VIGIK : Le pass Vigik en détail

Le passe partout Vigik et sa différence avec le badge d’immeuble Vigik.

Le passe d’une porte d’immeuble souvent appelé à tort passe Vigik ou passe magnétique est un badge d’immeuble résident encodé de manière à ne pouvoir ouvrir que la (ou les) portes pour lequel il a été programmé par l’installateur du système de contrôle d’accès. Ce badge est à validité permanente, il peut être (selon le type de centrale) désactivé en cas de perte ou de vol.

Le pass Vigik est un pass prestataire généralement présenté sous la forme d’une carte NFC, il contient des données (cryptées à l’aide d’une clé RSA 1024 bits) lui permettant d’accéder à la plupart des immeubles et résidences, mais contrairement au “pass”d’un résident il n’est pas à validité permanente et doit être “rechargé” toutes les 24 à 84h pour pouvoir fonctionner.

Pass Vigik
Article édité le 03.04.2020
5/5

Vigik : Histoire du système Vigik

Vigik est un label de sécurité du contrôle d’accès conçu par la Poste dont les membres fondateurs sont CDVI, Horanet, France Ouest, Gogelec, GrDF, Enedis, FDI Group Urmet et Comelit. 

L’association VIGIK® régit uniquement les prestataires de services, elle n’est ni un fabricant ni un distributeur de produits. 

La clé Pass PTT à donc été remplacée par une clé électronique brevetée et sécurisée dans l’objectif de mieux sécuriser les entrées d’immeuble, car contrairement à la clé mécanique PTT, le Pass Vigik de part sa technologie NFC (RFID) permet de gérer avec une meilleure précision les autorisations d’accès. 

Chaque utilisation d’un passe-partout est enregistrée dans la centrale sous forme d’événements (logs), ce qui permet au gestionnaire d’immeuble de connaitre précisément la date et l’heure de son passage. En cas d’infraction il devient aisé aux forces de l’ordre de remonter au propriétaire de ce pass.

Toutes les centrales d’immeuble sont pré-programmées d’usine avec les différents codes prestataires, cette norme est imposée par l’association Vigik aux fabricants tel que Urmet, Intratone, Comelit-Immotec, Hexact et Noralsy. Les codes natifs Vigik sont attribués en fonction des besoins des prestataires. Les facteurs de la Poste et les prestataires de courriers adressés sous soumis au contrôle de l’Arcep (Autorité de Régulation des Communications ElectroniqueS et des Postes)  tandis que les prestataires pour la distribution en boites aux lettres et livraison de colis tel que DHL, GLS, TNT ou UPS sont membres de l’association Adbal (Association des Distributeurs en Boites Aux Lettres) créée en 2010 pour gérer ces prestataires concurrents de la Poste.

Voici un aperçu des codes services :

Codes natif Vigik
codes prestataires VIGIK

Le prestataire qui obtient les droits d’accès au pass devra en plus posséder une borne de rechargement VIGIK qui sera installée dans ses locaux. Cette borne permettra la configuration des différentes cartes d’accès ainsi que le rechargement des droits. Les pass sont identifiés par cette borne à l’aide d’un numéro de série unique (UID) propre à chaque puce Mifare NXP. Un pass d’accès prestataire configuré sur une borne ne pourra donc pas être rechargé sur la borne d’un autre prestataire ou d’une autre agence.

Selon les droits et autorisations accordés, le passe-partout Vigik aura une durée de validité pouvant aller de un à trois jours avec des plages horaires d’accès différentes selon les besoins. Les facteurs, livreurs, services de secours et autres prestataires de services devront donc recharger leurs Vigik pass pour pouvoir l’utiliser.

Cette mesure à été mise en place afin que seuls les résidents puissent accéder 7j/7 et 24h/24 à leurs logements, un prestataire ne pourra donc pas accéder aux parties communes d’un immeuble en dehors de son temps de travail, de plus la restriction imposant le rechargement empêche le pass d’être “universel” en cas de perte ou de vol, sa durée de vie sera donc limitée. Néanmoins certains services de secours et de police disposent d’un Vigik pouvant fonctionner 24h/24 mais toujours avec la contrainte du rechargement.

