Journal Bye bye les tags mifare

Posté par  (site web personnel) .
Étiquettes :
0
3
jan.
2008
Les cartes mifare sont des tags RFID bas-coût utilisé un peu partout. En gros, c'est comme un passe
Navigo simplifié (les parisiens comprendront). Ca fait des cartes qui fonctionnent à environ 5 cm
de distance d'un lecteur RF. Les cartes Mifare peuvent stocker de 256 à 1024 octets de façon dite
sécurisée.

Pour les boites comme la mienne qui bossent dans la carte à puce, les mifare sont une chienlit. Tout
le monde les utilise, elles ne coûtent pas cher, elles font de la crypto propriétaire ce qui fait
qu'il faut aussi un lecteur ou chipset Philips pour les lire. Et tout le monde était content parce
que "ca marche". On peine à justifier pourquoi on propose un truc plus cher avec du DES.

Et bien maintenant, ça ne marche plus: la crypto mifare a été cassée par Karsten Nohl et Henryk Plötz, et pas qu'un peu:
http://www.ziki.com/en/groups/craft/archives/5925269-24c3-mi(...)


Pour ceux qui n'ont pas le temps de regarder la vidéo mais veulent quand même se payer une bonne
tranche de rigolade, voici les points à retenir:

- la crypto est basée sur un random 16 bits, c'est à dire qu'il y a 65 000 valeurs possibles du
random. Il cycle environ toutes les secondes.

- le random (et c'est là le plus drôle) ne dépend que de la durée d'allumage de la carte. Même durée
d'allumage, même random.

- la pseudo-authentification des cartes basée sur une numéro unique de carte est tellement faible
que n'importe que utilisateur peut prétendre en être un autre avec une simple attaque "man in the
middle" et quelques XOR.

Le plus instructif, c'est pas à quel point la sécurité par l'obscurité ne marche pas, c'est à quel point
l'obscurité est là pour cacher l'absence de sécurité.

Jusqu'ici, on a déjà complètement cassé la sécurité d'un système mifare, mais on a pas encore
attaqué les cartes. On a juste mis à jour les gouffres de sécurité lié à la conception.

Ensuite, nos deux amis ont réellement cassé l'algo en analysant le silicium. Ce fut facile au final, c'est celui_là:
http://en.wikipedia.org/wiki/Linear_feedback_shift_register#(...)

Pour casser une clé mifare avec une attaque par la force brute, il faudrait:
- une semaine sur un FPGA à 100$
- une journée sur un FPGA à 700$

je vous laisse imaginer la suite.

Les cartes mifare sont utilisées vraiment partout, notamment pour du contrôle d'accès, des
porte-monnaies, des cartes de transport, ... Par exemple, la carte Oyster du métro londonien est une
mifare.

Un grand merci a Karsten et Henryk, grâce à lui, ma boite va pouvoir mieux faire son boulot. En
effet, il y a de par le monde des boites qui implémentent correctement la sécurité. Sauf qu'on a du
mal à vendre nos solutions correctement sécurisées parce que ca coûte trop cher et que ca apporte
aucun avantage par rapport à une mifare. Maintenant, ca sera
un peu plus facile.

Quand je dis que les boites comme la mienne vendent des trucs correctement sécurisé, c'est à dire que on utilise des algos de
clés publiques, connus et reconnus, qu'on applique les recommendations de sécurité, que nos cartes
passent en laboratoire et que les labos s'amusent à essayer de les peter dans tous les sens sans
succès.

Les conséquences de ce craquage, c'est pas la fin de la carte à puce, c'est au contraire le début de
la reconnaissance que faire un microcontrolleur et faire une carte à puce sécurisée sont deux choses
bien différentes.

A noter par exemple que le passe Navigo est basé sur de la vraie sécurité, c'est à dire des algos
publiques et en l'occurence un DESX. La plupart des cartes déployées au niveau institutionnel
(Vitale, Carte Bleue, ...) utilisent de la vraie sécurité. Par contre, pour l'ouverture à distance
de votre voiture ou pour pénétrer dans la zone hyper-sécurisée de votre société, c'est une autre
histoire
  • # Navigo

    Posté par  (site web personnel) . Évalué à 2.

    >>> A noter par exemple que le passe Navigo est basé sur de la vraie sécurité

    Peut-être mais le problème de Navigo c'est la vie privée. Actuellement j'achète une carte orange tous les mois et donc je peux me déplacer anonymement sans problème.
    Avec une carte Navigo tous mes déplacements seraient enregistrés dans une base de données ce qui pose évidemment un problème.
    Il y a deux jours j'ai vu sur une affiche que la carte orange allait disparaître et que le Navigo serait obligatoire si on veut une carte mensuelle.
    C'est une grosse régression de la liberté d'aller et venir anonymement !
    L'ennui c'est que quand j'essaye d'en discuter autour de moi (auprès de mes collègues de travail par exemple) la seule réponse que j'ai c'est : "Boarf..ranapéter....j'ai rien à me reprocher"
    • [^] # Re: Navigo

      Posté par  . Évalué à 1.

      Bah ouais, on peut aussi répondre : Avec une carte Navigo tous mes déplacements seraient enregistrés dans une base de données ce qui pose évidemment un problème.

      Mmm... Tu peux développer ?
      • [^] # Re: Navigo

        Posté par  (site web personnel) . Évalué à 4.

        Il est sûr que la RATP stocke les données de déplacement, tout simplement pour... Gérer les flux à long terme.
        Tout comme avec la carte Orange (la seule chose qui change : pour Navigo annuel, faut un RIB)

        Mais bon, oui, on s'en fout, d'une parce que la CNIL a autorisé la RATP a stocker ces données si ellent sont anonymisées, et qu'elles servent qu'un but : gérer les flux, anticiper, voir qui va de où vers où, afin que plus tard on construise des lignes adaptées (ça sert à rien de construire une ligne qui n'amélirorera pas les flux).

        Les libertés individuelles, c'est bien joli, mais de dire "on tue la liberté" avec juste le passe Navigo, hop ca décribilise le mot d'un coup.
        la RATP trace les mouvements de façon anonyme, et c'est très bien.
        Et si on part par la, va falloir interdir aux FAI de monitorer les flux, car eux aussi font des études sur le réseau pour savoir quoi va vers où, et ils peuvent aussi relier avec le compte de la personne... les admin réseaux vont être vachement emmerdés... (Les admin réseaux se foutent de qui est derrière, le but est de gérer les flux, comme la RATP...)
        • [^] # Re: Navigo

          Posté par  . Évalué à 1.

          Euh, enfin, quand un problème de base de données CNIL atteint le Canard enchaîné, c'est dire si c'est gros (la semaine dernière).

          En gros, la CNIL _n'a pas autorisé_ la RATP a constitué sa base avec noms (elle n'a pas besoin des noms pour gérer les flux, un numéro suffit).

          La seul chose obtenu, après acharnement c'est un passe anonyme 5€ plus cher.

          Le pass standard ne l'est pas.

          P.S. oui c'est gros de dire que ça tue les libertés, c'est juste une petite entorse qui peut être pénible (l'information sur les déplacement de quelqu'un peut être mal utilisé(cambriolage, chantage, toussa) et pas vraiment "bien" utilisé (en tout cas pas par la RATP: pensé aux terroristes, p'tit n'enfant toussa)).
          • [^] # Re: Navigo

            Posté par  . Évalué à 2.

            J'ai pas bien cerné le problème.

            Effectivement pour gérer les flux il y a pas besoin de savoir que machin (ou la même personne) est allé de A à B à telle heure, mais juste que quelqu'un l'a fait (en fait surtout combien) et c'est logique que la CNIL n'ait pas autorisé l'enregistrement de données nominatives.

            Mais le système peut très bien 'oublier' qui a fait le trajet à l'enregistrement du trajet, justement, donc ou est le problème ?
          • [^] # Re: Navigo

            Posté par  . Évalué à 1.

            La seul chose obtenu, après acharnement c'est un passe anonyme 5€ plus cher.

            Et encore, l'anonymat du passe en question c'est du foutage de gueule. On est quand même obligé de donner son nom et ses coordonnées pour acheter ce badge (mais on peut en acheter un pour quelqu'un d'autre). Bref au lieu d'avoir une correspondance voyageur-carte on a une correspondance propriétaire-carte, ce qui revient au même dans 99.9% des cas, le tout pour plus cher. On voit bien que ça les faisait chier et qu'ils ont sorti une offre sans aucun intéret juste pour ne plus se faire pourrir par la CNIL.
            • [^] # Re: Navigo

              Posté par  (site web personnel) . Évalué à 3.

              encore un badge à faire au nom de Dave Null mais avec mon vrai nom dessus écrit au stylo bic alors ?
        • [^] # Re: Navigo

          Posté par  . Évalué à 2.

