La STIB nous traque avec MOBIB!

gl0b

gl0b

▇ ▅ █ ▅ ▇ ▂ ▃ ▁ ▁ ▅ ▃ ▅ ▅ ▄ ▅ ▇
Les transports publics de la Région Bruxelles-Capitale en Belgique (STIB) ont mis en service en 2008 un nouveau système de titres de transport appelé MOBIB. Ce nouveau système repose sur une technologie sans contact (Radio Frequency IDentification) qui suit le standard Calypso, déjà déployé dans plus de 20 pays.

G. Avoine, T. Martin et J.-P. Szikora du Groupe Sécurité de l'Information (GSI) de l'Université catholique de Louvain ont analysé la carte MOBIB et démontré qu'elle contient des données personnelles sur le porteur. Ces données peuvent être obtenues par n'importe quelle personne se trouvant à proximité de la carte. Prénom, nom, date de naissance et code postal sont présents, mais aussi et surtout la trace des trois derniers passages dans les transports publics. Cette révélation est en contradiction avec les propos du Ministre du Gouvernement de Bruxelles-Capitale chargé de la Mobilité et des Travaux Publics qui indiquait le 8 octobre 2008 devant le parlement que "les trajets ne sont pas enregistrés au niveau de la carte" [1, page 29]. Le fait que la carte contienne des informations personnelles non protégées ne garantit pas le respect de la vie privée. Déterminer où et quand un collègue, conjoint ou enfant a pris le métro, bus ou tramway peut être réalisé par quiconque utilisant le logiciel rendu public par les chercheurs de l'UCL.
Cliquez pour agrandir...

Source: http://www.uclouvain.be/sites/security/fr-mobib.html
Avec logiciel et tout le tintouin!

Vous vous imaginez que n'importe qui, mal intentionné sait lire à distance votre coordonnées complètes ainsi qu'un enregistrement des 3 dernières oblitérations faites?
En tout cas, vais la tenir à l'œil dorénavant ma carte d'abonné... :baille:
 
N1C0

N1C0

Elite
Selon moi, faut pas tomber dans la parano... enfin y a toujours tout le monde qui va se battre pour la vie privée, c'est important, mais c'est, à mes yeux, souvent tiré par les cheveux. Mais j'avoue que le fait de rendre public le programme, ça peut directement donner de mauvaises intentions à certaines personnes. :D
Maintenant le "lire à distance", faut pas abuser, déjà que je vois les gens galérer avec leur carte pour les valider en allant dans le métro, faut pas croire qu'en te balladant avec ton petit "ACS ACR122" (cfr: le lecteur sans contact du site) dans ta poche tu pourras détenir tout ce que tu veux sur les nombreuses chamelles qui prennent le métro.
Donc tu dois prendre la carte de la personne, pour le même prix, t'as sa CI et toutes les informations que tu veux, si t'as un peu de chance y a des beaux billets dans l'porte-feuille et si c'est encore plus ton jour de chance, elle a noté son code sur sa carte de banque, à toi la belle vie ! :D

Enfin, cela dit, je crache quand même sur Mobib. J'vois pas l'intérêt de faire un abonnement que tu dois quand même pointer, c'est de la bonne régression par rapport au fait de rentrer tout "chill" dans ton métro.
 
Amo

Amo

Templar@LamZ
N1C0 a dit:
Enfin, cela dit, je crache quand même sur Mobib. J'vois pas l'intérêt de faire un abonnement que tu dois quand même pointer, c'est de la bonne régression par rapport au fait de rentrer tout "chill" dans ton métro.
Cliquez pour agrandir...
Clairement, je trouve ça complètement débile. Une perte de temps également.
Surtout que j'imagine que les contrôleurs avec leur scanner ils doivent pouvoir voir si t'as un abo on non :[]
 
1er
OP
gl0b

gl0b

▇ ▅ █ ▅ ▇ ▂ ▃ ▁ ▁ ▅ ▃ ▅ ▅ ▄ ▅ ▇
et bientôt on aura des tourniquets surement :D
 
L

Loetheri

Elite
Euh, ne croyez pas que tous les appareils sans contact sont aussi peu fiables que ceux de la STIB. Des théories plus ou moins réalistes existent sur le contrôle via les puces RFID si elles étaient généralisées (vraiment généralisées).