Vigik et la clé RSA

Afin d’empêcher qu’un passe partout Vigik ne soit “crack锑 les données indispensables à son fonctionnement sont chiffrées avec une clé RSA 1024 bits, à ce jour ce chiffrement ne semble pas avoir été cassée, du moins pas par le grand public.

Le chercheur en sécurité Renaud Lifchitz prévoit que ce chiffrement devrait être cassé d’ici 3 ou 4 ans.

Vigik : Un Pass universel ?

Logo VIGIKLe pass Vigik n’est donc pas un Pass universel à validité permanente du fait des limites de validité et de la protection de ses données par une clé RSA 1024, il est donc impossible de posséder un Vigik passe-partout qui fonctionnerait de manière continue 24h/24 et 7j/7, ce qui poserait bien évidement de véritables problèmes de sécurité.

Théoriquement même si la clé RSA venait à être cassée, le contrôle d’accès par Vigik est conçu de telle manière qu’un Pass d’accès Vigik ne pourrait pas fonctionner au delà de 3 jours, une horloge interne présente dans chaque centrale vérifie cette validité lors de l’utilisation d’une carte Pass. Une validité supérieure empêcherait la clé pass Vigik de fonctionner. Cette horloge interne peut perturber le fonctionnement du pass si celle-ci est déréglée.

Le Vigik du gardien

Il existe un “Pass privé” configuré sur le logiciel de gestion du contrôle des accès d’une résidence. Ce passe-partout permet aux gardiens et aux services d’entretien de pouvoir accéder aux différents immeubles d’une ou de plusieurs résidences avec ou sans contraintes horaires. Ce pass se présente généralement sous la forme d’un badge d’immeuble mais de couleur différente des badges résidents afin de pouvoir l’identifier visuellement. Ce n’est donc pas à proprement parlé un pass Vigik mais un pass privé encodé par l’installateur à la demande du syndic de la résidence, du gardien ou du bailleur, il peut être annulé à tout moment en cas de perte ou de vol.

Passe-partout 

Ce passe-partout n’est pas protégé par une clé RSA, il peut donc être dupliquer et la copie fonctionnera de manière identique à l’original tant que ce dernier restera actif. En cas de désactivation du badge-pass original la copie ne fonctionnera plus. Cette pratique est très courante dans les résidences parfois même dans des quartiers, ce qui permet à des prestataires mandatés par la mairie ou les H.L.M de pouvoir accéder aux différents immeubles sans difficultés. Ce qui fût un temps était compliqué à gérer par le biais d’un badge maître car il fallait configurer le badge-pass sur chacune des centrales, aujourd’hui est devenu chose aisée par le développement des logiciels et encodeurs permettant de créer, modifier et supprimer un badge-pass ou un badge résident sans avoir à se déplacer sur site.

 

Plombiers et serruriers

Une copropriété peut décider d’autoriser d’autres catégories de prestataires comme un plombier, serrurier ou le chauffagiste à l’aide d’un code dit “non natif”.

Fonctionnement et analyses techniques du pass Vigik

Analyse et article rédigé par Corentin.T, technicien de badge-vigik.fr

NOTA : Toutes les analyses du pass Vigik présentes dans ce document ont été testées sur une centrale Hexalight 2 Plus

Nous allons voir et comprendre toutes les données présentes dans un pass Vigik lorsque nous en extrayons les données et analysons son contenu par rétro ingénierie.

Voici un schéma pour mieux comprendre :

Contenu d'un pass Vigik

Dans le block 0 du secteur 0, on retrouve l’UID, ainsi que la clé de contrôle correspondante Checksum en anglais, sur les 5 premiers octets. Le restant du block 0 correspond au données constructeur, sans grande importance. L’octet 0x52 à l’offset 0x00000010 n’a pas été identifié, il n’est d’ailleurs pas utile pour le fonctionnement.

La valeur 0x1049 à l’offset 0x00000012 indique à la centrale d’aller lire dans le secteur 1 : la centrale comprend à ce moment là que le badge qu’elle lit est un passe Vigik. En fait, au tout début, elle essaie de lire le secteur 0 avec la clé Hexact 0x484558414354 ou bien avec la clé par défaut 0XA0A1A2A3A4A5. Dans le cas d’une clé par défaut, elle sait que c’est un passe.

