VIGIK : Le pass Vigik en détail

Article édité le 18.08.2019
5/5

Le passe partout Vigik et sa différence avec le badge d’immeuble Vigik.

Le badge pour porte d’immeuble souvent appelé à tort passe Vigik est un badge d’immeuble résident encodé de manière à ne pouvoir ouvrir que la (ou les) portes pour lequel il a été programmé par l’installateur de la centrale de contrôle d’accès. Ce badge est à validité permanente, il peut être désactivé par le gestionnaire d’immeuble en cas de perte ou de vol.

Le pass Vigik ou Pass prestataire généralement sous la forme d’une carte NFC, contient des données lui permettant d’accéder à l’ensemble des immeubles sociaux et privés, il n’est pas à validité permanente et doit être rechargé pour pouvoir fonctionner.

Pass Vigik
Carte Passe partout VIGIK

Vigik : Le fonctionnement

Le système Vigik a été créer par la Poste en collaboration avec de grands noms dans le secteur du contrôle d’accès tel que Intratone de Cogelec, Urmet, Comelit ou CDVI. 

Le pass Vigik a remplacé la clé Pass PTT de la Poste dans l’objectif de mieux sécuriser les entrées d’immeuble, car contrairement à la clé mécanique PTT, le Pass Vigik de part sa technologie NFC (RFID) permet de gérer au cas par cas les autorisations accordées aux prestataires qui disposent de ce précieux Sésame. 

Chaque utilisation d’un passe-partout est enregistrée dans la centrale sous forme “d’événements” (logs), ce qui permet au gestionnaire d’immeuble de connaitre précisément la date et l’heure de son passage. 

Toutes les centrales d’immeuble sont pré-programmées d’usine avec les différents codes prestataires, cette norme est imposée par l’association Vigik aux fabricants tels que Urmet, Intratone, Comelit-Immotec, Hexact et Noralsy. Les codes natifs sont attribués en fonction des besoins des prestataires.

Voici un aperçu des codes services : 

Codes natif Vigik
codes prestataires VIGIK

Le prestataire qui obtient les droits d’accès au pass d’entrée devra en plus posséder une borne de rechargement qui sera installée dans ses locaux. Cette borne permettra la configuration des Pass VIGIK ainsi que leurs rechargements, ils seront identifiés par cette borne à l’aide d’un numéro de série unique (UID) propre à chaque carte Pass. Un pass d’accès Vigik configuré sur une borne ne pourra donc pas être rechargé sur la borne d’un autre prestataire.

Selon les droits et autorisations accordés, le pass-partout aura une durée de validité pouvant aller de un à trois jours avec des plages horaires d’accès différentes selon les besoins. Un facteur dans la pratique ne pourra accéder aux immeubles que de 06h00 à 18h00 au delà son passe ne fonctionnera pas, il devra par ailleurs recharger son Vigik tous les matins avant de commencer sa tournée. 

Cette mesure à été mise en place afin que seuls les résidents puissent accéder 7j/7 et 24h/24 à leurs logements, un prestataire ne pourra donc pas accéder aux parties communes d’un immeuble en dehors de son temps de travail, de plus la restriction imposant le rechargement empêche le pass d’être “universel” en cas de perte ou de vol, sa durée de vie sera donc limitée. Néanmoins certains services de secours et de police disposent de Vigik pouvant fonctionner 24h/24 mais toujours avec une contrainte de rechargement.

Vigik et la clé RSA

Afin d’empêcher qu’un passe partout Vigik ne soit modifié, les données indispensables à son fonctionnement sont chiffrées avec une clé RSA 1024 bits, à ce jour ce chiffrement ne semble pas avoir été cassée, du moins pas par le grand public.

Le chercheur en sécurité Renaud Lifchitz prévoit que ce chiffrement devrait être cassé d’ici 3 ou 4 ans.

Vigik : Un Pass universel ?

