu.

[annjy]

Bsr,

beaucoup d'intervenants en ont parlé...

Avant d'imaginer une solution technique, voir le problème législatif. (conseiller juridique ?)
Si c'est interdit au titre de la concurrence, de la fourniture de pièces génériques, c'est inutile de perdre son temps.(et son argent)

cdlt,
JY

[invitefa96bd8f]

Est-ce que cela concerne des gros volumes, car la seule solution qui réponde à ton problème c'est de mettre dans la puce du filtre une info dédiée à la machine sur laquelle le filtre sera installé.

Mais cela veut dire soit la mise en place d'une grosse infrastructure de logistique (gros volume de vente) ou alors une personne qui fait le job (il lui faut : un logiciel sur PC + une BDD + un identifiant unique pour chaque machine).

De cette façon, un filtre ne pourra pas activer une autre machine que celle pour laquelle il a été vendu.

Effectivement c'est une idée malheureusement comme tu l'as remarqué la logistique est trop importante, et le risque d’embêter le client plutôt que de le protéger est trop grand.

Si c'est interdit au titre de la concurrence, de la fourniture de pièces génériques, c'est inutile de perdre son temps.(et son argent)

Ce point à déjà été abordé

Il y a plusieurs scénarios possibles [...] ne rien faire et enregistrer qu'aucun filtre n'est présent. On peut aussi limiter certaines fonctions, comme la prédiction de durée de vie restante du filtre (nos modèles de prédictions ne fonctionnent qu'avec nos filtres, forcément), ou la détection d'altération de qualité d'huile.
Dans tous les cas l'utilisateur final verra une indication si le filtre acheté est original ou copié. Le système est aussi là pour lui assurer ne pas s'être fait refourgué une copie chinoise par son fournisseur.
Bloquer la machine est comme tu l'as dis borderline d'un point de vue législatif.

Mis à part cela, j'ai trouvé solution à mon problème

Ma question assez généraliste est : si le pirate écoute une unique conversation valide, il pourrait fabriquer un émulateur et transmettre au lecteur les mêmes bits qu'il a écouté, ou bien il y a quelque chose que je n'ai pas compris.

Nous pouvons voir dans ce document, page 5:
http://www.cs.ru.nl/~flaviog/publica...ing.Mifare.pdf

During the anti-collision phase, the tag sends its uid u to the reader. The reader then asks to authenticate for a specific sector. The tag sends a challenge nT . From this point on, communication is encrypted, i.e., XOR-ed with the keystream. The reader responds with its own challenge nR and the answer aR := suc64(nT ) to the challenge of the tag; the tag finishes with its answer aT := suc96(nT ) to the challenge of the reader. See Figure 2.3. Note that later on we will send messages aR that deviate from
this protocol; this will be explained in Section 4.

Donc le lecteur ne doit pas simplement envoyer un mot de passe prédéfini, il y a une véritable authentification, le TAG génère un challenge par divers procédés, et le reader n'arrive à répondre correctement que si il connait la clé de cryptage. La probabilité que le TAG envoie deux fois le même challenge est infime. Donc écouter la conversation pour bêtement répéter via émulateur plus tard ne fonctionne pas.

À quel point cette authentification est sûre, c'est une autre histoire (on voit bien que le Mifare classic est mauvais).
Il semblerait que le DESFIRE EV2 ou le Ultralight C ne soient pas encore crackés.

[Vincent PETIT]

Salut,
Alors dans ce cas il faut peut être simplement choisir un cryptage AES ou DES.

Dans le filtre il y a une clé et dans le tracteur aussi (là même). Le tracteur envoi un nombre aléatoire au filtre, disons 12345, le filtre reçoit 12345 le crypte avec sa clé ce qui donnerait par exemple ac2vs3d1n31ww1sfsb151f0s00d1g et renvoi ça au tracteur. Ce dernier crypte de son côté le nombre aléatoire qu'il a envoyé et compare la valeur cryptée avec celle que le filtre lui a envoyé soit ac2vs3d1n31ww1sfsb151f0s00d1g.

Si les deux valeurs sont identiques alors le filtre est un original. Sinon c'est une copie.

Si une contrefaçon se base sur une pale copie du dialogue entre un filtre constructeur et un tracteur il y aura un problème car le tracteur envoi un nombre pris au hasard (rien qu'un code à 5 chiffres peut générer 120 possibilités, alors imagine si jamais il y a des lettres dedans sachant qu'il n'y a que toi et le tracteur qui connaissent la clé en plus !)



Sources : https://www.it-connect.fr/les-cles-asymetriques/, https://www.it-connect.fr/les-cles-symetriques/

[invitefa96bd8f]

Oui les MIFARE Ultralight C utilisent "3DES in CBC mode", je ne savais pas que des TAG rfid avaient la possibilité de crypter des choses, je pensais qu'il s'agissait plus ou moins de mémoire programmable.

Donc de ce côté, problème résolu, merci à tous