Un tribunal autorise des chercheurs à communiquer sur les failles d’une carte de transports

Cloud

Un juge néerlandais a autorisé la publication des détails d’une étude sur la carte Oyster, utilisée dans les transports londoniens.

Un juge néerlandais a autorisé un groupe de chercheurs à publier des détails sur les failles de sécurité de la carte Oyster utilisée dans les transports publics londoniens (l’équivalent du Pass Navigo londonien). NXP, le fabricant de la carte Oyster, avait fait une requête en injonction visant à interdire au professeur Bart Jacobs et à son équipe de l’université de Radboud à Nijmegen (Pays-Bas) de publier une étude sur les failles de sécurité de la carte de paiement.

L’université s’est félicitée de cette décision, indiquant que « dans une société démocratique, il était extrêmement important d’autoriser la publication de résultats d’études scientifiques ».

Selon NXP, il lui faudra des mois pour corriger la faille qui permet le piratage des cartes. La publication de l’étude détaillée ne lui sera d’aucune utilité, a affirmé le fabricant.

Un porte-parole des transports londoniens a déclaré à la BBC : « Les transports londoniens ont confiance en la sécurité du système de carte Oyster. Nous prenons très au sérieux la fraude et la sécurité des données personnelles et révisons constamment nos procédures de sécurité. Toute carte frauduleuse sera identifiée et bloquée dans les 24 heures. L’utilisation d’une carte frauduleuse pour voyager gratuitement donnera lieu à des poursuites et nous ferons tout ce qui est en notre pouvoir pour faire appliquer la loi. »

Les chercheurs ont étudié cette carte, qui devait être déployée sur le réseau néerlandais.

Ils ont alors réalisé qu’il était possible de cloner les cartes, d’y ajouter du crédit et même de bloquer les portillons d’entrée, bien qu’il soit peu probable que des cartes clonées puissent être à l’origine de problèmes tels qu’a connu le métro londonien la semaine dernière.

Le gouvernement néerlandais a mis un frein au déploiement des cartes dans le pays lorsque les chercheurs ont démontré qu’elles pouvaient également être utilisées pour accéder aux bâtiments gouvernementaux.

Traduction de l’article Court rules Oyster hack can be revealed de Vnunet.com en date du 22 juillet 2008