Le Pass d’accès aux immeubles Vigik 

Le pass Vigik n’est pas un Pass universel du fait des limites de validité et de la protection de ses données par une clé RSA 1024, il est donc impossible de posséder un passe-partout Vigik qui fonctionnerait de manière continue 24h/24 et 7j/7, ce qui poserait bien évidement de véritables problèmes de sécurité. 

Théoriquement même si la clé RSA venait à être cassée, le système Vigik est conçu de telle manière qu’un Pass d’accès Vigik ne pourrait pas fonctionner au delà de 3 jours, une horloge interne présente dans chaque centrale vérifie cette validité lors de l’utilisation d’une carte Pass. Une validité supérieure empêcherait le Vigik de fonctionner.

Le Pass Vigik résident

Il existe un “Pass privé” configuré sur le logiciel de gestion d’une résidence. Ce passe-partout permet aux gardiens et aux services d’entretien de pouvoir accéder aux immeubles de la résidence avec ou sans contrainte. Ce pass se présente généralement sous la forme d’un badge d’immeuble mais de couleur différente aux autres badges afin de pouvoir l’identifier visuellement. Ce n’est donc pas à proprement parlé un pass Vigik mais un pass privé encodé par l’installateur à la demande du syndic de la résidence, du gardien ou du bailleur.

Passe-partout 

Ce passe-partout n’est pas protégé par une clé RSA, il peut donc être dupliquer et la copie fonctionnera de manière identique à l’original tant que ce dernier restera actif. En cas de désactivation du badge-pass original la copie ne fonctionnera plus. Cette pratique est très courante dans les résidences parfois même dans des quartiers, ce qui permet à des prestataires mandatés par la mairie ou les H.L.M de pouvoir accéder aux différents immeubles sans difficultés. Ce qui fût un temps était compliqué à gérer par le biais d’un badge maître car il fallait configurer le badge-pass sur chacune des centrales, aujourd’hui est devenu chose aisée par le développement des logiciels et encodeurs permettant de créer, modifier et supprimer un badge-pass ou un badge résident sans avoir à se deplacer sur site.

Fonctionnement et analyses techniques du pass Vigik

Analyse et article rédigé par Corentin.T, technicien de badge-vigik.fr

NOTA : Toutes les analyses du pass Vigik présentes dans ce document ont été testées sur une centrale Hexalight 2 Plus

Nous allons voir et comprendre toutes les données présentes dans un pass Vigik lorsque nous en extrayons les données et analysons son contenu par rétro ingénierie.

Voici un schéma pour mieux comprendre :

Contenu d'un pass Vigik

Dans le block 0 du secteur 0, on retrouve l’UID, ainsi que la clé de contrôle correspondante Checksum en anglais, sur les 5 premiers octets. Le restant du block 0 correspond au données constructeur, sans grande importance. L’octet 0x52 à l’offset 0x00000010 n’a pas été identifié, il n’est d’ailleurs pas utile pour le fonctionnement.

La valeur 0x1049 à l’offset 0x00000012 indique à la centrale d’aller lire dans le secteur 1 : la centrale comprend à ce moment là que le badge qu’elle lit est un passe Vigik. En fait, au tout début, elle essaie de lire le secteur 0 avec la clé Hexact 0x484558414354 ou bien avec la clé par défaut 0XA0A1A2A3A4A5. Dans le cas d’une clé par défaut, elle sait que c’est un passe.

Les 3 valeurs 0x1649 sont de simples aides mémoire (pour qui ?), car ignorés par la centrale. Je pensais d’abord qu’elles faisaient le lien avec les 3 secteurs contenant la signature RSA, mais la centrale ouvre la porte tout de même si l’on supprime ces 3 valeurs.

Par la suite, la centrale va lire les données en clair du secteur 1 : si la date est périmée, ou bien si des données nécessaires sont erronées ou manquantes, la centrale refuse le badge, et arrête sa lecture.