          Il est sûr que la RATP et la SNCF stockent les données de déplacement, tout simplement pour... Gérer les flux à long terme.


          ... et aussi pour être payées! En effet, lorsque vous achetez vos billets/cartes oranges/intégrales/..., l'argent est perçu par le STIF et non pas par la RATP ou la SNCF. La redistribution des sommes perçues est ensuite faite en fonction du nombre de passagers transportées par chaque société. Le stockage des données de déplacement via les pass Navigo permet d'affiner la répartition des revenus.

          Avant le pass navigo, c'est le point d'achat des billets qui comptait. Ainsi, un billet de Metro acheté à St Michel en zone SNCF (RER C) puis utilisé sur la ligne 10 (donc RATP) rapportait des sous à la SNCF et non pas la RATP!
          • [^] # Re: Navigo

            Posté par  (site web personnel) . Évalué à 3.

            Moui, enfin c'est pas super précis comme solution :
            Exemple :
            Trajet nation/Gare du nord

            Plusieurs options possible :
            RATP seule : Metro ligne 2 directe ou RER A/RER B
            RATP/SNCF : RER A/ RER D ( via chatelet/gare de lyon)

            Qui paye quoi dans ce cas. les quais RER D/RER B etant communs a gare du nord.

            En plus je ne compte pas les fois où (honte sur moi), je n'ai acheté de billet de RER que jusqu'a la station limite des zones couvertes par mon abonnement (en partant d'une station hors de ces zones), je n'ai jamais eu aucun probleme pour passer les portiques.

            Alors bon, niveau securité, ils pourraient faire largement pire je pense.
            • [^] # Re: Navigo

              Posté par  . Évalué à 1.

              Qui paye quoi dans ce cas. les quais RER D/RER B etant communs a gare du nord.


              Oui, mais les quais ne sont pas communs à Châtelet. Il est donc possible de déduire le RER emprunté en regardant les quais d'entrée et de sortie.

              A mon souvenir, il y a au plus une gare avec tourniquets RATP/SNCF commun par ligne RER.
          • [^] # Re: Navigo

            Posté par  (site web personnel) . Évalué à 1.

            Avant le pass navigo, c'est le point d'achat des billets qui comptait. Ainsi, un billet de Metro acheté à St Michel en zone SNCF (RER C) puis utilisé sur la ligne 10 (donc RATP) rapportait des sous à la SNCF et non pas la RATP!


            Ce serait pas pour cette raison que certaines gares SNCF de province vendaient des tickets RATP il y a quelques années et que maintenant ce n'est plus le cas ? (pour éviter de donner des sous à la SNCF alors que ce sera sûrement pour emprunter le réseau RATP)

            Enfin, ces mêmes gares les vendent maintenant généralement au "relai hachette".
    • [^] # Re: Navigo

      Posté par  (site web personnel) . Évalué à 3.

      étant donné que cela était initialement annoncé pour décembre (mais repoussé vers juin visiblement), je me suis tout de même renseigné (vi vi moi aussi j'achète une carte orange chaque mois) :
      - il y a le navigo de base qui te fait en gros économiser un mois sur l'année, avec conservation de ton nom, photo 4 mois (je crois) toussa
      - et un navigo non rattaché à ton nom que tu paies genre 5 euros de plus chaque mois, mais sans les garanties (changement ticket/pass lors perte et autres trucs que je n'ai de toute façon pas avec la carte orange non plus)
      Je suis donc reparti de nouveau avec ma carte orange mensuelle (avec le rabais lié aux grèves).
      'fin j'ai pas tout compris et vu qu'il n'y avait pas l'air d'y avoir de doc' claire dans la gare où je suis allé... je suis preneur d'infos (j'avais cru voir passer un journal sur un début de mise en conformité de la RATP avec les directives de la CNIL pourtant...).
      Pour l'instant, faut pas se leurrer, les trajets sont rapprochés du numéro du ticket de carte orange (pas le numéro de ma carte orange que je mets à la main hein :) ), éventuellement de ma carte bleue (je n'ai que peu de doute là dessus...) quitte à avoir un identifiant unique quand même.
      • [^] # Re: Navigo

        Posté par  . Évalué à 1.

        Euh non, le "navigo découverte" anonyme (que j'ai pris ce mois-ci pour remplacer ma carte orange) c'est 5€ à l'achat (enfin, l'activation), pas 5€ de plus chaque mois (ce serait vraiment gros sinon). Donc le navigo de base ne te fait pas économiser 1 mois.
    • [^] # Re: Navigo

      Posté par  (site web personnel) . Évalué à 4.

      C'est une grosse régression de la liberté d'aller et venir anonymement !

      Tu peux toujours acheter un ticket de métro.

      Et si tu ne veux pas payer tu peux aussi frauder :P
      • [^] # Re: Navigo

        Posté par  . Évalué à 1.

        Imaginons que j'ai une carte navigo avec une carte orange "toutes zones" et pour éviter d'être tracer je "fraude" (je saute la barrière pour entrer au lieu de valider la carte).

        Quelques couloirs, metro et rer plus loin, je suis contrôlé par des agents assermentés ("contrôle des billets svp !", ensuite ils déchirent le billet, non ma carte !). Sont-ils capables de détecter que j'ai sauté le portillon d'entrée ?
        • [^] # Re: Navigo

          Posté par  . Évalué à 2.

          A Lyon ils savent ou tu as validé quand ils controlent la carte, donc je suppose que oui.
          • [^] # Re: Navigo

            Posté par  (site web personnel) . Évalué à 1.

            Oui.

            A chaque fois que tu passes un portique, l'heure et le nom du portique sont stockes sur la carte. Si ils verifient ton passe navigo, ils verront que la derniere entree est trop vieille par rapport à ton voyage actuel.

            Cela dit, dans bien des cas, le passe navigo est juste regardé, pas vérifié.
        • [^] # Re: Navigo

          Posté par  (site web personnel) . Évalué à 3.

          Imaginons que j'ai une carte navigo avec une carte orange "toutes zones" et pour éviter d'être tracer je "fraude" (je saute la barrière pour entrer au lieu de valider la carte).

          ...Et comme ça, personne ne sait que tu a besoin d'aller du point A au point B, et donc lors des prochaines études de tracé de ligne, ton besoin ne sera pas pris en compte.
          C'est un choix. Que je ne comprend pas, mais c'est un choix.

          J'imagine que tu ne vas pas voter non plus? Parce que quand tu vas voter, ta mairie sait que tu as voté (ben oui, pour que tu ne votes pas 2 fois), oh malheur tu es tracé de la même manière qu'à la RATP (on sait ou tu étais ce Dimanche la, pas loin de ton bureau de vote, comme on sait que tu es allé pas loin de la bouche de métro)...

          A pousser votre délire, allez-y jusqu'au bout, ne venez pas poster ici non plus, Linuxfr peut vous tracer... le 3/1/2008 a 23:52, tu étais devant ton clavier. et les admins doivent connaitre ton @IP (obligation légale en cas de propos pouvant aller devant un juge, tu n'es pas anonyme sur LinuxFr), donc savent exactement à quel endroit tu étais à cette heure-ci... La RATP connait juste un déplacement, pas la d'où tu viens et la où tu vas, Linuxfr te localise a 30m près (ou alors, tu as une grande maison :) ). Pourquoi deux poids, deux mesures? LinuxFr est plus dangeureux que la RATP question traces, pourquoi commencer par la RATP?
          • [^] # Re: Navigo

            Posté par  . Évalué à 2.

            ...Et comme ça, personne ne sait que tu a besoin d'aller du point A au point B, et donc lors des prochaines études de tracé de ligne, ton besoin ne sera pas pris en compte.
            C'est un choix. Que je ne comprend pas, mais c'est un choix.

            Pour remettre les choses dans leur contexte.

            Grosso modo que la RATP utilise des barrières. Essaie d'aller sur le quai d'une gare SNCF, et tu verras le plus souvent aucune barrière, et aucun composteur 'navigo'. Des composteurs "banlieux" (ceux qui font juste un trou, et mettent la date/heure)

            En tout cas saint lazare c'est comme ça, et toute la ligne L..

            Et pourtant ils font bien des tracés de lignes etc...
            • [^] # Re: Navigo

              Posté par  (site web personnel) . Évalué à 1.

              Question subsidiaire:
              Si j'ai un abonnement toutes zones et que je saute les barrières, suis je passible d'une amende lors d'un controle??
              -Oui j'ai sauté les barrières.
              -Non je paye mensuellement mon abonnement toute zone.

              Vous avez 2 heures...
              • [^] # Re: Navigo

                Posté par  . Évalué à 3.

                sachant qu'un pote avait sauté les barrière avec un billet valide (la barrière marchait mal), et trois militaires l'avait vu. Ben il leur a montré le billet et expliqué le probème et y 'a pas eu de problème. Ensuite si c'est légal ou pas ça je sais pas.

