VIGIK® : Le pass Immeuble

Le passe partout et sa différence avec le badge d’immeuble.

Le badge d’une porte d’immeuble souvent appelé à tort “Vigik”, “Vigic” ou pass magnétique est un badge de contrôle d’accès résident configuré de manière à ne pouvoir ouvrir que certaines portes pour lesquelles il a été programmé par l’installateur. 

Ce badge contrairement au passe-partout prestataire est à validité permanente, il fonctionne donc 24/4 et 7/7 et peut être suivant le type de centrale désactivé en cas de perte ou de vol.

Le pass Vigik est un pass prestataire généralement présenté sous la forme d’une carte blanche RFID au format d’une carte bancaire sans puce ni bande magnétique, il contient des données cryptées à l’aide d’une clé RSA 1024 bits lui permettant d’accéder à la plupart des immeubles et résidences, mais contrairement au “pass résident” il n’est pas à validité permanente et doit être “rechargé” toutes les 24 à 84h pour pouvoir fonctionner.

Pass Vigik
Carte Passe partout VIGIK
Article édité le 16.05.2020
5/5

Vigik : Un système Français

Vigik est un label de sécurité du contrôle d’accès conçu par la Poste dont les membres fondateurs sont CDVI, Horanet, France Ouest, Cogelec, GrDF, Enedis, FDI Group Urmet et Comelit. 

L’association VIGIK® régit uniquement les prestataires de services, elle n’est ni un fabricant ni un distributeur de produits.

La clé Pass PTT (Postes Télégraphes et Téléphones) a donc été remplacée par une clé électronique brevetée dans l’objectif de mieux sécuriser les accès aux immeubles à l’aide d’un badge contenant une puce RFID car contrairement à la clé mécanique PTT, la clé électronique de part sa technologie NFC (Near Field Communication – Communication en champ proche) permet de gérer avec une meilleure efficacité les autorisations d’accès afin d”optimiser le niveau de sécurité des bâtiments en remplaçant la serrure mécanique par une serrure électronique avec une authentification par badge.

Chaque utilisation d’un passe-partout est enregistrée dans la centrale sous forme d’événements (logs), ce qui permet au gestionnaire d’immeuble de connaitre précisément la date et l’heure de son passage. En cas d’infraction il devient aisé aux forces de l’ordre de remonter au propriétaire de ce pass grâce à son UID (identifiant unique) propre à chaque puce NXP Mifare Classic 1k.

Toutes les centrales à verrouillage électronique sont pré-programmées d’usine avec les différents codes prestataires, cette norme est imposée par l’association Vigik aux fabricants tel que Urmet, Intratone, Comelit-Immotec, Hexact et Noralsy. Les codes natifs Vigik sont attribués en fonction des besoins des prestataires. Les facteurs de la Poste et les prestataires de courriers adressés sous soumis au contrôle de l’Arcep (Autorité de Régulation des Communications Électroniques et des Postes)  tandis que les prestataires pour la distribution en boites aux lettres et livraison de colis tel que DHL, GLS, TNT ou UPS sont membres de l’association Adbal (Association des Distributeurs en Boites Aux Lettres) créée en 2010 pour gérer ces prestataires concurrents de la Poste.

Voici un aperçu des codes services :

Codes natif Vigik
codes natifs

Le prestataire qui obtient les droits d’accès au pass devra en plus posséder une borne de rechargement qui sera installée dans ses locaux. Cette borne permettra la configuration des différentes cartes d’accès ainsi que le rechargement des droits. Les pass sont identifiés par cette borne à l’aide d’un numéro de série unique (UID) propre à chaque puce Mifare NXP Semiconductors. Un pass d’accès prestataire configuré sur une borne ne pourra donc pas être rechargé sur la borne d’un autre prestataire ou d’une autre agence.

Un passe-partout a une durée de validité pouvant aller de un à trois jours avec des plages horaires d’accès différentes selon les besoins. Les facteurs, livreurs, services de secours et autres prestataires de services doivent recharger leurs cartes pass pour pouvoir l’utiliser.

Cette mesure à été mise en place afin que seuls les résidents puissent accéder 7j/7 et 24h/24 à leurs logements, un prestataire ne pourra donc pas accéder aux parties communes d’un immeuble en dehors de son temps de travail, de plus la restriction imposant le rechargement empêche le pass d’être à validité permanente en cas de perte ou de vol, son temps de fonctionnement sera donc limité. Certains services de secours et de police disposent d’un passe pouvant fonctionner 24h/24 mais toujours avec la contrainte du rechargement.

Vigik et la clé RSA

Afin d’empêcher qu’un passe partout ne soit “piraté” les données indispensables à son fonctionnement sont chiffrées avec une clé RSA 1024 bist, à ce jour ce chiffrement n’a pas été cassé, du moins pas par le grand public.