En clair, elle vérifie si la date et le timestamp correspondent bien à une période n’excédant pas 84h : Par exemple, nous sommes le 19 août, si le timestamp indique 72h de validité, soit 3 jours, et que le badge a été rechargé le 17, alors c’est ok, car 19-17 = 2 jours, on est bien dans le timestamp de 3 jours de validité.

Pour les horaires d’ouverture, on va se référer au code service : ici on est sur du la Poste Service Universel, car la valeur à l’offset 0x00000050 indique 0xAA070000. Ainsi, on sait que cette carte ne fonctionne que les jours de semaine, le samedi. Interdiction le dimanche et la nuit.

La centrale note ensuite la version de clé Vigik utilisé, il s’agit là de la version 2. S’agit t’il de RSA 1024 bits ? La version 1 était -elle RSA 768 bits ? Ce n’est que ma théorie.

Enfin, la centrale va vérifier si les données en clair ont bien été signées numériquement : la borne qui a chargé la carte dispose de la clé privée RSA qui permet de signer les données en clair, sous forme d’une signature RSA sur 1024 bits

On rappelle que 8 bits égal 1 octet. On constate que la signature contenue dans les secteurs 3, 4 et 5 contient bien 128 octets.

128×8 = 1024, on a donc bien notre signature de 1024 bits.

Le passe-partout Vigik

Sur ce second schéma, toutes les données nécessaires à l’ouverture de la porte ont été surlignées en rouge. Toutes les autres données peuvent être supprimées ou modifiées sans incidence sur l’ouverture de la porte. L’UID est pris en compte lors de la génération de la signature (La Poste avait anticipé les copies de ses badges). Par ailleurs, les Access conditions du secteur 0 indiquent l’interdiction d’écrire sur le block 0 qui naturellement est en lecture seule (encore une fois, la Poste avait t’elle anticipée les tags à block 0 modifiable ?)

La signature contenue dans les secteurs 3, 4 et 5 est générée à partir des données en clair du secteur 1 surlignées : il y en a très peu, et pour des raisons de sécurité, lorsque la borne signe le badge, elle prend toutes les données en clair du secteur 1 surlignées, puis ajoute du padding de seize 0, puis recommence jusqu’à atteindre 1024 bits de données, qui sont signés dans la foulée.

Bien entendu, les crypto1 et les access conditions ne sont pas pris en compte pour la signature, mais restent néanmoins vitales pour lire le tag.

On constate que lorsqu’un badge valide est présenté devant une centrale Vigik, celle-ci incrémente le compteur situé à l’offset 0x00000040. Ce compteur est sur 2 octets, ce qui fait une valeur max de 0xFFFF, soit 65536 passages.

Il est important de noter également que l’incrémentation est obligatoire pour ouvrir la porte : si la centrale ne peut pas écrire sur le compteur (Access conditions modifiés en conséquence), la porte refuse le badge.

Peut être ce système a été mis en place pour contrôler le nombre de passages des agents de la Poste ?

Après des tests d’ouverture sur des centrales récentes, on constate que celles-ci ignorent le badge s’il est équipé d’un backdoor, de la même manière qu’un badge résident cloné sur un « Chinese Magic Tag » (envoi d’une commande 0x40 pour interroger le backdoor, une carte classique ne reconnait pas cette commande et ne répondra pas, donc s’il y a réponse = backdoor et donc le tag est à ignorer).

Conclusion

En conclusion, on peut constater qu’à l’heure actuelle, seule la clé RSA empêche encore à quelqu’un qui s’y connait un peu de fabriquer ses propres tags, mais avec un peu de moyens financiers, on peut casser la clé RSA, on peut donc naturellement encoder des badges à la volée, en avance, également, car les données sont prédictibles (date souhaitée à renseigner).

Corentin.T

VIGIK : Le pass Vigik en détail
4.9 (98.29%) 70 vote[s]