                Ensuite la barrière peut aussi servir pour composter le billet, dans ce cas il est évident que sauter au dessus n'est pas légal.
                • [^] # Re: Navigo

                  Posté par  (site web personnel, Mastodon) . Évalué à 3.

                  Ensuite si c'est légal ou pas ça je sais pas.

                  A Paris, dans le réseau RATP, pour sûr, ce n'est pas légal. cf. http://www.ratp.info/informer/validation_titres.php

                  Extraits :
                  Dans tous les cas, la validation est obligatoire.

                  Si vous possédez un passe NAVIGO, vous devez le valider en l'approchant du centre de la zone violette, que ce soit sur le métro, le bus, le RER ou le tramway.

                  [...]

                  N'oubliez pas : en l'absence de validation, vous êtes considéré comme voyageant sans titre de transport, donc en infraction.
                  • [^] # Re: Navigo

                    Posté par  (site web personnel) . Évalué à 1.

                    L'extrait de la ratp que tu cites est on ne peut plus clair, mais perso si je me prend une prune alors que je suis abonné à l'année et que je circule dans ma zone d'abonnement je peux te garantir que je ne la pairai pas. Et ils peuvent faire autant de relance qu'ils veulent et m'envoyer les huissiers, j'aimerai bien savoir comment ils vont me traiter de fraudeur une fois au tribunal...
                    • [^] # Re: Navigo

                      Posté par  (site web personnel) . Évalué à 3.

                      Et ils peuvent faire autant de relance qu'ils veulent et m'envoyer les huissiers, j'aimerai bien savoir comment ils vont me traiter de fraudeur une fois au tribunal...

                      Tu sais que certaines administrations n'attendent pas ton autorisation pour prélever automatiquement sur ton compte, ou bloquer une partie de la somme due ?

                      Bien sûr ce genre de blocage peut être facturé par ta banque. Au final, a moins que tu n'aies du du temps à perdre, tu payes et puis c'est tout.
                      • [^] # Re: Navigo

                        Posté par  . Évalué à 2.

                        Hé oui, c'est ça qui est hallucinant de nos jours. On est obligé d'avoir un compte bancaire, ne serait-ce que pour pouvoir travailler et gagner un salaire, tandis que les banques nous font payer pour qu'on leur fasse l'honneur de se faire de l'argent sur le notre.

                        Lorsque l'État a besoin de se servir, il sait où le faire, et une saisie sur compte bancaire engendre de gros frais bancaires en parallèle (j'avais eu pas loin de 70 € de frais pour une saisie de... 19 € !). Et si ton compte n'est pas assez approvisionné, l'État n'hésite pas à procéder à des saisies sur salaires, sans même te prévenir.

                        Le plus rageant dans tout cela, c'est que même si tu es dans ton droit, même si t'es presque à la rue, l'État n'en a rien à faire, tu dois payer avant même d'envisager contester la chose, et tant pis si tu n'as plus de quoi te payer à bouffer.
                        • [^] # Re: Navigo

                          Posté par  (site web personnel) . Évalué à 3.

                          On est obligé d'avoir un compte bancaire, ne serait-ce que pour pouvoir travailler et gagner un salaire

                          Moi je trouve que c'est un énorme avantage : on n'a pas à avoir du liquide tous les fins de mois, qu'on peut facilement te voler. Cette "obligation" est pour moi un super-avantage.
                          tandis que les banques nous font payer pour qu'on leur fasse l'honneur de se faire de l'argent sur le notre.

                          L'ouverture d'un comtpe bancaire coûte... 0 €. Si si, 0. Zéro. Avec un chéquier en plus (gratuit, mais qui coûte à la banque, si si...). Et il y a même des banques qui poussent le vice à t'offrir une carte de retrait dans les DAB gratuite!
                          Si c'est pour ton salaire, tu ouvre un compte, et retire les sous le jour même de l'arrivée de ton salaire, le tout pour 0 €uros, alors que la banque a des frais de gestion.
                          Alors, OK les banques se font du fric sur notre fric, mais surement pas avec la gestion basique d'un compte bancaire.

                          (j'avais eu pas loin de 70 € de frais pour une saisie de... 19 € !).

                          C'est à se demander pourquoi tu ne les a pas payés aussi... Tu aimes les ennuis. Et gérer un impayé coûte très cher (prcédure manuelle), je trouve normal que ce soit celui qui emmerde le monde qui paye, plutôt que la collectivité (les impôts des autres).

                          Et si ton compte n'est pas assez approvisionné, l'État n'hésite pas à procéder à des saisies sur salaires,

                          mmm... L'état travaille pour toi (route, école, santé, police et j'en passe), et il aime bien être payé pour cela, je ne vois pas où est le problème, surtout si tu as un salaire. Et pour te choquer, il n'y a pas que l'état qui fait ça, un bailleur peut demander à la justice de faire de même à un locataire qui abuse, le parent d'un enfant peut aussi le faire pour l'ex-conjoint qui refuse de payer la pension alimentaire etc... Et c'est normal! tu as des obligations, assume-les ou va au fond d'une forêt, l'état ne te demandera rien.

                          Tout ce dont tu râles, je trouve que soit c'est un petit mensonge, soit c'est 100% normal. Faut arrêter de faire le grincheux et assumer la vie en société, on alors ne pas vivre en société avec toutes ses conséquences (nourriture, santé etc...)
                          • [^] # Re: Navigo

                            Posté par  . Évalué à 2.

                            >> Faut arrêter de faire le grincheux et assumer la vie en société, on alors ne pas vivre en société avec toutes ses conséquences (nourriture, santé etc...)

                            C'est impossible de ne pas vivre en société : lorsque des groupes cherchent à le faire, l'État n'apprécie pas du tout et fait tout pour les en empêcher.

                            Faut arrêter de parler de ''choix de vivre en société''...
                            • [^] # Re: Navigo

                              Posté par  (site web personnel) . Évalué à 3.

                              > C'est impossible de ne pas vivre en société : lorsque des groupes cherchent à le faire, l'État n'apprécie pas du tout et fait tout pour les en empêcher.

                              Forcément ça se fait toujours sur son territoire... Et à part les eaux internationales (et les DMZ), c'est limité les zones neutres
                            • [^] # Re: Navigo

                              Posté par  (site web personnel) . Évalué à 3.

                              En France, il y a je ne sais pas combien de zones forestières, avec plein de grottes, Et personne pour venir t'embêter, vraiment personne. Tu peux disparaitre sans aucun problème, je peux te donner des indications d'endroits si tu veux te perdre dans la nature hors de la société.
                              Mais... il faut en avoir envie, car dans ce cas, tu vas passer ta journée à chercher à boire et à manger, mourrir d'une blessure à la con leors d'une petite chute et en fait... Personne n'a envie de ça, les gens ont envie de vivre en société.

                              C'est facile de dire que ce n'est pas possible, mon analyse est différente : tu veux ne rien devoir à la société, mais aprécie ce qu'elle t'apporte (genre une connexion Internet pour mouler ici). Désolé, mais rien que pour avoir une connexion Internet, faut accepter de vivre en société, c'est juste que tu ne veux pas au fond de toi vivre hors de la société mais dit le contraire pour te la jouer "contre le système"...
                              • [^] # Re: Navigo

                                Posté par  . Évalué à 2.

                                Tu ne peut pas, y'aura toujours un garde chasse, pour te faire chier parce que tu n'a pas de permis ! Ben oui meme pour manger un lievre il faut passer par la société.

                                ♪♬♬♩ ♫♪♬♩ a parlé de contester dans son message, p-e que la somme prélevé par l'État n'etais pas d^ue, tu juge sans savoir.

                                Et puis le premier mauvais payeur de France ben c'est l'État justement :D
                              • [^] # Re: Navigo

                                Posté par  . Évalué à 1.

                                Essaye de vivre en dehors de la société et tu verra comment l'état réagi aussitôt que tu cherchera à construire un habitat et à chasser.

                                Demande à ceux qui ont essayés en groupe : ils se sont fait arrêter puis accusés d'être un mouvement sectaire. Et viens pas me dire qu'ils n'avaient pas envie : ne pas vivre en société c'est simplement interdit.

                                Et me fait pas dire que je n'ai pas envie de vivre en société. Je dis juste qu'il est impossible de parler de choix.
                              • [^] # Re: Navigo

                                Posté par  . Évalué à 2.

                                Mais... il faut en avoir envie, car dans ce cas, tu vas passer ta journée à chercher à boire et à manger, mourrir d'une blessure à la con leors d'une petite chute et en fait... Personne n'a envie de ça, les gens ont envie de vivre en société.


                                Hum, ça me rappelle quelque chose, mais quoi ?
                                Ah oui, c'était quelque chose du genre :
                                « Mais... il faut en avoir envie, car dans ce cas, tu vas passer ta journée à chercher des pilotes libres et à les configurer, être refoulé à cause d'un navigateur incompatible lors d'un petit surf et en fait... Personne n'a envie de ça, les gens ont envie de s'installer Windows. »

                                Une vague histoire de barbe et de coût de la liberté, quoi...

