Laïp Siks Thesis

Enfin un post très intéressant et pratique !!! Bravo ! (on dirait le message d'un bot)

Il va bien falloir cela vu que j'ai bu aujourd'hui ma première tasse de café et je l'ai apprécié. (dommage qui n'a pas été béni préalablement par ZG !)

Ces clés sont une véritable honte ! Je ne m'en étais pas rendu compte lors de mon excursion au laipsicks jusqu'à ce que cette horrible machine ne me rende pas mes précieuses pièces, et que je doive marchander avec les possesseurs de clés derrière moi ! Un peu plus et on bloquerait un labo pour cela !

Aahh mais au 7ème, ce sont des cartes à puces, pas magnétiques ! Nous avons nous aussi le droit à un microprocesseur sur supports amovibles. Oui madame.

Salut !

Content de voir qu'il y a pas que moi qui chercher a faire la meme chose :)
Question bête quelle type de communicateur il faudrai pour cause avec la clef ? (compatible PC ?)
Les machines a café qui est capable de lire les puce PCF7931 qui est en read-only peuvent lire aussi les PCF7930 qui est en read/write ?

@+

Bravo pour cette analyse... quoiqu'il y est quelques erreur:
-Les PCF7931 ne sont pas read only, il y a une partie de leur mémoire en eeprom donc réinscriptible
-l'information sur le nombre de sous n'est pas contenu dans la machine (cela voudrais dire que toutes les machines sont relié par réseaux afin que votre clef affiche le meme montant partout... impossible, trop cher pour une machine à café).
L'info des sous est contenu dans la clef, cette info est facile à lire avec un lecteur de tag 125Khz.
Ce qui est plus difficile c'est d'écrire sur la clef, en effet, ces clefs contiennent un mot de passe sur 56bits (donc 2 puissance 56 possibilitées) et pour écrire sur la clef il faut connaitre le mot de passe.
Dans une entreprise (ou sur un campus) toutes les clefs qui sont distribué contiennet le meme mots de passe. Et toutes les machines à café sont programmé pour écrire avec ce meme mot de passe. Facile à vérifier, il suffit d'essayer votre clef sur une machine d'une autre entreprise... ça ne marche pas.
Le moyen le plus "simple" d'obtenir ce mot de passe est de fabriquer un espion entre la machine et la clef (on peut trouver pas mal d'info la dessus sur emule en tapant PCF7931... probleme c'est en Italien).
Cette espion n'est pas très complexe mais necessite quand meme de la mise au point donc un minimum de matos (oscillo) et beaucoup de temps libre.... bon courage

Bonjour,
c'est encore moi (commentaire du 19 octobre).
j'ai réussi à lire le contenu d'une clé et à comprendre sont organisation memoire (surtout ou est sauvegardé le solde de la clé).
J'explique tout ça dans un fichier texte dont je vous fait un copier/coller ci dessous, j'espere que ce sera lisible et que cela pourrat etre utile à quelqu'un.
______________________________

/***********************************************/
/*** Dump d'une cle avec un credit de 4,98€ ***/
/***********************************************/

***Block 0***
Octet binaire hexa description
00 0000 0000 00 password
01 0000 0000 00 password
02 0000 0000 00 password
03 0000 0000 00 password
04 0000 0000 00 password
05 0000 0000 00 password
06 0000 0000 00 password
07 0000 0001 01 PAC [0] lorsque le bit[0] de cette octet est a "1", on lit des "0" à la plaçe du password
08 0000 0100 04 BWP [7,6,5,4,3,2,1,0] ici, bit[2]=1 donc le block 2 est protege contre l'ecriture
09 0000 0000 00 reserved
10 0000 0000 00 reserved
11 0000 0000 00 reserved
12 0000 0000 00 reserved
13 0000 0000 00 reserved
14 0000 0000 00 reserved
15 0000 0000 00 reserved