Personnellement, ce que je trouve le plus déplorable, c'est que comme bien souvent on annonce à grande pompe que rien ne sera gardée sur la carte (voire même dans un base de donnée) et que paf ! (oui, le chien) en vérité on est bien loin. De la part d'une société privée, je comprendrai (même si je n'accepte pas) mais d'une société "publique" (que les bruxellois subventionnent à coup de montage foireux), je trouve cela frustrant.
 
Skarbone

Skarbone

Le méchant Ω
en meme temps la puce, elle se lit a 10-15 centimètres maximum, si quelqu'un veut connaitre votre nom il a aussi vite fait d'apprendre l'art du pickpocket :D.

Perso j'utilise pas encore mobib, mais c'est vraiment très très loin de me déranger...

Amo a dit:
Clairement, je trouve ça complètement débile. Une perte de temps également.
Surtout que j'imagine que les contrôleurs avec leur scanner ils doivent pouvoir voir si t'as un abo on non :[]
Cliquez pour agrandir...
J'imagine que si tu le pointes pas et que tu te fais controler quand meme, tu va pas payer une amende parce que tu a pas pointé... (enfin, en cas d'abonnement, pour les cartes "prepayées" ca change rien, en fait c'est même plus rapide)

Par contre, il y a un grand intéret a ce que tout le monde pointe: la stib pourra savoir quel sont les axes les plus empruntés et pourra, en conséquence, améliorer le trafic de bus/tram/metro aux bonnes heures aux bons endroits!
 
R

RiverMichael

Elite
Qu'est-ce que je m'en fous qu'on sache où je me suis rendu et qu'est-ce qu'on pourrait bien faire de ce genre d'info. D'autant que sur un ticket normal, ce sont les mêmes informations ... mais en clair.
 
C@n

C@n

Elite
Cela fonctionne par induction ?
 
uG_GhOsT

uG_GhOsT

bbbbbiiiiaaaaattttcccchhh
non par acceleration des particules de la carte, en faite il projetent d'installer un cyclotron juste avant les tourniquets. :D
 
1er
OP
gl0b

gl0b

▇ ▅ █ ▅ ▇ ▂ ▃ ▁ ▁ ▅ ▃ ▅ ▅ ▄ ▅ ▇
Ils auraient quand même dû crypter un minimum leur brol quand même...

On m'a raconté que si les oblitérateurs buggent autant, c'est que quand les bus arrivent au dépôt, l'oblitérateur envoie par wifi les infos stockées la journée sur son disque dur.

Seulement voilà, le wifi au dépôt est souvent saturé et le disque dur interne du bazar du fait de sa petite taille se remplit à bloc. Ce qui fait que ça plante ces jolies boîtes rouges.

Pas mal hein? :D
 
Durango

Durango

Six-Roses Jack
Ce que je comprend pas, c'est pourquoi les vieux nerds de l'UCL ont balancé le logiciel sur le net. A part pour faire genre : "zOMG on est des hackers de oufzorr, matte moi ça, naab, ont est trop fort lol tavu".

Bien sûr, ils disent très sérieusement l'avoir publié sur le toile pour le respect de l'utilisateur, pour qu'il ait le droit d'accès à ses propre informations privées, mais pour moi, c'est juste du pur kikoolage qui fait chier tout le monde plus qu'autre chose.

Là où 1 personne sur 10.000 aurait été au courant qu'on puisse "pirater" cette carte, maintenant, tout le monde le sait. Bravo, intelligent. Mais bon, je vois pas vraiment à quoi l'information pourrait servir, franchement. C'est pas comme si ça donnait accès a votre compte en banque quoi, c'est juste des données sur vos trajets. "Onoes, il sait que je fais Namur-Nivelles tout les vendredi O_O FEAR !!1!".