                                Cela dit, je dis ça, je dis rien, et vous pouvez toujours me chercher, je suis déjà dehors (dans ma grotte).
                          • [^] # Re: Navigo

                            Posté par  . Évalué à 1.

                            C'est à se demander pourquoi tu ne les a pas payés aussi...
                            Tu ne sais rien de l'histoire et tu lui fait la morale ?
                            Pas mal pas mal.
                          • [^] # Re: Navigo

                            Posté par  . Évalué à 4.

                            Bon, je ne vais pas m'étaler, mais ma banque me prélève des frais, de l'ordre d'une quinzaine d'euros, tous les trimestres pour gérer mes comptes. Donc non, ce n'est pas gratuit, loin de là.

                            D'ailleurs, je ne sais pas ce qu'il en est aujourd'hui, mais je me rappelle qu'il y a une douzaine d'années, lorsque je faisais de l'intérim pour payer mes études, j'étais payé par chèque. Comme j'avais besoin de cet argent rapidement, et que le déposer sur mon compte dans une autre banque impliquait un délai de traitement de l'ordre de 1 à 2 semaines avant que l'argent soit effectivement disponible, ben j'allais me le faire payer en liquide au guichet d'une agence de la banque en question, et ce service m'était facturé une vingtaine de francs.

                            Et puis je ne sais pas si tu es financièrement à l'aise ou pas, mais moi ça n'a pas toujours été le cas, et j'ai toujours halluciné en voyant par exemple qu'il était possible à une banque de refuser un chèque d'un montant ridicule (moins de 20 francs à l'époque) pour cause d'avoir insuffisant sur le compte, tout en prélevant immédiatement sur le même compte un montant de 140 francs pour rémunérer ses « frais de rejet ». Il faudra m'expliquer la logique qui conduit à autoriser une banque à mettre sciemment une personne dans le besoin encore plus dans la merde qu'elle ne l'est déjà.

                            Et pour en revenir à ces 19 €, c'était suite à un passage aux urgences, parce que j'avais été violemment agressé et qu'il me fallait un examen médical pour pouvoir déposer une plainte, et que le service comptable de l'hôpital n'avait pas été foutu de se faire rembourser par ma mutuelle. Les 19 € qui m'étaient réclamés correspondaient à cette part de mutuelle pour des examens radiologiques. Le truc, c'est qu'à l'époque, 19 € c'est ce que j'avais sur mon compte, et ça me permettait de manger pour une semaine, et les dépenser pour me les faire rembourser quelques semaines/mois plus tard n'était pas envisageable. Bilan des courses, la « Trésorerie » n'a rien voulu entendre, a refusé de traiter avec ma mutuelle (alors que jusqu'à présent ça c'était toujours passé comme ça), et finalement j'ai eu une saisie sur mes comptes bancaires, ce qui implique que tous mes comptes étaient bloqués (donc plus possible de retirer quoi que ce soit, et qu'après quelques jours, l'État s'est servi de la totalité de mes avoirs, soit 19 €, et la banque s'est légalement rincée de pas loin de 70 € de frais de saisie au passage... 70 €, une fois et demi plus que le salaire journalier d'un smicard, faut pas déconner ! Depuis, l'évolution de la législation a fait qu'il existe un montant insaisissable, de l'ordre du montant du RMI, et à condition d'être au RMI), mais ce n'était pas le cas à l'époque.

                            Alors tu peux me voir comme un emmerdeur, et tant mieux pour toi si tu n'as jamais été confronté à tous ces petits problèmes du quotidien de beaucoup des Français, mais permets que j'ai au moins mon opinion de cette « vie en société » dans laquelle l'État Français considère que j'ai adhéré dès la naissance sans jamais avoir pu disposer d'un autre choix. Permets également que je ne sois pas content du « retour sur investissement » et que je considère que le coût de cette vie en société n'en vaut pas le prix, que ce soit d'un point de vue économique, social, ou écologique, entre autres choses.

                            Et comme quelques personnes te l'ont répondu, il est illusoire de croire que parce que tu vas aller au vert tu seras pour autant libéré de tes obligations de vie dans la société française. Il n'est pas possible de vivre en dehors de la société contrairement à ce que tu as l'air de dire, il me semble même que c'est illégal. D'ailleurs, je crois me souvenir d'une actualité qui avait fait du bruit il y a quelques années, et où une petite communauté de gens s'étant établie un peu en dehors de la société depuis plusieurs décennies avait vu son habitat, constitué de plusieurs petites maisons, rasé au bulldozer. Je ne retrouve malheureusement pas l'info, mais je me souviens combien j'avais trouvé la chose écœurante à l'époque (et d'ailleurs, je crois que Sarkozy gesticulait déjà devant les caméras à l'époque, et qu'on lui devait la chose). Ces gens n'avaient rien demandé, n'emmerdaient personne, vivaient là depuis des décennies, entretenaient les lieux, et ont été chassés à l'engin de chantier du jour au lendemain, et ce non pas parce qu'il était prévu d'aménager les lieux autrement, mais juste parce que selon État, ils n'avaient pas à être là.

                            Et j'assume totalement le fait d'être un grincheux qui n'a pas envie d'assumer cette vie en société qui lui est imposée. Permets que j'aspire à un monde meilleur, même si c'est purement illusoire à l'heure actuelle.
                            • [^] # Mauvaise banque...

                              Posté par  (site web personnel) . Évalué à 3.

                              Bon, je ne vais pas m'étaler, mais ma banque me prélève des frais, de l'ordre d'une quinzaine d'euros, tous les trimestres pour gérer mes comptes. Donc non, ce n'est pas gratuit, loin de là.

                              Change de banque, elle est pourrie ta banque.
                              La mienne (SG pour pas la citer) me propose la gestion du compte gratos (0€/an), l'accès Internet gratos (0€/an), je peux même faire des virements externes ponctuels gratuitement (0€/an, certaines banques proposent l'accès Internet gratos mais font payer les virements ponctuels) que j'avais quand j'étais étudiant. Je ne paye que ma carte bancaire, parce que je souhaite une carte bancaire, mais ça n'a rien d'obligatoire, j'ai fait quelques années sans carte bancaire. (bon, pour d'autres trucs, il faut pas être chez eux, ils se rattrapent ailleurs...). Je suis à la CE pour mon emprunt (la SG ne proposait pas un taux interessant, merci la concurence je peux choisir), je paye 0€/an pour la gestion du compte courant et l'accès Internet, aussi.
                              Une banque, c'est comme tout : il y a la concurence, c'est toi qui choisi, tu peux choisir de prendre FT et payer à la minute tes com', ou prendre Free et payer un forfait quelque soit la durée de com', idem pour les banques : comparaison, choix, tu payes si tu as envie.

                              Accuser les banques te te pomper du fric alors que tu peux choisir de ne pas payer, non ça ne passe pas. On peut débattre sur la possibilité de vivre en dehors de la société (ce n'est pas blanc ou noir, il y aurait beaucoup à débattre, de quoi passer une soirée entière de vive voix autour d'une petite bière :) ), mais râler sur les frais de ta banque que tu a choisis de payer, non, ça ne passe pas : faut assumer son choix, ou changer de banque, mais pas râler sur ce que tu peux changer.
                              (la seule chose à faire est de résiter au banquier qui veut te refiler un forfait qui ne sert à rien)
                    • [^] # Re: Navigo

                      Posté par  . Évalué à 2.

                      Pour la sncf c'est pas si clair :
                      Si tu te prend une prune avec une carte imagine R (tu as oublié ta carte imagine R) et que cette dernière est valable pour la zone : ils annulent la prune quant tu envoie un justificatif de ta carte imagineR.
                      C'est un contrôleur qui l'a expliqué à un jeune à coté de moi qui avais oublié sa carte, donc je pense qu'il savait ce qu'il disait ;)
                      • [^] # Re: Navigo

                        Posté par  (site web personnel) . Évalué à 1.

                        Le soucis est qu'ils peuvent t'annuler ta prune, mais souvent tu va te prendre pour 10-20€ de frais de dossier/traitement qui te feront une belle jambe...

                        C'est ce que fait par exemple la sncf si tu as un abonnement train au mois et que tu te prends une prune au milieu de mois alors que ton abonnement est en cours de validité.
                    • [^] # Re: Navigo

                      Posté par  . Évalué à 2.

                      moi moi ! j'ai eu une amende avec ma carte orange, je passais un portique a chatelet et hop une prune.

                      au debut je me disais c'est une blague ! mais non, du coup j'ai ecris a la ratp avec mon cheques et mon coupon de carte orange en demandant une explication du pourquoi comment.

                      il m'ont renvoyé le cheque :) avec une lettre expliquant que le probleme ce n'est pas que tu possede un titre valide, ce sont les autres personnes qui te regarde et voient que tu ne payent pas alors qu'eux ont payés leurs titres.

                      cela se defend et du coup j'ai arreté de sauté les portiques
              • [^] # Re: Navigo

                Posté par  . Évalué à 1.