***Block 1***
Octet binaire hexa description
16 0000 0000 00 sync pattern
17 0111 1101 7D sync pattern cet octet est utilise pour comptabilser le nombre d'operation sur la cle, il est incrémenté a chaque ecriture
18 0000 0000 00 sync pattern
19 0000 0000 00 sync pattern
20 0000 0000 00 sync pattern
21 0000 0000 00 sync pattern
22 0000 0000 00 sync pattern
23 0000 0000 00 sync pattern
24 0000 0000 00 IDE (identifier)
25 0000 0000 00 IDE
26 0000 0000 00 IDE
27 0000 0000 00 IDE
28 0000 0000 00 IDL (IDE lock)
29 0000 0000 00 SDH (shadow memory select/lock)
30 0000 0000 00 RB1 [7] RFB [2,1,0] ici on vois que le premier block a etre emis par la cle (RFB[2,1,0]) vaut "000" donc block 0
31 0000 0011 03 RLB [2,1,0] ici on vois que le dernier block a etre emis par la cle (RLB[2,1,0]) vaut "011" donc block 3

***Block 2***
Octet binaire hexa description
32 0000 0111 07 Ce block est certainement utilise comme un identifiant unique de la cle (dans quel but???)
33 1001 1001 99 ce block ne peut pas etre modifier puisque l'octet 08 (BWP), bit[2]=1 donc block 2 protege en ecriture
34 0011 0110 36
35 0001 1100 1C
36 1111 0110 F6
37 1010 0000 A0
38 0111 0010 72
39 1101 1010 DA
40 1111 1110 FE
41 1011 1010 BA
42 1110 1000 E8
43 1101 0011 D3
44 1001 1111 9F
45 0001 1100 1C
46 1100 0000 C0
47 0000 0101 05

***Block 3***
Octet binaire hexa description
48 0101 0101 55 C'est dans ce block qu'est stocker l'info sur le solde de la cle, cette info est stocke
49 0000 0010 02 entre l'octet 48 et 57. Voir la descrition plus precise ci dessous
50 0001 0000 10
51 0000 0010 02
52 0001 0000 10
53 1010 1010 AA
54 0000 0001 01
55 1111 0010 F2
56 0000 0001 01
57 1111 0010 F2
58 0000 0000 00
59 0000 0000 00
60 0000 0000 00
61 0000 0000 00
62 0000 0000 00
63 0000 0000 00


Description du stockage du solde de la cle:

Le solde de la cle est stocke entre l'octet 48 et 57.

Ces dix octets sont séparer en deux zones, une zone contient le solde actuel, l'autre zone contient le solde precedent la derniere utilisation.

Ces deux zones commence chacune par un delimiteur, ce sont les octets 48 et 53.

Ces deux octets "delimiteur" contienne toujours soit AA soit 55. leur valeur s'inverse a chaque utilisation de la cle.

Les octets qui se trouve derriere le delimiteur AA contient le solde actuel, les octets derriere 55 contiennent le solde precedent.

L'information sur le solde actuel ou precedent est stocker sur deux octets lesquels sont dupliquer.

Donc les octets contenant le solde actuel ou precedent sont toujours les octets 49, 50 (51,52 sont une copie)et 54, 55 (55,56 sont une copie)

Dans le dump ci dessus on constate que l'octet[48]=55, donc les deux octets suivant (49,50) sont le solde precedent soit, octet[49,50]=0210 en hexa, soit en decimal 528 (5€28).
L'octet[53]=AA, donc les deux octets suivant (54,55) sont le solde actuel soit, octet[54,55]=01F2 en hexa, soit en decimal 498 (4€98)

Apres avoir effectuer un autre debit de 0,23€ sur la cle (voir dump ci dessous), on constate bien que les delimiteurs (octets 48 et 53) inverse leur contenu et que le compteur d'operation (octet 17) s'incremente.

