Pentesting RFID

Reading time: 12 minutes

Introduction

Identification par radiofréquence (RFID) est la solution radio courte portée la plus répandue. Elle est généralement utilisée pour stocker et transmettre des informations identifiant une entité.

Une étiquette RFID peut disposer de sa propre source d'alimentation (active), comme une batterie intégrée, ou recevoir son alimentation de l'antenne de lecture via le courant induit par les ondes radio reçues (passive).

Classes

EPCglobal divise les tags RFID en six catégories. Un tag dans chaque catégorie possède toutes les capacités listées dans la catégorie précédente, ce qui le rend rétrocompatible.

• Class 0 : tags passifs qui fonctionnent dans les bandes UHF. Le fabricant les préprogramme à l'usine. En conséquence, vous ne pouvez pas modifier les informations stockées dans leur mémoire.
• Class 1 : peuvent aussi fonctionner dans les bandes HF. De plus, ils peuvent être écrits une seule fois après la production. Beaucoup de tags Class 1 peuvent aussi traiter des cyclic redundancy checks (CRCs) des commandes qu'ils reçoivent. Les CRCs sont quelques octets supplémentaires à la fin des commandes pour la détection d'erreurs.
• Class 2 : tags pouvant être réécrits plusieurs fois.
• Class 3 : peuvent contenir des capteurs intégrés qui enregistrent des paramètres environnementaux, comme la température actuelle ou le mouvement du tag. Ces tags sont semi-passifs, car bien qu'ils disposent d'une source d'alimentation intégrée, comme une pile, ils ne peuvent pas initier de communication sans fil avec d'autres tags ou lecteurs.
• Class 4 : peuvent initier la communication avec d'autres tags de la même classe, ce qui en fait des tags actifs.
• Class 5 : peuvent fournir de l'énergie à d'autres tags et communiquer avec toutes les classes précédentes. Les Class 5 peuvent agir comme lecteurs RFID.

Informations stockées dans les tags RFID

La mémoire d’un tag RFID contient généralement quatre types de données : les données d’identification, qui identifient l’entité à laquelle le tag est attaché (ces données incluent des champs définis par l’utilisateur, comme des comptes bancaires) ; les données supplémentaires, qui fournissent des détails complémentaires sur l’entité ; les données de contrôle, utilisées pour la configuration interne du tag ; et les données fabricant, qui contiennent l’Identifiant Unique (UID) du tag et des détails concernant la production, le type et le vendeur du tag. Vous trouverez les deux premiers types de données dans tous les tags commerciaux ; les deux derniers peuvent varier selon le vendeur du tag.

La norme ISO spécifie la valeur Application Family Identifier (AFI), un code qui indique le type d’objet auquel le tag appartient. Un autre registre important, également spécifié par l'ISO, est le Data Storage Format Identifier (DSFID), qui définit l’organisation logique des données utilisateur.

La plupart des mécanismes de sécurité RFID restreignent les opérations de lecture ou d'écriture sur chaque bloc de mémoire utilisateur et sur les registres spéciaux contenant les valeurs AFI et DSFID. Ces mécanismes de verrouillage utilisent des données stockées dans la mémoire de contrôle et ont des mots de passe par défaut préconfigurés par le vendeur, mais permettent aux propriétaires des tags de configurer des mots de passe personnalisés.

Comparaison tags basse & haute fréquence

Low-Frequency RFID Tags (125kHz)

Les tags basse fréquence sont souvent utilisés dans des systèmes qui ne nécessitent pas une haute sécurité : accès aux bâtiments, interphones, cartes d'abonnement de salle de sport, etc. En raison de leur portée plus importante, ils sont pratiques pour les parkings payants : le conducteur n'a pas besoin d'approcher la carte du lecteur, car elle est détectée depuis plus loin. En même temps, les tags basse fréquence sont très primitifs et ont un faible débit de transfert de données. Pour cette raison, il est impossible d'implémenter des échanges complexes bidirectionnels pour des fonctions comme la gestion de solde et la cryptographie. Les tags basse fréquence ne transmettent que leur court ID sans aucun moyen d'authentification.

