- cross-posted to:
- [email protected]
- cross-posted to:
- [email protected]
cross-posted from: https://lemmy.ca/post/3731777
Au-delà de la joke la plus complète que représente ce dossier, ce paragraphe me fâche le plus:
Cette prouesse informatique survient alors que l’Autorité régionale de transport métropolitain (ARTM) vient d’accorder 1,13 million à l’entreprise parisienne Spirtech pour développer une application semblable. À la clé, le contrat prévoit des redevances versées sur chacune des quelque sept millions de transactions annuelles projetées pour l’achat de titres de transport sur mobile.
Veux-tu me dire, ciboire, pourquoi on est pas capable de trouver une compagnie québécoise pour faire ça? C’est pas comme si le projet demandait des experts ultra spécialisés et rares. Pourquoi un projet qui peut potentiellement générer beaucoup de profits (avec les redevances) ne trouve pas preneur ici? Tk, tout ce dossier est tellement risible…
Ce qui m’intrigue ici est que pour écrire sur la carte OPUS, je crois que ça prend une clé de chiffrement. Comment est-ce que cet étudiant l’a obtenu?
Une des raisons pour lesquelles ils ne voulaient pas faire une simple application mobile est le fait que, pour Android par exemple, les applications sont écrites en Java. Java est compilé en un langage intermédiaire qui est ensuite interprété par la machine virtuelle de Java et que ce langage intermédiaire peut être décompilé et reconverti en son code d’origine, donnant ainsi l’accès aux pirates au code source et tout le mécanisme derrière incluant la clé de chiffrement.
Dites le moi si je me trompe.
Il est possible que il l’aille tirée de l’appareil à $20 vendu par la STM avec une liseuse de ROM, ou bien l’application Windows contient la clé d’encryption d’une façon non-sécurisée.
La morale de l’histoire pour la STM est d’assumer que toute clé secrète envoyée au client n’est plus dans leur contrôle. Toujours mieux de générer, encrypter et signer le payload du côté des serveurs STM avant de l’envoyer au client pour l’écrire sur la micropuce, qui peut l’accepter ou le refuser dépendamment de la clé publique utilisée, le payload étant signé par une clé privée du côté de la STM.
Tout le monde, incluant la micropuce, connaît la clé publique, mais seule la STM connaît la clé privée. Messemble ça prend pas 1,13 million pour sécuriser ça lmao
Oui c’est possible. Et si c’est le cas c’est vraiment con.
Je croix que c’est un simple copy/paste. Si y’a de l’encryption, c’est fais avant de l’envoyer au utilisateur. Il a simplement a ecrire ce qu’y recoit de ARTM direct sur la carte (Ce que je crois que le lecteur officiel fais).
N’importe quel appareil NFC peut lire les details sur les cartes, puces, etc. C’est asser facile a les cloners.
J’allais te dire que non c’est pas facile, mais je me suis rappelé du Flipper Zero qui sert exactement à cloner des signaux NFC.
Je suis allé voir et finalement c’est pas si simple.
Selon un des commentaires, informations sont stockées sur les serveurs de l’ARTM en fait. Et le système fait juste envoyer le numéro de carte. Donc oui tu peux potentiellement cloner la carte, mais ça ne va pas la recharger comme les informations des titres sont sur les serveurs.
Oui, exact. Je ne crois pas que la personne en question volait de l’ARTM. Mais fais son achat en ligne et passait les information nécessaire (no de cartes par example) sur sa prope carte