___________________________________________________________

/******************************************************************************/
/*** Dump de cette meme cle apres un debit de 0,23€ soit un solde de 4,75€ ***/
/******************************************************************************/

***Block 0***
Octet binaire hexa description
00 0000 0000 00 password
01 0000 0000 00 password
02 0000 0000 00 password
03 0000 0000 00 password
04 0000 0000 00 password
05 0000 0000 00 password
06 0000 0000 00 password
07 0000 0001 01 PAC [0]
08 0000 0100 04 BWP [7,6,5,4,3,2,1,0]
09 0000 0000 00 reserved
10 0000 0000 00 reserved
11 0000 0000 00 reserved
12 0000 0000 00 reserved
13 0000 0000 00 reserved
14 0000 0000 00 reserved
15 0000 0000 00 reserved

***Block 1***
Octet binaire hexa description
16 0000 0000 00 sync pattern
17 0111 1110 7E sync pattern le compteur d'operation c'est incrementer de 1
18 0000 0000 00 sync pattern
19 0000 0000 00 sync pattern
20 0000 0000 00 sync pattern
21 0000 0000 00 sync pattern
22 0000 0000 00 sync pattern
23 0000 0000 00 sync pattern
24 0000 0000 00 IDE (identifier)
25 0000 0000 00 IDE
26 0000 0000 00 IDE
27 0000 0000 00 IDE
28 0000 0000 00 IDL (IDE lock)
29 0000 0000 00 SDH (shadow memory select/lock)
30 0000 0000 00 RB1 [7] RFB [2,1,0]
31 0000 0011 03 RLB [2,1,0]

***Block 2***
Octet binaire hexa description
32 0000 0111 07
33 1001 1001 99
34 0011 0110 36
35 0001 1100 1C
36 1111 0110 F6
37 1010 0000 A0
38 0111 0010 72
39 1101 1010 DA
40 1111 1110 FE
41 1011 1010 BA
42 1110 1000 E8
43 1101 0011 D3
44 1001 1111 9F
45 0001 1100 1C
46 1100 0000 C0
47 0000 0101 05

***Block 3***
Octet binaire hexa description
48 0101 0101 AA Delimiteur AA donc les deux octets suivant sont le solde actuel
49 0000 0001 01 octet[49,50]=1DB, soit en decimal 475 (4,75€)
50 1101 1011 DB
51 0000 0001 01 octet[51,52] = copie de octet[49,50]
52 1101 1011 DB
53 1010 1010 55 Delimiteur 55 donc les deux octets suivant sont le solde precedent
54 0000 0001 01 octet[54,55]=1F2, soit en decimal 498 (4,98€)
55 1111 0010 F2
56 0000 0001 01 octet[56,57] = copie de octet[54,55]
57 1111 0010 F2
58 0000 0000 00
59 0000 0000 00
60 0000 0000 00
61 0000 0000 00
62 0000 0000 00
63 0000 0000 00

Salut, merci pour les infos, j'avoue on a plus trop le temps de creuser tout ca, ni même de répondre, c'est dire! (exception là).

Bon notre plan est simple : écouter le traffic radio entre le transpondeur et la machine à café, enregistrer la séquence qui correspond à un crédit, et le rebalancer directement pour reprogrammer la clef sans même à avoir à se préocuper de casser le code de la clef. Bon alors ca supose évidement que la machine à café ne garde aucune trace mémoire des opérations associée à une clef (un compteur par exemple).

Pour écouter le traffic radio :
celui ci est aux alentour de 125 khz, mais il reste à savoir comment est moduler le signal et surtout si c'est la porteuse ou le signal porté qui est à 125khz (ca change tout)... et à l'écouter donc. L'idée pour cella est de modifier un récepteur radio AM à la con (la fréquence AM la plus basse est 153khz) pour s'en servir d'amplificateur (parait qu'il s'agit d'un circuit LC à modifier...). Reste le problème de l'échantilloneur. Il faut echantilloner au moins au double de 125 khz, or une carte audio ou différentes cartes d'aquisition de donnée classique échantillonnent au max à seulement 48khz... l'idée qui sauve est alors d'utiliser une carte d'aquisition vidéo, qui elle peut échantillonner à plusieurs Mhz. Le problème étant alors de disposer d'un driver pour lire celle ci...

Pour envoyer du traffic radio : aucune idée, on n'y avais pas pensé avant.

ps : dis donc je rêve où il n'y a aucun mot de passe sur le dump des transpondeurs? Il ne suffit pas alors de réecrire éternellement le même dump?

hello,

il y a belle et bien un mot de passe sur le dump de la cle que j'ai fait, mais je ne peux pas le lire car l'octet[7], bit[0]=1 donc le mot de passe est protege et je ne lis que des "0".