                Pour se déplacer sur le réseau, il faut un titre de transport en cours de validité.

                On peut imaginer que ce titre n'est mis sur la carte que lors d'une validation :
                – présentation de la carte aux barrières : y a-t-il sur la carte un produit qui peut être utilisé à cet endroit (abonnement, titre unité…) ?
                – si oui, on enregistre sur la carte une autorisation valable une heure par exemple, avec date de fin de validité, référence de la borne de validation ;
                – on décrémente le compteur du produit si c'est un produit à l'unité ;
                – on ouvre les portes

                Ce qui expliquerait que les contrôleurs valident les cartes aux validateurs en cas de contrôle si la personne ne l'a pas fait, dans le tram et le bus par exemple (vu à Lyon et Grenoble).

                Après légalement, je n'en sais rien. Je sais que dans certaines villes, on peut être verbalisé si on circule sans avoir validé, même en ayant un abonnement.
                • [^] # Re: Navigo

                  Posté par  . Évalué à 2.

                  j'ai une carte valide 1 mois sur certaines zone.
                  Je vois pas pourquoi je devrais avoir une autorisation de session (ce n'est pas une validation), mais bon sont suffisament con qqqfois pour en mettre une.
                  Toujours pour la sncf, il ne faut pas composter une carte orange :D.
              • [^] # Re: Navigo

                Posté par  . Évalué à 2.

                J'aurais dit oui vu qu'on "force" les gens avec un abonnement à pointer leur Navigo pour prendre le bus.

                Pour le train par contre, je me suis déjà retrouvé dans le cas suivant :
                - J'ai un Navigo Intégral zones 1 à 3.
                - Je reviens de la zone 5, j'ai pris un billet uniquement pour aller de ma gare en zone 5 à la première gare en zone 3. Je continue alors le trajet à partir de la zone 3.
                - Je suis contrôlé une fois passée la validité de mon ticket simple, je donne mon Navigo (qui n'a pas été composté), et pas de soucis.

                Donc en fait je dirais non.
            • [^] # Re: Navigo

              Posté par  (site web personnel) . Évalué à 2.

              Pour rajouter, j'ajoute que dans le pays dans lequel je vis actuellement, il n'y a pas de barrière non plus (pays civilisé, les gens payent sans qu'on les oblige :) ).
              Néanmoins, les barrière sont la, et le "tracage" des déplacement coute moins cher à réaliser (juste un machine en plus, le reste est déja la) que de faire de longue études "pifométriques" habituelle, alors pourquoi ne pas limiter les coûts d'étude?

              PS : si ça ne tenait qu'à moi, je suprimerai les barrières et les taxes d'entrée sur le réseau, les barrières coutant presque autant qu'elles ne rapportent (c'est la région qui subventionne...), mais puisqu'elles sont la...
          • [^] # Re: Navigo

            Posté par  (site web personnel) . Évalué à 1.

            ...Et comme ça, personne ne sait que tu a besoin d'aller du point A au point B, et donc lors des prochaines études de tracé de ligne, ton besoin ne sera pas pris en compte.

            En réalité, ce qui est contesté ici, ce n'est pas le fait de comptabiliser les trajets afin de pouvoir améliorer le service, mais le fait que ton identité (nom, prénom, adresse) soit reliée à ces trajets. En clair : ils n'ont pas besoin de savoir que c'est moi ou Mme Michu qui effectue tout les jours un A/R place d'italie <--> denfert.
            Qu'il veuille me compter, oui, et ils le font déjà depuis des années, grâce aux divers tickets magnétiques, pas besoin d'avoir mon RIB pour faire ça.

            A mon sens, il y'a déjà beaucoup de croisements entre les données, ce n'est pas la peine de simplifier les choses sans véritables justifications.
            Alors, que le passe Navigo apporte des améliorations grâce à ça, c'est vrai : si je le perd, je ne perd pas mon forfait. Malheureusement on ne me laisse pas le choix. Rien n'empêche techniquement de faire un pass Navigo anonyme, avec à la clef la perte de cet avantage, mais ils n'en ont juste pas envie (après je crois pas à la théorie du complot, c'est plus une question de flemme/coût, mais on peut jamais prévoir les évolutions).

            J'imagine que tu ne vas pas voter non plus? Parce que quand tu vas voter, ta mairie sait que tu as voté (ben oui, pour que tu ne votes pas 2 fois), oh malheur tu es tracé de la même manière qu'à la RATP (on sait ou tu étais ce Dimanche la, pas loin de ton bureau de vote, comme on sait que tu es allé pas loin de la bouche de métro)...

            Excuse moi mais là ça n'a absolument aucun rapport.

            A pousser votre délire, allez-y jusqu'au bout, ne venez pas poster ici non plus, Linuxfr peut vous tracer... le 3/1/2008 a 23:52, tu étais devant ton clavier. et les admins doivent connaitre ton @IP (obligation légale en cas de propos pouvant aller devant un juge, tu n'es pas anonyme sur LinuxFr), donc savent exactement à quel endroit tu étais à cette heure-ci... La RATP connait juste un déplacement, pas la d'où tu viens et la où tu vas, Linuxfr te localise a 30m près (ou alors, tu as une grande maison :) ). Pourquoi deux poids, deux mesures? LinuxFr est plus dangeureux que la RATP question traces, pourquoi commencer par la RATP?

            Faux là encore. D'abord je peux rebondir via mon serveur chez moi, ce que je fais d'ailleurs souvent (mais pas pour des histoires de confidentialité/paranoïa, passons). Et franchement, je poste beaucoup moins souvent sur linuxfr que je ne prends le métro.

            En fait c'est un vieux débat... Oui on est déjà tracé : CB, portable, etc. Et oui on a rien à se reprocher. Mais la question n'est pas là, pour moi. Doit-on accepter que le croisement d'informations, qui est de plus en plus facile, soit encore simplifié grâce à certains dispositifs qui n'apportent pas nécessairement un avantage, sans que nous ayons notre mot à dire ?
          • [^] # Re: Navigo

            Posté par  . Évalué à 2.

            ...Et comme ça, personne ne sait que tu a besoin d'aller du point A au point B, et donc lors des prochaines études de tracé de ligne, ton besoin ne sera pas pris en compte.


            En fait d'optimisation et de besoin, la principale raison pour laquelle le passe anonyme est payant est qu'avec un passe non anonyme on peut plus facilement faire des stats sur l'âge, le sexe, le lieu d'habitation etc. des personnes qui emmpruntent les stations. Ce qui permet de louer les emplacements de publicité à des personnes beaucoup plus ciblées (et donc plus cher)...
            • [^] # Re: Navigo

              Posté par  (site web personnel) . Évalué à 1.

              Donc potentiellement, ça permettrais d'éviter de faire grimper les prix du métro, ou d'offrir un service de qualité un tout petit peu supérieur avec cet argent ?
              Ou de combler le manque à gagner des gréves et de l'incivisme ?
              Ou de soutenir les avantages durement acquis des valeureux combattants syndicalistes ?

              Oui, je pense que je vire à la paranoia, mais chaque fois que je voit que mon rer a du retard le matin ( genre ce matin ), ou que je voit un problème d'escalator à la gare du nord, je me dit que c'est un manque de moyen et je ne peut que penser à ce qui fait perdre de l'argent à la ratp et la sncf.
          • [^] # Re: Navigo

            Posté par  . Évalué à 1.


            ...Et comme ça, personne ne sait que tu a besoin d'aller du point A au point B


            Si je ne m'abuse, je ne valide pas le titre de transport en sortie (sauf sur le réseau des trains -SNCF ?) Donc personne ne sait que je vais d'un point A à un point B. C'est le cas dans tous les métros que je connais. (Au moins à Paris et dans ma ville de province)

            Cela expliquerait-t-il que la saturation de la ligne 13 ?
    • [^] # Re: Navigo

      Posté par  (site web personnel, Mastodon) . Évalué à 1.

      J'ai le même problème que patrick et je ne veux pas passer à Navigo (déjà que je trouve la carte Orange trop restrictive, amha elle ne devrait pas être nominative).

      Le seul intérêt que je verrais à passer à Navigo c'est si la carte est facilement craquable et qu'on peux recharger soi-même la carte. Mais sinon je ne vois absolument pas l'intérêt.

      Ceci dit, pour info la RATP mentionne que la vente de coupons carte orange sera arrêtée "en 2008" sans plus de précisions, et y'a pas longtemps encore ils disaient "en 2007"... A mon avis il reste encore un certains nombre de clients en coupon carte Orange qu'ils ne veulent pas perdre. Ceci dit après il restera les tickets à l'unité...