Vigik : Un Pass universel

Logo VIGIKLe Vigik est un Pass universel mais sa validité n’est pas permanente, il est donc techniquement impossible de posséder un passe-partout qui fonctionnerait de manière continue 24h/24 et 7j/7, ce qui poserait bien évidement de véritables problèmes de sécurité.

Théoriquement même si la clé RSA était cassée, le contrôle d’accès par Vigik est conçu de telle manière qu’un Pass ne pourrait pas fonctionner au delà de 3 jours, une horloge interne présente dans chaque centrale vérifie cette validité lors de l’utilisation d’un passe-partout. Une validité supérieure l’empêcherait de fonctionner. Cette horloge interne peut perturber le fonctionnement du pass si celle-ci est déréglée, c’est souvent pour cette raison que parfois dans certains immeubles ou résidences les facteurs et autres prestataires de services ne parviennent pas à utiliser leurs pass.

Le pass Vigik du gardien

Il existe un passe-partout gardien configuré sur le logiciel de gestion du contrôle des accès d’un parc résidentiel. Ce passe-partout permet aux gardiens et aux services d’entretien de pouvoir accéder aux différents immeubles d’une ou de plusieurs résidences avec ou sans contraintes horaires. Ce passe partout se présente généralement sous la forme d’un badge d’immeuble mais de couleur différente des badges résidents afin de pouvoir l’identifier visuellement. Ce n’est donc pas à proprement parlé un passe universel mais plutôt une clé électronique privée encodée par l’installateur à la demande du syndic de la résidence, du gardien ou du bailleur, il peut être annulé à tout moment en cas de perte ou de vol.

ACR122U
Lecteur encodeur NFC ACR 122U

Ce passe-partout n’est pas protégé par une clé RSA, il peut donc être dupliquer et la copie fonctionnera de manière identique à l’original tant que ce dernier restera actif. En cas de désactivation du badge-pass original la copie ne fonctionnera plus. Cette pratique est très courante dans les résidences parfois même dans des quartiers, ce qui permet à des prestataires mandatés par la mairie ou les H.L.M de pouvoir accéder aux différents immeubles sans difficultés. Ce qui fût un temps était compliqué à gérer par le biais d’un badge maître car il fallait configurer le badge-pass sur chacune des centrales, aujourd’hui est devenu chose aisée par le développement des logiciels et encodeurs permettant de créer, modifier et supprimer un badge-pass ou un badge résident sans avoir à se déplacer sur site.

Plombiers et serruriers

Une copropriété peut décider d’autoriser d’autres catégories de prestataires comme un plombier, serrurier ou le chauffagiste à l’aide d’un code dit “non natif”,  l’installateur devra donc intervenir physiquement sur la centrale d’accès pour y ajouter ce code non natif, celle evite aussi aux syndics de communiquer le code d’accès d’un digicode et ainsi renforcer la sécurité et éviter les intrusions de jour comme de nuit si ce code venait à etre dévoilé.

Le pass résident

Pass INTRATONE
Badge d'immeuble de la marque Intratone de Cogelec
Pass hexact
badge d'immeuble Hexact de chez Cogelec

Le pass Vigik résident est à validité permanente, il se présente généralement sous forme d’un badge d’immeuble et sa forme peut être différente suivant la marque de son fabricant. Il existe actuellement différentes marques de badges telles que Intratone, Hexact, Urmet, Noralsy, Comelit Immotec, CDVI, Bticino et Bitron Vidéo pour ne citer que les plus courantes. Aujourd’hui il est parfaitement possible de reproduire votre bip d’immeuble sur notre boutique en ligne ou dans l’un de nos points de vente CopyBadge.

Fonctionnement et analyses techniques du pass Vigik

NOTA : Toutes les analyses du pass Vigik présentes dans ce document ont été testées sur une centrale Hexalight 2 Plus

Centrale Vigik Hexact Light 2
Centrale d'immeuble Vigik

Analyse et article rédigé par Corentin.T, technicien de badge-vigik.fr

 

Nous allons voir et comprendre toutes les données présentes dans un pass Vigik lorsque nous en extrayons les données et analysons son contenu par rétro ingénierie.

Voici un schéma pour mieux comprendre :

Contenu d'un pass Vigik
Données contenues dans un Pass Vigik

Dans le block 0 du secteur 0, on retrouve l’UID, ainsi que la clé de contrôle correspondante Checksum en anglais, sur les 5 premiers octets. Le restant du block 0 correspond au données constructeur, sans grande importance. L’octet 0x52 à l’offset 0x00000010 n’a pas été identifié, il n’est d’ailleurs pas utile pour le fonctionnement.

