Comments on: Attaque mathématique des codes Bixi (vélo libre-service) http://www.paralint.com/blog/2009/06/17/attaque-mathematique-des-codes-bixi-velo-libre-service/ Programming security in C++, Java and Python, one line at a time Thu, 27 Oct 2011 12:13:37 +0000 hourly 1 http://wordpress.org/?v=3.3.1 By: Guillaume http://www.paralint.com/blog/2009/06/17/attaque-mathematique-des-codes-bixi-velo-libre-service/comment-page-1/#comment-351 Guillaume Thu, 09 Jul 2009 15:15:56 +0000 http://www.paralint.com/blog/?p=119#comment-351 Merci, ne t'en fais pas pour l'anglais, I usually posts in english anyway... You are right, brute force protection is pretty much built-in. I hear they have some physical security problems, with damaged bike racks. But the good news is that rollout of new bikes is still going strong ! Merci, ne t’en fais pas pour l’anglais, I usually posts in english anyway…

You are right, brute force protection is pretty much built-in. I hear they have some physical security problems, with damaged bike racks. But the good news is that rollout of new bikes is still going strong !

]]> By: iWoo http://www.paralint.com/blog/2009/06/17/attaque-mathematique-des-codes-bixi-velo-libre-service/comment-page-1/#comment-350 iWoo Thu, 09 Jul 2009 14:54:40 +0000 http://www.paralint.com/blog/?p=119#comment-350 Je suis pas doué pour les mathématiques, mais votre analyse et la séquence de Bruijn sont très intéressant! I believe the codes are indeed only usable for 3 or 5 minutes after it is given. However, the main reason that makes brute force attack impractical is that ten minutes is still too long. They may not need to program brute force detection, because they can just refuse all code entry until the station gives a code to someone renting. I believe each code is only valid for 3 minutes at the same station it is given at; and only when someone rents a BIXI by credit card. You would have to enter the correct code and take a bike in the 30 seconds before they are able to. Bonne chance! Someone also brought up the worry that BIXI member codes are easily guessed; they are 7 digits, allowing 0-9. They are not random at all. It seems they are just 1000000 + the number of subscribers + 1 (you). However, as far as I can tell, the only time this number is currently used is in gaining an extra 15 minutes free at a station with no available docks. You would identify yourself with your member number or credit card, depending on if you are subscriber or not. In this case, nothing is gained if you use someone else's number; if they happen to be on a BIXI, they may gain 15 minutes before they get charged. You, however, still have the same 30-minute free period! Je suis désolé pour ecrire en anglais sur un blog français. J'ai étudié français un peu, mais pas encore assez pour m'expliquer bien...et surtout, assez rapidement! Je suis pas doué pour les mathématiques, mais votre analyse et la séquence de Bruijn sont très intéressant! I believe the codes are indeed only usable for 3 or 5 minutes after it is given. However, the main reason that makes brute force attack impractical is that ten minutes is still too long. They may not need to program brute force detection, because they can just refuse all code entry until the station gives a code to someone renting.

I believe each code is only valid for 3 minutes at the same station it is given at; and only when someone rents a BIXI by credit card. You would have to enter the correct code and take a bike in the 30 seconds before they are able to. Bonne chance!

Someone also brought up the worry that BIXI member codes are easily guessed; they are 7 digits, allowing 0-9. They are not random at all. It seems they are just 1000000 + the number of subscribers + 1 (you).

However, as far as I can tell, the only time this number is currently used is in gaining an extra 15 minutes free at a station with no available docks. You would identify yourself with your member number or credit card, depending on if you are subscriber or not. In this case, nothing is gained if you use someone else’s number; if they happen to be on a BIXI, they may gain 15 minutes before they get charged. You, however, still have the same 30-minute free period!

Je suis désolé pour ecrire en anglais sur un blog français. J’ai étudié français un peu, mais pas encore assez pour m’expliquer bien…et surtout, assez rapidement!

]]> By: Guillaume http://www.paralint.com/blog/2009/06/17/attaque-mathematique-des-codes-bixi-velo-libre-service/comment-page-1/#comment-349 Guillaume Wed, 08 Jul 2009 16:53:13 +0000 http://www.paralint.com/blog/?p=119#comment-349 Oui, assez niaiseux. Mais c'est déjà arrivé pour des voitures (voir lien dans le texte). En moyenne, il faudra entrer 122 codes (610 chiffres) pour trouver le bon. A 5 secondes chaque, c'est 10 minutes, 20 minutes max. Mais le pattern d'attaque en force brute est si facile à détecter... Je me demande ce qui a été programmé dans le truc. J'aurais fais ceci : * N'accepter des codes que si on en a émis qui n'ont pas été utilisés * Après un certain nombre d'essais infructueux, ne plus accepter les codes de ce clavier pour x minutes * Ainsi de suite pour chaque clavier * Envoyer une alerte au centre opérationnel Bixi et journaliser l'utilisateur présumé (en respectant la norme PCI, bien sur). Ne pas accepter veut dire : laisser l'utilisateur entrer des codes, mais toujours les refuser, même s'il finit par tomber sur le bon code a force d'essayer. Bon été à vélo ! Oui, assez niaiseux. Mais c’est déjà arrivé pour des voitures (voir lien dans le texte).

En moyenne, il faudra entrer 122 codes (610 chiffres) pour trouver le bon. A 5 secondes chaque, c’est 10 minutes, 20 minutes max.

Mais le pattern d’attaque en force brute est si facile à détecter… Je me demande ce qui a été programmé dans le truc. J’aurais fais ceci :
* N’accepter des codes que si on en a émis qui n’ont pas été utilisés
* Après un certain nombre d’essais infructueux, ne plus accepter les codes de ce clavier pour x minutes
* Ainsi de suite pour chaque clavier
* Envoyer une alerte au centre opérationnel Bixi et journaliser l’utilisateur présumé (en respectant la norme PCI, bien sur).

Ne pas accepter veut dire : laisser l’utilisateur entrer des codes, mais toujours les refuser, même s’il finit par tomber sur le bon code a force d’essayer.

Bon été à vélo !

]]> By: Pierre-Luc http://www.paralint.com/blog/2009/06/17/attaque-mathematique-des-codes-bixi-velo-libre-service/comment-page-1/#comment-348 Pierre-Luc Wed, 08 Jul 2009 15:14:30 +0000 http://www.paralint.com/blog/?p=119#comment-348 Ça aurait été niaiseux de ne pas prendre tous les 5 chiffres d'un coup... Déjà là, quelqu'un avec TROP de patience peut entrer 245 combinaisons pour essayer d'en débloquer là. Mais sérieux, rendu là, il l'aura presque mérité...! Ça aurait été niaiseux de ne pas prendre tous les 5 chiffres d’un coup…

Déjà là, quelqu’un avec TROP de patience peut entrer 245 combinaisons pour essayer d’en débloquer là.

Mais sérieux, rendu là, il l’aura presque mérité…!

]]> By: cyruscode http://www.paralint.com/blog/2009/06/17/attaque-mathematique-des-codes-bixi-velo-libre-service/comment-page-1/#comment-340 cyruscode Wed, 24 Jun 2009 20:49:49 +0000 http://www.paralint.com/blog/?p=119#comment-340 Très intéressant comme analyse de la sécurité du système! Très intéressant comme analyse de la sécurité du système!

]]>