La machine a cafe, elle, connait ce mot de passe et peux donc ecrire sur la cle. Sans le mot de passe je ne peut que lire sont contenu.

Pour lire le contenu de la cle rien de plus simple, un simple circuit LC accorde sur 125Khz (l'inductance L vient d'un vieux poste radio).
En entree du circuit j'ai branche un generateur basse frequence qui balance une sinusoide a 125Khz et en sortie un oscillo.
Quand je met la cle a l'interieur de l'inductance la sinusoide change d'amplitude en fonction des datas contenu dans la cle (c'est une modulation ASK tres facile a lire sur l'oscillo).

Ouki, dans ce cas je vois deux pistes :

1) si le mot de passe est transmis en clair avant l'écriture sur la clef : tu place ton circuit écouteur entre la puce de ta clef et la machine à café et tu n'a plus qu'à lire les données en clair sur l'oscilo.

2) si le message transmis est message crypté : fabriquer un circuit émeteur et écrire directement le message crypté correspondant à un certain crédit sur ta clef.

Que pense tu de ces deux solutions?

Euh salut, mais euh... vous avez pensé à brancher le display rack sur la sortie rj45 ?
Ce serait complètement glucose, non ?

bonjour,
où en est donc resté cette discussion fort intéressante

quelqu'un a t il pu effectuer des test ?

Mais oui où est donc ce poste ?
Je compte me lancer dans l'aventure du decryptage de cette clé.
Quelqu'un est il dejà parti en croisade ?
@+

salut à tous,
y'a t'il des copains qui jouent au transpondeur ?
moi j'aimerais bien jouer avec vous !
problème je suis loin de dumper,
mais grâce a mon LC (155µH/10.6nF)je vois des trucs qui gigotent a l'oscillo., c'est beau mais j'suis pas loin de capter l'os, si vous avez des tuyaux ce serait appréciable.
++

Bonjour à tous =)
Je viens aussi d'acquérir ce même type de clé sur mon lieu de travail (hôpital) vendu 4€, sans crédit.
Elle permet d'avoir 5% de réduction sur la totalité des produits donc a mon avis y a un truc pour cette information pour le calcul

Ce commentaire a été supprimé par l'auteur.

Ce commentaire a été supprimé par l'auteur.

Bonjour,
je voudrais savoir si vous avez des infos en plus ou si il y a de l'avancement ds le projet ?!
Merci à tous

bonjour , est il possible de se procuré une yes-key ? si oui ou? et dans quel prix? merci

Une clés zip, c'est impossible de l'auto-recharger car il faut un appareil assez special pour. A moin d'avoir un pass pour ouvrire la becanne et reprogrammer les prix.Ou recharger sa clés machine ouverte; Je vois pas autre chose.

moi je dis qu'il doit y avoir une solution à tout ca, c'est juste qu'on a pas encore la réponse...

Bonjour,

J'ai trouvé un programteur de clef de voiture qui apparement lis et programme notre bébéte.

http://cgi.ebay.com/ebaymotors/ws/eBayISAPI.dll?ViewItem&_trksid=p3984.m1438.l2649&item=160644442542&viewitem=&sspagename=STRK%3AMEWAX%3AIT

Alors est ce que quelqu'un à percé le secret de ces clés

Je suis pas trop d'accord avec ce qui est dit au tout debut. A mon avis le solde est stocké sur la clé. Car sinon quand tu vas sur une autre machine, il faudra imaginer que les machines a cafe soient reliées entre elles....

Mais si le secret est percé, c'est evident que ça interesse, pour la curiosité...

Bonjour
Est ce qu'un lecteur comme celui ci fonctionnerai
http://www.ebay.fr/itm/125-KHZ-EM4100-RFID-card-read-module-RDM630-UART-compatible-Arduino-/261110689339?pt=LH_DefaultDomain_0&hash=item3ccb68ee3b

Pourquoi ne pas essayer toutes les combinaisons de mots de passe suivi d'une écriture et ensuite d'une lecture jusqu'à ce que la lecture soit égale à ce que l'on a écrit?