Ces dispositifs reposent sur la technologie RFID passive et opèrent dans une plage de 30 kHz à 300 kHz, bien qu'on utilise plus couramment 125 kHz à 134 kHz :

• Longue portée — une fréquence plus basse se traduit par une portée plus élevée. Il existe des lecteurs EM-Marin et HID capables de fonctionner jusqu'à un mètre. Ils sont souvent utilisés dans les parkings.
• Protocole primitif — à cause du faible débit, ces tags ne peuvent transmettre que leur court ID. Dans la plupart des cas, les données ne sont pas authentifiées et ne sont protégées d'aucune façon. Dès que la carte est dans la portée du lecteur, elle commence simplement à transmettre son ID.
• Faible sécurité — Ces cartes peuvent être facilement copiées, ou même lues depuis la poche de quelqu'un d'autre en raison de la primitivité du protocole.

Protocoles populaires à 125 kHz :

• EM-Marin — EM4100, EM4102. Le protocole le plus populaire dans la CEI. Peut être lu à environ un mètre grâce à sa simplicité et sa stabilité.
• HID Prox II — protocole basse fréquence introduit par HID Global. Ce protocole est plus populaire dans les pays occidentaux. Il est plus complexe et les cartes et lecteurs pour ce protocole sont relativement coûteux.
• Indala — très ancien protocole basse fréquence introduit par Motorola, puis acquis par HID. Vous êtes moins susceptible de le rencontrer dans la nature comparé aux deux précédents car il décline.

En réalité, il existe beaucoup plus de protocoles basse fréquence. Mais ils utilisent tous la même modulation sur la couche physique et peuvent être considérés, d'une manière ou d'une autre, comme des variantes de ceux listés ci-dessus.

Attaque

Vous pouvez attaquer ces Tags avec le Flipper Zero :

FZ - 125kHz RFID

High-Frequency RFID Tags (13.56 MHz)

Les tags haute fréquence sont utilisés pour des interactions lecteur–tag plus complexes lorsque vous avez besoin de cryptographie, d'un grand transfert de données bidirectionnel, d'authentification, etc.
On les trouve généralement dans les cartes bancaires, les transports publics et autres passes sécurisés.

Les tags haute fréquence 13.56 MHz sont un ensemble de standards et de protocoles. On les désigne souvent par NFC, mais ce n'est pas toujours exact. L'ensemble de protocoles de base utilisé aux niveaux physique et logique est ISO 14443. Les protocoles de niveau supérieur, ainsi que les standards alternatifs (comme ISO 19092), reposent sur celui-ci. Beaucoup de personnes appellent cette technologie Near Field Communication (NFC), un terme pour les dispositifs opérant sur la fréquence 13.56 MHz.

Pour faire simple, l'architecture NFC fonctionne ainsi : le protocole de transmission est choisi par la société fabricant les cartes et implémenté sur la base du bas niveau ISO 14443. Par exemple, NXP a inventé son propre protocole de transmission de haut niveau appelé Mifare. Mais au niveau inférieur, les cartes Mifare sont basées sur la norme ISO 14443-A.

Flipper peut interagir à la fois avec le protocole bas niveau ISO 14443, ainsi qu'avec le protocole de transfert de données Mifare Ultralight et EMV utilisé dans les cartes bancaires. Nous travaillons à ajouter le support de Mifare Classic et NFC NDEF. Un examen approfondi des protocoles et standards qui composent NFC mérite un article séparé que nous prévoyons de publier ultérieurement.

Toutes les cartes haute fréquence basées sur la norme ISO 14443-A ont un identifiant de puce unique. Il sert de numéro de série de la carte, comme l'adresse MAC d'une carte réseau. Généralement, l’UID fait 4 ou 7 octets, mais peut rarement aller jusqu'à 10. Les UID ne sont pas secrets et sont facilement lisibles, parfois même imprimés sur la carte elle-même.

De nombreux systèmes de contrôle d'accès se basent sur l’UID pour authentifier et accorder l'accès. Parfois cela se produit même lorsque les tags RFID supportent la cryptographie. Un tel mauvais usage les ramène au niveau des simples cartes 125 kHz en termes de sécurité. Les cartes virtuelles (comme Apple Pay) utilisent un UID dynamique afin que les propriétaires de téléphone ne puissent pas ouvrir des portes avec leur application de paiement.