      « Je vois bien à quels excès peut conduire une démocratie d'opinion débridée, je le vis tous les jours. » (Nicolas Sarkozy)

      • [^] # Re: Navigo

        Posté par  . Évalué à 1.

        Oui enfin des points de vente de carte orange disparaissent tout les mois, avec les gens qui y travaillent accessoirement, et on leur a pas demandé leur avis.
        Je pense que ce qui intéresse aussi pas mal la ratp, c'est de remplacer toutes ces personnes par des machines, et pour ça, il est plus facile d'utiliser des passes navigo.
        (bien que ce ne soit pas la seule utilité de ces passes, comme il est dit dans ce thread avec lequel je suis globalement d'accord)
        • [^] # Re: Navigo

          Posté par  . Évalué à 1.

          c'est pas prêt d'arriver :
          Ta carte orange tu peux l'acheter à n'importe quel automate.
          Ton passe navigo, sur certains automates, marche pas (plus précisement l'automate dis qu'il accepte les passes navigo, quand tu le met, il détecte rien => obligé de faire la queue au guichet )
          • [^] # Re: Navigo

            Posté par  . Évalué à 2.

            c'est pas prêt d'arriver :
            De quoi les guichet qui disparaissent ?

            Et ben si c'est la triste réalité. Si t'es pas convaincu va faire un tour dans certaines gare de banlieue.
            D'ailleurs c'est très pratique si t'as un renseignement (ou un plan) à demander....
            Sans parler du fait que t'es plus ou moins obliger de payer par CB.
            • [^] # Re: Navigo

              Posté par  . Évalué à 1.

              Et ben si c'est la triste réalité. Si t'es pas convaincu va faire un tour dans certaines gare de banlieue.
              Dans ce cas, ce n'est pas "à cause" (entièrement?) du passe navigo .
              • [^] # Re: Navigo

                Posté par  . Évalué à 1.

                Non ce n'est pas à cause, mais tout ça va ensemble en tout cas :)
            • [^] # Re: Navigo

              Posté par  (site web personnel) . Évalué à 1.

              Autre truc sympatique, le guichet disparait et les deux automates de distribution des billets qui ne marchent pas, et la gare voisine qui est fermée.

              Je me souviens d'un dimanche 30 où j'ai voulu acheter ma carte orange de mois suivant. Environ une quarantaine de personne à faire la queue devant les deux pauvres automates. L'un des automates ne gérait pas les passes navigo. Ces automates plantaient souvent. Il a planté juste devant moi donc la dame SNCF l'a rebooté devant mes yeux. Un bon vieux windows. Il a du mettre environ 7 minutes entre le moment du reboot et le moment où il fut prêt à me distribuer mon billet. Sachant qu'elle le rebootait environ tous les 3 clients, ça fait un super débit !

              Et encore, j'habite à Enghien, une gare plutôt bien pourvue vu le fric que possède la municipalité. J'ose pas imaginer comment ça doit être dans des villes un peu moins favorisées.

              La politique de la SNCF, c'est donc de virer les guichetiers mais surtout pas de rajouter des bornes automatiques. Ou bien l'idée d'ajouter les veilles de 1er et le 1er lui-même une personne exceptionnelle pour faire face à la charge supplémentaire prévisible, annoncée et connue, ce serait trop leur demander.
        • [^] # Re: Navigo

          Posté par  (site web personnel) . Évalué à 1.

          >Je pense que ce qui intéresse aussi pas mal la ratp, c'est de remplacer toutes ces personnes par des machines, et pour ça, il est plus facile d'utiliser des passes navigo.

          En même temps c'est eux qui se tirent une balle dans le pied en te disant de prendre un passe navigo, un peu comme une cona**** de ma banque qui voulait me faire payer le retrait au guichet sous prétexte qu'il y avait un DAB en extérieur.
          • [^] # Re: Navigo

            Posté par  . Évalué à 1.

            En même temps c'est eux qui se tirent une balle dans le pied en te disant de prendre un passe navigo, un peu comme une cona**** de ma banque qui voulait me faire payer le retrait au guichet sous prétexte qu'il y avait un DAB en extérieur.


            Ouais enfin ça c'est uniquement si les conn* comme toi sont suffisamment nombreux, genre le retrait au guichet le simple argument genre "on préfère éviter de garder de l'argent au guichet pour pas se faire braquer" me semble un bon point ... J'ai vu pas mal de banques ou ils affichaient carrément "on fait pas les retraits au guichet"
    • [^] # Re: Navigo

      Posté par  . Évalué à 1.

      Je suppose qu'il ne t'était pas jusqu'à présent venu à l'esprit que ta banque connait tous tes achats et leurs dates, ainsi que le groupe Carte bleue, et même, la chaine de supermarchés chez qui tu t"alimentes régulièrement, surtout lorsque tu utilises une carte bleue pour payer ?
      • [^] # Re: Navigo

        Posté par  (site web personnel) . Évalué à 2.

        et ?
        est-ce une raison pour qu'une autre société puisse te tracer par encore un autre moyen ?

        sais-tu que les GAB te fournissent du liquide qui obligera les indélicats à des recoupements pour trouver les commerçants du quartier...

        Moi, tant que c'est anonymisé, ça ne me dérange franchement pas, cela permet de gérer de la logistique, d'optimiser pour de meilleurs services (en tout cas lorsque c'est fait pour cela). Que ce soit pour alimenter ma boîte de courrier (physique ou virtuel) de pourrier ou pourriel, bin non (et le reste non plus).
  • # Question

    Posté par  (site web personnel) . Évalué à 2.

    Je m'étais interessé (d'un peu loin, certes) a ces cartes sans contact, et les rares boutique qui en vendent et affiche un prix à l'unité (c'est pour une chambre d'hote) affichent des prix qui me rebutent, alors pendant que je tien une personne compétante, une question : combien peut-on imaginer que ça coute si on veut "pour chez soit" une solution sécurisé?
    (genre 2-3 lecteurs, une dizaine de cartes).

    J'avais vu ce genre de système (mais en badge magnétique) mis en place dans une auberge de jeunesse, j'avais trouvé le système superbe, très pratique pour pouvoir rentrer quand on veut sans qu'il doive y avoir quelqu'un à l'accueil, il yavait juste une caution de 5€ pour la carte. Mais a plus de 2000€ pour remplacer une clé, je trouvais ça cher, donc j'espère qu'il y a des vendeurs qui vendent moins cher :).
    (et pour faire bondir patrick_g : et je m'en fou que mon auberge de jeunesse sache à quelle heure je suis rentré.)
    • [^] # Re: Question

      Posté par  (site web personnel) . Évalué à 1.

      Pour les réseau de revente à l'unité, c'est pas simple. Le mieux est de contacter une intégrateur comme ABC Smartcard ou ProActive qui peuvent probablement te faire ça. Il y a pas vraiment de place sur le marché pour la carte du bricoleur, donc c'est difficile à obtenir à l'unité. A partir de 10000 en revanche, je peux te donner plein d'adresses, dont ma boite.
    • [^] # Re: Question

      Posté par  (site web personnel) . Évalué à 2.

      >>> et pour faire bondir patrick_g : et je m'en fou que mon auberge de jeunesse sache à quelle heure je suis rentré.

      Je doute que l'auberge de jeunesse se préoccupe de garder les logs toutes les allées et venues.
      En revanche pour la RATP c'est certain qu'ils ont les moyens de garder les traces si ils le veulent.
      Mais bon....probable que je ferai comme tout le monde et que j'achèterai ma Navigo comme tout le monde. C'est juste que ça m'énerve qu'ils suppriment la carte orange autoritairement.
  • # DES?

    Posté par  . Évalué à 2.

    Tu ne parles que de DES(X), mais tu dis utiliser des algos de
    clés publiques
    . Lesquels est-ce? :)
    • [^] # Re: DES?

      Posté par  (site web personnel) . Évalué à 2.

      Je parles de DESX dans le cadre du passe Navigo. Le voici précisément:
      http://en.wikipedia.org/wiki/DESX

      Les autres algos qu'on trouve sur les cartes à puces sont soit du triple-DES (cartes pas trop cher), soit du RSA pour les cartes de compétition. Faut voir que dans l'industrie, on se base sur des standards qui tournent depuis longtemps. Ceux deux-là (DES et RSA) sont pas prêt de disparaître.

      Pour les passeports, ils utilisent aussi de l'AES et de l'ECC mais ça reste une utilisation exceptionnelle. Poussée par les allemands et les français d'ailleurs.

      Pour ta carte bleue, c'est du RSA par exemple.