Bonjour, ravi de voir que ce post attire encore du monde.

J'avais laissé quelques billes pour vous aider (post du 19/10/2007 , 09/11/2007 et 15/11/2007),
j'espère que quelques un on réussi à aller jusqu'au bout de ce reverse engineering, mais quand je lis certains commentaires j'imagine que ceux qui on percé le "secret" des clés jaune ce compte sur les doigts d'une main.

J'ai les cafés gratuit depuis début 2008 (j'en profite sans abuser, mon but n'était pas lucratif!)

Donc pour ceux que cela intéresse encore je résume:

1- le solde est bel et bien contenu dans la clé (voir dump mémoire de ma clé du 09/11/2007, attention, ce dump peut très bien être différent dans une autre société)

2- il n'est pas possible de tester toutes les combinaisons, le password fait 56bits donc 2 puissance 56 possibilités = 72057594037927936 possibilités, soit en admettant que chaque test prend 10ms, 8339999310 jours, bon courage.

3- pour lire le contenu d'une clé c'est simple! je l'ai expliqué dans mon post du 15/11/2007 avec un circuit LC, un GBF (Générateur Basse Fréquence pour les nuls) en entrée et un oscilloscope en sortie. Sinon pour les faignasses il doit exister des reader tout fait... mais pour la suite il faudrait aussi qu'il fasse writer (pas simple à trouver).

Une fois que vous arriverez à faire le dump complet d'une clé vous pourrez passer à la suite, l'obtention du password et l'écriture dans la clé.
Rien ne sert de sauter les étapes, si vous êtes incapable de lire une clé (le plus simple), vous n'aurez aucune chance de réussir la suite, je dis ça pour les branleurs qui en sont encore à chercher sur ebay une yes-key pour moins de 100€, un niko? :-)))

4- le password est contenu dans les machines, et croyez le ou non, ce mot de passe est la première chose envoyé par la machine au moment ou vous plugger votre clés (après tout c'est logique la première chose à faire par la machine est de s'assurer que la clé est autoriser à fonctionner avec elle).
Le mot de passe n'est pas crypter!!! vous pourrez le voir passé à l'oscillo "aussi facilement" que les autres données

5- comment j'ai obtenu le password: j'ai usiné au cutter le plastique d'une clé autour duquel j'ai enroulé du file émaillé (la section du file et le nombre de spire c'était du feeling), si je pouvais poster des photos je l'aurais fait, cela serais utile pour ce faire une idée.
J'ai relié un oscillo à mémoire au borne du file (la il faut un bon oscillo avec suffisamment de mémoire) puis j'ai plugger ma clés dans la machine et miracle, les 56 premiers bits (modulé en ASK) qui apparaisse à l'oscillo, c'est le password!!!

6- une fois que l'on à le password il faut un writer pour writer :-) .
Pour cela j'ai trouvé des docs sur emule en tapant PCF7931, ces docs sont en italien mais j'y ai trouvé le schéma d'un reader que j'ai modifié en y ajoutant un µcontrôleur PIC16F876 pour le transformer en writer.

7- dernière étape (celle qui m'à pris le plus de temps et probablement la plus complexe): écrire le programme pour votre µcontrôleur.
Le point chaud du programme est d'obtenir des timing hyper précis pour le pilotage de vos signaux, ceux qui on déjà jouer avec des µcontrôleurs le savent, écrire sont programme en C c'est plus simple mais il est difficile d'obtenir une grande précision au niveau timing, pour cela l'assembleur est recommandé mais c'est plus chiant.

Et voila, une fois que vous aurez fait tout ça, à vous les snikers à volonté, un snikers, ça se mérite!

PS:
- aux branleurs qui cherche direct une yes-key, laissez tomber et retournez direct vous abrutir devant la télé.
- aux geek (je suis de ceux là) plus intéressé par la technique que par le café gratuit, j'essaierais de répondre à vos questions avec plaisir, enfin quand je repasserais sur cette page.
- il serait sympa de créer un post sur un forum sur lequel on puisse poster photos, schémas avec l'historique de ce post

Jolie Franck

J'ai un lecteur et j'arrive à lire les données.