Les 3 valeurs 0x1649 sont de simples aides mémoire (pour qui ?), car ignorés par la centrale. Je pensais d’abord qu’elles faisaient le lien avec les 3 secteurs contenant la signature RSA, mais la centrale ouvre la porte tout de même si l’on supprime ces 3 valeurs.

Par la suite, la centrale va lire les données en clair du secteur 1 : si la date est périmée, ou bien si des données nécessaires sont erronées ou manquantes, la centrale refuse le badge, et arrête sa lecture.

En clair, elle vérifie si la date et le timestamp correspondent bien à une période n’excédant pas 84h : Par exemple, nous sommes le 19 août, si le timestamp indique 72h de validité, soit 3 jours, et que le badge a été rechargé le 17, alors c’est ok, car 19-17 = 2 jours, on est bien dans le timestamp de 3 jours de validité.

Pour les horaires d’ouverture, on va se référer au code service : ici on est sur du la Poste Service Universel, car la valeur à l’offset 0x00000050 indique 0xAA070000. Ainsi, on sait que cette carte ne fonctionne que les jours de semaine, le samedi. Interdiction le dimanche et la nuit.

La centrale note ensuite la version de clé Vigik utilisé, il s’agit là de la version 2. S’agit t’il de RSA 1024 bits ? La version 1 était -elle RSA 768 bits ? Ce n’est que ma théorie.

Enfin, la centrale va vérifier si les données en clair ont bien été signées numériquement : la borne qui a chargé la carte dispose de la clé privée RSA qui permet de signer les données en clair, sous forme d’une signature RSA sur 1024 bits

On rappelle que 8 bits égal 1 octet. On constate que la signature contenue dans les secteurs 3, 4 et 5 contient bien 128 octets.

128×8 = 1024, on a donc bien notre signature de 1024 bits.

Le passe-partout Vigik

Sur ce second schéma, toutes les données nécessaires à l’ouverture de la porte ont été surlignées en rouge. Toutes les autres données peuvent être supprimées ou modifiées sans incidence sur l’ouverture de la porte. L’UID est pris en compte lors de la génération de la signature (La Poste avait anticipé les copies de ses badges). Par ailleurs, les Access conditions du secteur 0 indiquent l’interdiction d’écrire sur le block 0 qui naturellement est en lecture seule (encore une fois, la Poste avait t’elle anticipée les tags à block 0 modifiable ?)

La signature contenue dans les secteurs 3, 4 et 5 est générée à partir des données en clair du secteur 1 surlignées : il y en a très peu, et pour des raisons de sécurité, lorsque la borne signe le badge, elle prend toutes les données en clair du secteur 1 surlignées, puis ajoute du padding de seize 0, puis recommence jusqu’à atteindre 1024 bits de données, qui sont signés dans la foulée.

Bien entendu, les crypto1 et les access conditions ne sont pas pris en compte pour la signature, mais restent néanmoins vitales pour lire le tag.

On constate que lorsqu’un badge valide est présenté devant une centrale Vigik, celle-ci incrémente le compteur situé à l’offset 0x00000040. Ce compteur est sur 2 octets, ce qui fait une valeur max de 0xFFFF, soit 65536 passages.

Il est important de noter également que l’incrémentation est obligatoire pour ouvrir la porte : si la centrale ne peut pas écrire sur le compteur (Access conditions modifiés en conséquence), la porte refuse le badge.

Peut être ce système a été mis en place pour contrôler le nombre de passages des agents de la Poste ?

Après des tests d’ouverture sur des centrales récentes, on constate que celles-ci ignorent le badge s’il est équipé d’un backdoor, de la même manière qu’un badge résident cloné sur un « Chinese Magic Tag » (envoi d’une commande 0x40 pour interroger le backdoor, une carte classique ne reconnait pas cette commande et ne répondra pas, donc s’il y a réponse = backdoor et donc le tag est à ignorer).

Conclusion

En conclusion, on peut constater qu’à l’heure actuelle, seule la clé RSA empêche encore à quelqu’un qui s’y connait un peu de fabriquer ses propres passes-partout…

Corentin.T

Pass VIGIK
5/5
ARTICLE
Pass Vigik
Titre :
Pass Vigik
Description :
Comment fonctionne le passe partout Vigik ? - Comment obtenir un Pass Vigik ? Toutes les réponses sur le pass PTT.
Auteur :
Publié par :
badge-vigik.fr
Logo :