      Pour élaborer un peu plus sur la crypto, quand un nouvel algo est introduit, il ne suffit pas de l'implémenter pour qu'il apparaisse sur les cartes à puces. Il faut aussi :
      - qu'il aille suffisamment vite
      - qu'il ne consomme pas trop de courant
      - qu'on puisse le sécuriser contre tout un tas d''attaques tordues dites "attaques par des canaux cachées" et attaques au laser
      - que les fabricants de silicium l'intègre à leur offre
      - que les clients le demande
      - que tous les outils actuels de test qui fonctionnent allègrement avec du DES ou du RSA s'adaptent
      - que les développeurs se forment

      Bref, dans quelques années, si RSA et 3DES montrent vraiment leurs limites, on passera à autre chose.
      • [^] # Re: DES?

        Posté par  (site web personnel) . Évalué à 2.

        "attaques au laser"

        Il existe des cartes qui résistent à ses attaques ? J'aimerais bien savoir comment.

        Pour info, le laser s'amuse à faire changer de localement la valeur d'un bit. Cela permet de modifier l'état interne de la puce et de faire plein de chose.

        Les contre mesure que j'imagine, c'est des photodiodes qui détectent le laser et qui bloquent définitivement la carte. Mais qu'est-ce qui empêche de prendre une autre carte et de taper à coter de la photodiode ?

        "La première sécurité est la liberté"

        • [^] # Re: DES?

          Posté par  (site web personnel) . Évalué à 1.

          Les attaques au laser appelées communément "attaques flash" (parce qu'un bricoleur du dimanche peut en réaliser une avec un flash d'appareil photo) consistent à changer un bit, soit en RAM, soit dans un registre, soit à faire avancer le pointeur d'instruction de plusieurs pas sans que le processeur execute lesdites instructions.

          Les conséquences possibles :
          - lire à une mauvaise adresse en EEPROM et retourner des données secrètes au lieu de données banales
          - sauter le "if (code is incorrect) exit" pour sauter les tests de vérification
          - faire faire des calculs erronés au DES et en déduire la clé
          - faire du bit flipping sur les clé DES et en déduire des choses

          Les contre-mesures sont assez simples : puisque tu ne peux pas faire confiance à ta RAM ou au déroulement de ton programme à un instant t, il suffit d'ajouter de la redondance et de vérifier qu'elle est toujours là :
          - les valeurs en EEPROM sont lues, relues et parfois encore relues. Les adresses sources et destination sont stockées à deux endroits différents et comparées en permanence.
          - les valeurs écrites en EEPROM sont écrites puis relues puis encore relues. Idem, double copie des adresses.
          - les copies de RAM à RAM sont vérifiées avant, pendant la boucle puis après avec encore une double-vérification.
          - les chemins d'exécution du code comportent des sémaphores qu'on incrémente à côté de chaque instruction sensible et qu'on vérifie régulièrement

          Il y a aussi des petites protections matérielles, comme une grille au dessus de la puce pour détecter si la puce est mise à nue. Mais ça ne fait perdre que quelques heures à l'attaquant, le temps qu'il reroute les courant ailleurs et qu'il gratte la grille.

          La sécurité vient donc de la combinaison des protections physiques et logicielles.

          Etant donné un équipement illimité et un temps illimité, c'est toujours le craqueur qui va gagner. Quand une carte passe trois semaines dans un labo, ils sont capables de dire exactement quelle instruction est executée à quel moment, synchroniser une attaque laser dessus et voir si le programme pète.

          Avec un peu plus de temps, ils peuvent carrément modifier le silicium et rerouter des chemins électroniques, donc concrètement, reprogrammer le hardware de la puce. Tiens, si je mettait un random nul ? Face à ça, il y a bien sur des protections logicielles, mais étant donné qu'ils comprennent tout ce qui est fait au niveau logiciel, ils peuvent prendre le temps de les contourner.

          Au final, une carte obtient une note de résistance, qui correspond à la quantité de moyen qu'il faut pour la craquer, et à la disponibilité de ces moyens pour le grand public.
          • [^] # Re: DES?

            Posté par  (site web personnel) . Évalué à 2.

            En fait, les principales protections contre les flash sont logiciels en "étalant l'exécution" pour détecter une erreur de cohérence. Pas mal. Mais, générer une erreur est déjà une information en soit.

            La grille est inefficace pour les attaques laser, puisque l'on a accès au dessous de la puce, qui n'est pas protégé.

            Je suis heureux de lire en enfin quelqu'un qui écrit : "Etant donné un équipement illimité et un temps illimité, c'est toujours le craqueur qui va gagner. " C'est pour relativiser ceux qui pense que la carte à puce est inviolable...

            "La première sécurité est la liberté"

            • [^] # Re: DES?

              Posté par  (site web personnel) . Évalué à 1.

              > C'est pour relativiser ceux qui pense que la carte à puce est inviolable...

              Je pense que c'est la meilleure approximation de l'inviolable qu'on peut avoir. Pour notre dernier OS cartes, après 4 semaines d'attaque chez un labo qui est expert dans le domaine et dispose du matériel adéquat, qui a accès à toutes les specs techniques et le code source, la carte est ressortie indemne. Ca veut dire qu'avec équipement illimité, connaissances "illimitées" et temps limité à quatre semaines, des experts n'ont pas réussi à craquer cette carte. Et notre carte est en dessous (tout au moins en théorie) du niveau de sécurité exigé pour les cartes bancaires françaises.

              Donc je pense vraiment que "inviolable", c'est quand même le mot qui décrit le mieux la sécurité de ces cartes à puces.
              • [^] # Re: DES?

                Posté par  (site web personnel) . Évalué à 2.

                C'est pas mal !

                Il avait le code source ? Ils ont bossé en boite blanche ? Combien de samples ?

                (à part ça, 4 semaines, c'est hyper court...) 6 mois, c'est autre chose.

                "La première sécurité est la liberté"

                • [^] # Re: DES?

                  Posté par  (site web personnel) . Évalué à 2.

                  Ils ont le code source mais il s'en servent uniquement pour faire un audit de code, vérifier qu'on n'a pas fait de connerie. Si on fait une grosse connerie, ils se jetteront dedans mais en général, ce n'est pas le cas :-)

                  Pour les attaques, le code source ne leur sert à rien tellement ils arrivent à récupérer d'infos par ailleurs. Ils connaissent la spécification, donc ils savent ce qu'ils cherchent. Et ils sont capables de dire à peu près ce qu'on fait à chaque instruction assembleur : manipulation d'un registre, chargement d'une donnée dans la RAM, dans l'EEPROM, dans le coprocesseur crypto, copie de buffer en RAM, etc. Quand tu sais tout ça, le code source ne sert à rien.

                  4 semaines, c'est peut-être court pour toi, mais quand tu payes un labo à la journée, je peux te dire que ca fait long :-)

                  Vu leur niveau d'expertise, on peut estimer qu'en quatre semaines, ils font un travail qui prendrait plusieurs mois à quelqu'un de moins expérimenté.
                  • [^] # Re: DES?

                    Posté par  (site web personnel) . Évalué à 2.

                    Je dis ça car je connais des puces qui étaient plutôt testé 18 mois que 4 semaines.

                    "La première sécurité est la liberté"

  • # Comment les reconnaître ?

    Posté par  (site web personnel) . Évalué à 2.

    C'est intéressant, et d'ailleurs ma boîte utilise des cartes sans contact pour l'accès. C'est un système assez vieux (il était en place il y a au moins 5 ans), est-ce qu'il y a un moyen de savoir si on utilise de cartes Mifare ?
  • # ...

    Posté par  . Évalué à 2.

    Pour casser une clé mifare avec une attaque par la force brute, il faudrait:
    - une semaine sur un FPGA à 100$
    - une journée sur un FPGA à 700$

    Et sur un pc classique ?


    La plupart des cartes déployées au niveau institutionnel
    (Vitale, Carte Bleue, ...) utilisent de la vraie sécurité.

    Qu'en est il des pb de secu de la CB qui avait été présent à une époque (affaire Humpich) ?
    Ils ont modifié leur algo ?
    • [^] # Re: ...

      Posté par  . Évalué à 1.

      Les cartes bancaires à microprocesseur étaient franco-françaises.
      Ils sont passés à un masque (OS de la carte) standard international : "EMV" pour Europay, Mastercard, Visa.
    • [^] # Re: ...

      Posté par  (site web personnel) . Évalué à 2.

      Les problèmes détéctés par Humpich correspondait à des vieilles vielles versions de la norme de paiement, qui était moins sécurisée ( B0' il me semble). La nouvelle norme, c'est EMV et c'est super carré. Sur certains lecteurs de paiement, c'est affiché. Si il te dit CB EMV, c'est tout bon. Si il te dit B0' c'est moins bon. J'ai noté que ma carte bleue est passée en EMV lors de mon renouvellement il y a un an.

