MIFARE™ est une gamme populaire de cartes à puce pouvant être lues sans fil sur de courtes distances. Ils peuvent stocker des informations d’identité ainsi qu’une valeur monétaire et sont le plus souvent utilisés comme billets ou laissez-passer dans les systèmes de transport en commun. La technologie appartient à NXP Semiconductors, une spin-off néerlandaise de Philips. La sécurité de certains produits MIFARE™ a été remise en question au milieu des années 2000 lorsqu’il a été découvert qu’un schéma de cryptage dans une carte largement utilisée était vulnérable aux attaques.
La gamme de produits comprend plusieurs cartes à puce sans contact différentes, c’est-à-dire des appareils de la taille d’une carte de crédit accessibles sans fil avec une certaine forme d’intelligence informatique intégrée. Le MIFARE™ Classic, introduit au milieu des années 1990, n’est guère plus que quelques circuits avancés et un peu de mémoire. Le MIFARE™ Ultralight, disponible dans des formats cryptés et non cryptés, est suffisamment bon marché pour être utilisé pour les billets jetables. Au sommet de la gamme de produits se trouvent les cartes à microprocesseur telles que MIFARE™ DESFire, ProX et SmartMX qui offrent un degré de sécurité et de flexibilité plus élevé.
Toutes les cartes de la famille partagent la capacité de stocker de l’argent ou des informations d’identité, généralement sous forme cryptée. NXP Semiconductors, une spin-off néerlandaise du géant de l’électronique Philips, détient les droits de la technologie et l’octroie sous licence à d’autres sociétés en plus de produire sa propre gamme de cartes. Un système entièrement fonctionnel basé sur MIFARE™ implique souvent plusieurs sociétés différentes, chacune fournissant une partie du système global. Les lecteurs et les systèmes dorsaux peuvent être achetés auprès d’un fournisseur, tandis que les cartes peuvent provenir d’un autre.
De nombreux fournisseurs de transports en commun dans le monde utilisent des versions renommées des cartes à puce MIFARE™ sous forme de laissez-passer mensuels, de laissez-passer rechargeables ou même de billets jetables. La carte Charlie de la Massachusetts Bay Transit Authority (MBTA) et la carte Oyster émise par Transport for London ont toutes deux utilisé la technologie MIFARE™ Classic. Dans certaines régions, la valeur stockée sur ces cartes de transport en commun peut être utilisée pour effectuer des achats dans les dépanneurs ou auprès d’autres commerçants. D’autres utilisations de la technologie incluent les cartes d’identité des étudiants ou des professeurs, des billets pour des événements sportifs ou pour limiter les entrées des bâtiments à un personnel spécifique.
En 2007, les chercheurs en sécurité ont commencé à étudier le schéma de cryptage propriétaire utilisé dans les cartes MIFARE™ Classic. La technique de cryptage s’est avérée vulnérable à plusieurs types d’attaques ; en l’espace d’un an, plusieurs groupes différents avaient montré que les cartes pouvaient être facilement lues et même dupliquées. NXP a répondu avec le MIFARE™ Plus, un appareil rétrocompatible qui utilise la norme de cryptage avancée (AES) plus sophistiquée pour protéger son contenu. Les systèmes qui utilisent l’ancienne ligne Classic restent vulnérables, mais peuvent mettre en œuvre des mesures de sécurité supplémentaires sur les lecteurs de cartes et dans le back-end pour réduire partiellement cette vulnérabilité.