De toute façon, pour ce que ça valais comme piratage... "Loulz, un geek pourrait connaitre mes itinéraires de train, je FEAR !"...
De toute façon, si un gars avait eu les compétences informatique pour lire ta carte, je doute qu'il en aie vraiment fait grand chose. (Vous voyez un geek venir vous racketter parcequ'il sait que vous passerez à Namur ce vendredi ?)

Maintenant que tout le monde à accès au logiciel, c'est sur qu'on est plus obligé d'être un nerdz pour pouvoir lire tes infos si on le souhaite vraiment... Mais bon, franchement...



Bref, par principe, oui, ça devrais être sécurisé. Mais bon, c'était pas crypté sur les billet papier, ça l'est toujours pas sur MOBIB, k, quoi c'est pas la mort. C'est surtout l'intelligence foudroyante des mecs de l'UCL qui m'épatte, franchement.
 
R

RiverMichael

Elite
Toujours dans l'éventualité où ça servirait à quelque chose de connaître l'heure à laquelle j'ai pointé à Delta. ^^ Que la stib conserve les infos j'y crois moyen: et les boîtes rouges dans le métro, elles se déplacent aussi jusqu'au dépôt pour charger les données?
 
L

Loetheri

Elite
@ Durango :
Tu ne comprends pas que ce soit diffusé à tout le monde.
Sache cependant que c'est une pratique très courante sur Internet. Cela permet notamment de faire pression sur la société/organisme/personne qui développe le bazar.

Cela dit, je suis étonné que même si tu te fous qu'on sache où tu as pointé et quand, tu t'en prennes aux chercheurs de l'UCL. N'ont-ils pas mis en avant un mensonge ? Personnellement, j'avoue qu'il y a des choses plus intéressantes à faire que ça. Mais je ne comprends pas comment vous n'êtes pas outré par l'attitude de la STIB.

@ Skarbone :
10-15 centimètres ? Pas certain ... Tu vois les barrières anti-vol ? Le système RFID est basé sur le même système. Tu sais avoir de larges portails et de façon très simples.

@ C@n :
La puce la plus simple est un circuit LC. Il y a deux ans, pour un projet, on a du créer un système simplifié de badge/anti-vol. Rien de bien compliqué (sauf le calibrage :D)
 
Durango

Durango

Six-Roses Jack
Loetheri a dit:
Tu ne comprends pas que ce soit diffusé à tout le monde.
Sache cependant que c'est une pratique très courante sur Internet. Cela permet notamment de faire pression sur la société/organisme/personne qui développe le bazar.

Cela dit, je suis étonné que même si tu te fous qu'on sache où tu as pointé et quand, tu t'en prennes aux chercheurs de l'UCL. N'ont-ils pas mis en avant un mensonge ? Personnellement, j'avoue qu'il y a des choses plus intéressantes à faire que ça. Mais je ne comprends pas comment vous n'êtes pas outré par l'attitude de la STIB.
Cliquez pour agrandir...
Comme dit plus haut, je reconnais volontier que par principe, cela aurait du être sécurisé.

Mais oui, je m'en prend au chercheurs de l'UCL. Cela t'étonne ? Qu'ils mettent en avant le mensonge de la STIB, parfait. Très bien. Tout le monde doit être informé.

Qu'ils balancent le logiciel permettant de lire la carte à distance publiquement sur le net, ça non. Là, je dis que c'est déconner. (Enfin façon de parler, c'est pas la mort non plus quoi). Je ne m'en prend pas à eux parce qu'ils ont fait leur boulot et qu'ils ont trouvé l'erreur, mais parce qu'ils contribue à l'élargissement de la faille. Et ça, pratique courante ou non, je trouve ça très très con. Ce n'est pas parce que c'est fait couramment que c'est automatiquement une bonne chose, hein.
 