      Comme les terminaux restent déployés jusqu'à 10 ou 15 ans sans être changés, beaucoup de cartes fonctionnent soit avec la nouvelle norme méga-sécurisée, soit avec l'ancienne beaucoup moins sécurisée. Un choix est fait au moment du paiement. Tant que EMV n'est pas déployé partout, le système comporte donc des failles facile à exploiter. Il suffit de dire au lecteur "je suis une vieille carte, soit gentil avec moi et n'utilise pas de sécurité" et il obéira gentiment.

      C'est le problème de la sécurité théorique versus la mise en place pratique. Il est difficile de demander aux commerçants de jeter leur terminal à la poubelle tous les 5 ans, sachant qu'ils payent le terminal et qu'ils payent aussi pour les transactions.

      Si je me souviens bien (mais je ne suis pas expert dans le marché du paiement français), le problème mis en avant par Humpich était que pour des automates hors-ligne, le système de vérification était léger et il l'avait cassé. C'est pas un gros exploit, ce qu'on fait les mecs que je cite est quand même déjà plus impressionnant : reverse engineering de circuit, c'est fun bien que ce soit quand même une pratique courante dans l'industrie.

      Ce qu'a fait Serge Humpich n'est pas possible de façon généralisée avec des cartes EMV. Pour des cartes EMV, la vérification hors-ligne se fait soit avec un certificat RSA, soit ne se fait pas mais il y a un montant maximum hors-ligne qui peut être dépensé. Si c'est en ligne, la vérification est systématique. J'imagine que Humpich arriverait à se faire de la presse en montrant que dans certains cas, il n'y a pas de vérification hors ligne des transactions. Ca impressionnerait toujours les journalistes, bien que cela soit une information publique.

      Au fait, les specifications EMV sont publiques et librement téléchargeable : http://www.emvco.com/specifications.asp?show=3

      Ce qui a changé depuis Humpich, outre le passage bien amorçé à l'EMV, c'est que c'est beaucoup beaucoup plus facile de faire des terminaux en ligne maintenant. Par exemple, pas mal de terminaux sont GPRS aujourd'hui ( == utilisent le réseau GSM). Ca laisse beaucoup moins de marge aux frauderus.

      Je tiens à ajouter que Humpich n'a pas du tout remis en questions la sécurité de la carte. Une carte à puce correctement implémentée (et la grande majorité le sont) est une coffre fort inviolable. Personne n'est en mesure d'aller lire votre PIN dans votre carte ou de trouver la clé privée des certificats de la carte. Par contre si le code PIN est écrit sur un autocollant au dos de la carte, le fait que la carte soit un coffre fort ne change rien au fait qu'on pourra dépenser tous vos sous.
      • [^] # Re: ...

        Posté par  . Évalué à 2.

        EMV c'est aussi attaquable:
        http://events.ccc.de/congress/2007/Fahrplan/events/2289.en.h(...)
        (la video se trouve ici : http://events.ccc.de/congress/2007/Conference_Recordings )
        En gros dans les implementations il n'y a aucune contrainte de delai et donc on peut faire des attaques de relais meme a travers internet (en changeant la somme demandé genre on multiplie par 1000).
      • [^] # Re: ...

        Posté par  (site web personnel) . Évalué à 2.

        J'imagine que Humpich arriverait à se faire de la presse en montrant que dans certains cas, il n'y a pas de vérification hors ligne des transactions. Ca impressionnerait toujours les journalistes, bien que cela soit une information publique.

        Ca montre surtout qu'on peut frauder pour des petites transactions, ce que le GIE CB n'a pas apprécié. C'est peut-être une information publique, mais que le GIE évite de communiquer et essaye d'enfermer ceux qui le montrent grâce à des lois à la con. A aucun moment ma banque ne me dit "attention, on a encore des vieux protocoles, vous pouvez très bien distribuer un truc sans que le paiement soit valide". On me dit plutôt "super secure etc"...
        Question : dans le cas de fraude, le commerçant est-il quand même payé?

        Par contre si le code PIN est écrit sur un autocollant au dos de la carte, le fait que la carte soit un coffre fort ne change rien au fait qu'on pourra dépenser tous vos sous.

        Je suis certes un cas très particulier (je navigue entre deux pays, l'un aimant les cartes Visa et l'autre aimant que les cartes de son pays, et encore quand il accepte des cartes), mais en ce moment je collectionne 5 cartes bancaires (1 Visa perso française, une visa compte commun française, 1 nationnale perso allemande, une nationale compte commun allemande, et enfin une pour mon entreprise), alors oui, j'ai stocké quelque part (pas écrit sur un post-it quand même :) ) les numéros, car ça m'arrive de mélanger. La sécurité, c'est bien, mais bon faut pas aussi pourrir la vie des clients. Sur certaines cartes, j'ai eu la chance de pouvoir choisir mon numéro (supplément 5€/carte quand même...), mais pas toutes. A quand une carte où on peut mettre plusieurs banques dessus et choisir son code?
        • [^] # Re: ...

          Posté par  (site web personnel) . Évalué à 1.

          > A quand une carte où on peut mettre plusieurs banques dessus et choisir son code?

          A priori jamais.

          D'un point de vue commercial, ça n'a aucun sens. C'est un peu comme si tu demandais une carte de fidélité qui marche à la fois chez Leclerc et chez Carrefour.
          • [^] # Re: ...

            Posté par  . Évalué à 2.

            Peut-être, mais le point de vue commercial est-il le plus sensé ?...

            Franchement, techniquement je ne sais pas, mais "humainement" ce serait quand même 'achement pratique.
  • # Smartcard, ElGamal et DSA

    Posté par  . Évalué à 1.

    Est-ce que vous connaissez des smartcards compatibles gnupg qui supporte RSA mais aussi ElGamal et DSA ?

    Des cartes abordables pour une assos ou un privé.
  • # je ne comprend pas ??

    Posté par  . Évalué à 2.

    Bonsoir Philippe,

    je suis un peu étonné par ta réaction. Car en visitant leur site site j'ai découvert qu'il y a plusieurs types de cartes mifare, dont certaines qui gèrent le DES, 3DES et l'AES .

    http://www.nxp.com/products/identification/mifare/desfire8/i(...)
    • [^] # Re: je ne comprend pas ??

      Posté par  (site web personnel) . Évalué à 2.

      Peut-être que les "MIFARE Classic" (maintenant crackées) servent à casser les tarifs et que les autres sont un chouilla plus cher... de l'ordre de prix de celles commercialisées par la société de Philippe...

      Mais pour ce genre de produits, y'a pas les tarifs en ligne, c'est devis suivant les volumes et la tête du client / la marge du commercial.

      Votez les 30 juin et 7 juillet, en connaissance de cause. http://www.pointal.net/VotesDeputesRN

    • [^] # Re: je ne comprend pas ??

      Posté par  (site web personnel) . Évalué à 1.

      Philips / NXP a senti le vent venir depuis plusieurs années. C'est signe d'une boite mature, ils ont beau avoir un produit référence, ils préparent quand même la suite.

      La Mifare DESFire n'a plus de Mifare que le nom commercial. C'est en fait un OS qui supporte du triple DES classique et un protocole de communication standardisé ISO. Elle contient aussi la compatibilité Mifare, donc c'est une carte qui permet de faire la transition vers un peu plus d'interopérabilité et un peu moins de verrouillage client. Sauf que en fait, la DESFire ne supporte presqu'aucune des commandes ISO de carte à puce, uniquement des commandes propriétaires disponibles après avoir signé un gros NDA avec NXP.

      On peut donc dire que la DESFire permet de s'affranchir du gouffre de sécurité de la Mifare classique, mais en aucun cas n'ouvre vers plus d'interopérabilité ou sort du verrouillage client.

      Et la carte qui est déployée en millards d'exemplaires dans le monde, c'est pas la DESFire, c'est de la mifare classique.

      Sur le jeu de commande de la DESFire, une petite anecdote qui donne une idée du pouvoir de lobbying de NXP : le département de la défense américain a sorti il y a deux-trois ans une spécification pour toutes les cartes des employés des administrations américaines, suite à la course sécuritaire post-11 septembre. Les administrations ont obligation à partir d'une certaine date que tous les fonctionnaires ou contractuels bossant pour le gouvernement aient une telle carte. Autant dire, beaucoup de monde, un marché bien juteux pour les fabricants de cartes. Ces naïfs d'informaticiens avaient spécifié une carte supportant uniquement des commandes ISO, donc la DESFire était exclu, ne supportant que des commandes propriétaires. Quelques mois plus tard, le gouvernement américain a révisé sa spécification en diminuant le nombre de commande ISO à supporter à 3. Dans le même temps la spécification de la DESFire a été modifiée pour supporter 3 commandes ISO (les seules !). Intéressant hein ?

      Ca donne une idée de l'ouverture de ce genre de marché. Autant dire qu'il faut plus qu'un produit répondant aux spécifications officielles pour rentrer dans ce type business.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.