• Courte portée — les cartes haute fréquence sont spécifiquement conçues pour devoir être placées près du lecteur. Cela aide également à protéger la carte contre des interactions non autorisées. La portée maximale de lecture que nous avons pu atteindre était d'environ 15 cm, et c'était avec des lecteurs sur mesure à longue portée.
• Protocoles avancés — des débits jusqu'à 424 kbps permettent des protocoles complexes avec un transfert bidirectionnel complet. Ce qui permet la cryptographie, le transfert de données, etc.
• Haute sécurité — les cartes sans contact haute fréquence n'ont rien à envier aux cartes à puce. Certaines cartes supportent des algorithmes cryptographiques robustes comme AES et implémentent la cryptographie asymétrique.

Attaque

Vous pouvez attaquer ces Tags avec le Flipper Zero :

FZ - NFC

Ou en utilisant le proxmark :

Proxmark 3

MiFare Classic offline stored-value tampering (broken Crypto1)

Lorsque qu’un système stocke un solde monétaire directement sur une carte MiFare Classic, vous pouvez souvent le manipuler parce que Classic utilise le chiffrement obsolète Crypto1 de NXP. Crypto1 est cassé depuis des années, permettant la récupération des clés de secteur et la lecture/écriture complète de la mémoire de la carte avec du matériel courant (par ex., Proxmark3).

Flux de travail de bout en bout (abstrait) :

1. Dump the original card and recover keys

# Attempt all built-in Classic key recovery attacks and dump the card
hf mf autopwn

Cela récupère généralement les sector keys (A/B) et génère un full-card dump dans le client dumps folder.

2. Localiser et comprendre les value/integrity fields

• Effectuer des top-ups légitimes sur la carte originale et prendre plusieurs dumps (avant/après).
• Faire un diff des deux dumps pour identifier les blocks/bytes qui changent et qui représentent le solde ainsi que les champs d'intégrité.
• De nombreux déploiements Classic utilisent soit l'encodage natif "value block", soit leurs propres checksums (e.g., XOR du solde avec un autre champ et une constante). Après modification du solde, recalculer les integrity bytes en conséquence et s'assurer que tous les duplicated/complemented fields sont cohérents.

3. Écrire le dump modifié sur une Classic tag “Chinese magic” inscriptible

# Load a modified binary dump onto a UID-changeable Classic tag
hf mf cload -f modified.bin

4. Cloner l'UID original pour que les terminaux reconnaissent la carte

# Set the UID on a UID-changeable tag (gen1a/gen2 magic)
hf mf csetuid -u <original_uid>

5. Use at terminals

Les lecteurs qui font confiance au solde sur la carte et au UID accepteront la carte manipulée. Les observations de terrain montrent que de nombreux déploiements plafonnent les soldes en fonction de la largeur du champ (par ex., 16-bit fixed-point).

Remarques

• Si le système utilise des Classic value blocks natifs, souvenez-vous du format : value (4B) + ~value (4B) + value (4B) + block address + ~address. Toutes les parties doivent correspondre.
• Pour les formats personnalisés avec des checksums simples, l'analyse différentielle est la manière la plus rapide pour dériver la fonction d'intégrité sans rétro-ingénierie du firmware.
• Seuls les tags UID-changeable ("Chinese magic" gen1a/gen2) permettent d'écrire le block 0/UID. Les cartes Classic normales ont des UIDs en lecture seule.

Pour des commandes Proxmark3 pratiques, voir :

Proxmark 3

Construire un cloneur mobile portable HID MaxiProx 125 kHz

Si vous avez besoin d'une solution longue-portée, alimentée par batterie pour récupérer des badges HID Prox® lors d'opérations red-team, vous pouvez convertir le lecteur mural HID MaxiProx 5375 en un cloneur autonome qui tient dans un sac à dos. Le guide complet mécanique et électrique est disponible ici :

Maxiprox Mobile Cloner

Références

• https://blog.flipperzero.one/rfid/
• Let's Clone a Cloner – Part 3 (TrustedSec)
• NXP statement on MIFARE Classic Crypto1
• MIFARE security overview (Wikipedia)
• NFC card vulnerability exploitation in KioSoft Stored Value (SEC Consult)