R

RiverMichael

Elite
J'ai été attrapé il y a 5 ans à Schuman par un employé de la STIB qui voulait faire un sondage. Il m'a présenté une photo d'une station de métro parisienne avec des portiques fermés et m'a dit ce que j'en pensais. J'ai répondu que j'avais déjà pris le métro parisien plusieurs fois et que quand il y avait du monde, on perdait un temps fou à passer ces portes. Il y a deux ans, je voyais à Delta les premières portes apparaître. En maintenant les cartes magnétiques. Mes craintes sont confirmées: j'ai déjà raté un métro à Delta parce que deux ou trois personnes devaient passer les portiques avant moi.

En conclusion, le système de reconnaissance magnétique existe à Paris depuis 15 ans mais également à Berlin. Ce n'est donc pas nouveau et l'état français ne cache pas des salles de torture en-dessous des stations de métro pour interroger les voyageurs dont le parcours a été tracé. ^^ En revanche, pourquoi personne ne dit rien à propos du temps perdu à ces fameuses portes? Moi, je me pose la question!
 
Skarbone

Skarbone

Le méchant Ω
Loetheri a dit:
@ Durango :
Tu ne comprends pas que ce soit diffusé à tout le monde.
Sache cependant que c'est une pratique très courante sur Internet. Cela permet notamment de faire pression sur la société/organisme/personne qui développe le bazar.

Cela dit, je suis étonné que même si tu te fous qu'on sache où tu as pointé et quand, tu t'en prennes aux chercheurs de l'UCL. N'ont-ils pas mis en avant un mensonge ? Personnellement, j'avoue qu'il y a des choses plus intéressantes à faire que ça. Mais je ne comprends pas comment vous n'êtes pas outré par l'attitude de la STIB.

@ Skarbone :
10-15 centimètres ? Pas certain ... Tu vois les barrières anti-vol ? Le système RFID est basé sur le même système. Tu sais avoir de larges portails et de façon très simples.

@ C@n :
La puce la plus simple est un circuit LC. Il y a deux ans, pour un projet, on a du créer un système simplifié de badge/anti-vol. Rien de bien compliqué (sauf le calibrage :D)
Cliquez pour agrandir...

J'imagine bien un mec prendre un portail antivol dans le métro pour te soutirer ton nom et tes 3 derniers trajets tiens...
 
1er
OP
gl0b

gl0b

▇ ▅ █ ▅ ▇ ▂ ▃ ▁ ▁ ▅ ▃ ▅ ▅ ▄ ▅ ▇
RiverMichael a dit:
Toujours dans l'éventualité où ça servirait à quelque chose de connaître l'heure à laquelle j'ai pointé à Delta. ^^ Que la stib conserve les infos j'y crois moyen: et les boîtes rouges dans le métro, elles se déplacent aussi jusqu'au dépôt pour charger les données?
Cliquez pour agrandir...
Surement connectées en permanence par le même système sans fil :-D
 
C@n

C@n

Elite
Si la puce a un code de série... ils peuvent regrouper sur leur système plus que 3 voyages.

Et avoir des données statistiques des habitudes des voyageurs.
 
L

Loetheri

Elite
Skarbone a dit:
J'imagine bien un mec prendre un portail antivol dans le métro pour te soutirer ton nom et tes 3 derniers trajets tiens...
Cliquez pour agrandir...
Pas besoin d'un portail. En général, tu mets tes cartes dans ton porte-feuille. Celui-ci se trouve soit dans ta poche, dans ton sac ou dans ta veste (en général au niveau du coeur). Cela limite.
Après il serait possible en fonction des cartes, de lire la puce de celles-ci.

Ceci dit, je n'ai jamais dit que les données qui se trouvaient sur la carte avaient une quelconque utilité pour un quidam.

@ C@n :
Si j'ai bon souvenir, la STIB voulait récolter les données de façon anonyme pour étudier la façon de voyager des usagers et permettre ainsi "une amélioration du service" (Encore plus d'attente ?). Maintenant, est-ce que cela a été validé par un organisme sur la collecte de données (comme la CNIL en France) ? Aucune idée.
 
Connectez-vous pour réagir !
Haut