Je suis entrain de me demander si on utilise une puce vierge et qu'on l'insere dans la machine a café en même temps que l'officielle il va peut etre copier les infos sur la puce vierge ?

salut a tous , cher Franck.G j'aimerais prendre contact avec vous pour ma clez a cafe zip,si vous m'aider je serait vous le rendre. mon adress mail dorianaubert@hotmail.com

salut a tous , cher Franck.G j'aimerais prendre contact avec vous pour ma clez a cafe zip,si vous m'aider je serait vous le rendre. mon adress mail dorianaubert@hotmail.com

salut a tous , cher Franck.G j'aimerais prendre contact avec vous pour ma clez a cafe zip,si vous m'aider je serait vous le rendre. mon adress mail dorianaubert@hotmail.com

Tu pourrais m'aider Franck ? Tu voudrais combien pour ton aide précieuse ?

Bonjour, moi je vais aprendre. C'est très curieux ça. Quel oscillo est-ce que je peux acheter? Moi j'ai pensé quelque sur ebay comme à nano ARM oscillo.
Après avoir le password je pense ecrire le transpondeur avec mon gambit reader writer.
Merci!
Je suis Frank aussi, mais de Barcelone.
Bonne aportation Franck G.!!

Up du sujet des clef jaunes?

je vous invite a lire sa il y a peu être quelque chose qui vous aidera.

http://www.nwglobalvending.com/Innovative_FIle/ZIP_Manuel_dutilisateur_FR.pdf

Up pleas du sujet bordel de clez

Imaginons que l'on possède un duplicateur rfid comme celui ci :
http://dx.com/p/125khz-rfid-card-copier-duplicator-with-writable-rfid-card-and-keychain-standalone-operation-17230

Est ce possible grâce a cet appareil de dupliquer une clé avec 5 euros a vidam eternam ?

La protection par mot de passe serai peut être contournée ??

Sans le password d'écriture c'est mort

Bonjour,

Je relance un peu le sujet.
Et j'avais une question pour Monsieur franck G!!! :)

Ton GBF etait assez puissant pour alimenter le simple circuit LC? car en général les GBF sont pas mal limité en courant.

Merci

Salut Franck G. Vend tu ton systeme pour faire plus simple j arrive a rien, malgré moulte recherche.

Merci.

Doudou, qu'est-ce que tu n'arrives pas à faire ?

Les conseils de Franck m'ont permis de reussir. Tu devrais y arriver aussi :)

Sur quels points tu coinces ?

1/ Lecture de ta clé zip ?
2/ Connaitre le mot de passe de ta machine à café ?
3/ Ecrire sur ta clé zip ?

Sinon, on peux toujours s'arranger :)

Un peu tout, tu propose quoi?

Un peu tout, tu propose quoi?

Ca dépend de toi :)

Avant tout, j'aimerais que tu saches qu'il faut avoir deux-trois connaissances en electronique, vraiment très léger, mais quand meme. Un fer à souder, du cuivre et une résistance de 10k Ohm.

Un peu de temps (j'dirais 1h)

Beaucoup de monde abandonne après avoir énoncé tout cela... Alors je prefere poser les bases.

Pour le moment dans l'étude de la clé tu en es où ? As tu regarder des datasheet ou autre ?

Cordialement

J ai un peu de connaissance je pense suffisament pour m en sortir. Le temps, le cuivre, la resistance et le fer c est OK.

La j essayé de prendre le max d info pour bien comprendre le fonctionnement de se systeme.

Je ne sais pas quoi prendre pour lire la clé, je voulais etre sur avant d investir. Tu me conseil quoi?

Soit tu le fabriques comme l'indique Franck,

Soit tu utilises un lecteur de transpondeur PCF7931, ça se trouve assez facilement sur des sites chinois :).