La valeur 0x1049 à l’offset 0x00000012 indique à la centrale d’aller lire dans le secteur 1 : la centrale comprend à ce moment là que le badge qu’elle lit est un passe Vigik. En fait, au tout début, elle essaie de lire le secteur 0 avec la clé Hexact 0x484558414354 ou bien avec la clé par défaut 0XA0A1A2A3A4A5. Dans le cas d’une clé par défaut, elle sait que c’est un passe.

Les 3 valeurs 0x1649 sont de simples aides mémoire (pour qui ?), car ignorés par la centrale. Je pensais d’abord qu’elles faisaient le lien avec les 3 secteurs contenant la signature RSA, mais la centrale ouvre la porte tout de même si l’on supprime ces 3 valeurs.

Par la suite, la centrale va lire les données en clair du secteur 1 : si la date est périmée, ou bien si des données nécessaires sont erronées ou manquantes, la centrale refuse le badge, et arrête sa lecture.

En clair, elle vérifie si la date et le timestamp correspondent bien à une période n’excédant pas 84h : Par exemple, nous sommes le 19 août, si le timestamp indique 72h de validité, soit 3 jours, et que le badge a été rechargé le 17, alors c’est ok, car 19-17 = 2 jours, on est bien dans le timestamp de 3 jours de validité.

Pour les horaires d’ouverture, on va se référer au code service : ici on est sur du la Poste Service Universel, car la valeur à l’offset 0x00000050 indique 0xAA070000. Ainsi, on sait que cette carte ne fonctionne que les jours de semaine, le samedi. Interdiction le dimanche et la nuit.

La centrale note ensuite la version de clé Vigik utilisé, il s’agit là de la version 2. S’agit t’il de RSA 1024 bits ? La version 1 était -elle RSA 768 bits ? Ce n’est que ma théorie.

Enfin, la centrale va vérifier si les données en clair ont bien été signées numériquement : la borne qui a chargé la carte dispose de la clé privée RSA qui permet de signer les données en clair, sous forme d’une signature RSA sur 1024 bits

On rappelle que 8 bits égal 1 octet. On constate que la signature contenue dans les secteurs 3, 4 et 5 contient bien 128 octets.

128×8 = 1024, on a donc bien notre signature de 1024 bits.

Le passe-partout Vigik

Sur ce second schéma, toutes les données nécessaires à l’ouverture de la porte ont été surlignées en rouge. Toutes les autres données peuvent être supprimées ou modifiées sans incidence sur l’ouverture de la porte. L’UID est pris en compte lors de la génération de la signature (La Poste avait anticipé les copies de ses badges). Par ailleurs, les Access conditions du secteur 0 indiquent l’interdiction d’écrire sur le block 0 qui naturellement est en lecture seule (encore une fois, la Poste avait t’elle anticipée les tags à block 0 modifiable ?)

La signature contenue dans les secteurs 3, 4 et 5 est générée à partir des données en clair du secteur 1 surlignées : il y en a très peu, et pour des raisons de sécurité, lorsque la borne signe le badge, elle prend toutes les données en clair du secteur 1 surlignées, puis ajoute du padding de seize 0, puis recommence jusqu’à atteindre 1024 bits de données, qui sont signés dans la foulée.

Bien entendu, les crypto1 et les access conditions ne sont pas pris en compte pour la signature, mais restent néanmoins vitales pour lire le tag.

On constate que lorsqu’un badge valide est présenté devant une centrale Vigik, celle-ci incrémente le compteur situé à l’offset 0x00000040. Ce compteur est sur 2 octets, ce qui fait une valeur max de 0xFFFF, soit 65536 passages.

Il est important de noter également que l’incrémentation est obligatoire pour ouvrir la porte : si la centrale ne peut pas écrire sur le compteur (Access conditions modifiés en conséquence), la porte refuse le badge.

Peut être ce système a été mis en place pour contrôler le nombre de passages des agents de la Poste ?

Après des tests d’ouverture sur des centrales récentes, on constate que celles-ci ignorent le badge s’il est équipé d’un backdoor, de la même manière qu’un badge résident cloné sur un « Chinese Magic Tag » (envoi d’une commande 0x40 pour interroger le backdoor, une carte classique ne reconnait pas cette commande et ne répondra pas, donc s’il y a réponse = backdoor et donc le tag est à ignorer).

Conclusion

En conclusion, on peut constater qu’à l’heure actuelle, seule la clé RSA 1024-bit empêche la fabrication d’un pass Vigik.

Corentin.T

Summary
Review Date
Reviewed Item
Pass Vigik universel ou badge d'immeuble ?
Author Rating
51star1star1star1star1star
Product Name
Pass VIGIK
Price
EUR 15
Product Availability
Available in Stock