Une personne a meme cité le nom de l'objet dans un des commentaires.... un GA....IT

Alors j ai regardé mais je trouve 3 models, est ce qu il y a une fonction particuliere a avoir?

Quels sont ces modèles ?

Il faut qu'il soit compatible PCF7931 (ou PCF7930).

CAR KEY MASTER II Suffira amplement.

J'oubliais, il te faut une deuxième clé ZIP.

Car il va falloir que tu customise une des deux clés pour récuperer le mot de passe de la machine.

Ok je vois ca, et j avais prevu le coup pour la 2 eme clé

Bonjour bonjour,je viens ajouter mon grain de sel...
j'ai pas mal étudié le PCF7931 et les interactions avec la machine.
Je me suis procuré le fameux GA--IT, et je suis en attente de recevoir une puce vierge.

Je m'explique, sniffer le pass c'est fastidieux et pas très discret..

Lorsque la machine lit la clef, celle ci se met en "read mode", pas besoin du mot de pass, elle voit ce que l'on voit avec le GA--IT, c'est a dire que de toute facon le mot de passe sera remplacé par des 0.

Le mot de passe envoyé par la machine sert a écrire sur la clef, il est necessaire pour passer dans le "write mode" ensuite la machine ne lit plus la clef et donc ne voit jamais la ligne password (les 6 premiers octets) en clair.

En utilisant un PCF9731 vierge et en le codant sans password donc des 0 dans les 6 premiers octets et en désactivant l'option password "00 dans le 7ème octet" la clef répondra à la machine comme si celle ci lui avait donner le bon password et entre en write mode automatiquement, donc ni vu ni connu.. (cf. le datasheet du pcf9731)

Ce qu'il faut bien comprendre c'est que c'est la clef qui demande le password à la machine pour devenir inscriptible et pas l'inverse!

Ce que la machine vérifie c'est que le 3ème bloc d'octet contient bien les identifiants de la société, d'un utilisateur existant et d’éventuels codes de réduction. Chose que l'on a en clair avec une clef acheté dans le distributeur.

Bon ca reste de la théorie j'ai pas encore essayé mais je pense que ca fonctionnera.

Probleme de taille :
Ne pas oublier que le propriétaire de la machine fait les comptes chaque jour ou chaque semaine, et va s'apercevoir au premier coup d'oeil qu'une clef (la votre) dépense de l'argent sans jamais se recharger. Donc la il la mettra sur la blacklist de la machine et cette clef avec cet identifiant ne sera plus reconnue.

Solution : acheter une nouvelle clef et comme ça on a un nouvel identifiant ou, trouver ou est codé précisément l'identifiant (dans l'enfer du bloc 3) qui va de 0 à X et le changer de +1 à -1 selon... Mais ça j'ai pas encore trouvé.

*Sachant que le mec ne peut bloquer que 10 clefs en même temps dans la plus part des machines.

Voila remarques et commentaires sont les bienvenus.

RogPi.

Il y a du vrai et du faux dans ce que vous dites.

Il te faut impérativement le mot de passe. Tu ne peux, dans aucun cas trompé le système sans le mot de passe. Tout simplement parce que lorsque tu vas vouloir prendre un café dans la machine, il va vouloir récrire le nouveau crédit… Chose qu’il ne pourra pas faire vu qu’il est en READ MODE only.

Sniffer le mot de passe n’est pas bien compliqué, et peut etre très discret si on s’y prend bien. J’ai eu besoin d’etre seul à la machine à café que 2min. C’est pour vous dire ^^.

Je tiens à rajouter, que si tu mets une clé sans password dans ta machine à café, elle va te retourner une erreur. (ex : « clé inconnue »). Car la machine doit s’assurer que c’est l’une de leur clé et pas celle d’une autre boite.

Pour ce qui est de la blacklist. En effet, il existe une fonction dans les boitiers ZIP permettant de blacklister des clés. Mais si tu te fais blacklister, tu rajoutes une nouvelle clé, et voilà ^^

« Le distributeur fait des comptes et peut voir directement si il y a un problème ». VRAI/FAUX. Je m’explique, le distributeur peut en effet faire des comptes quotidiens/hebdo… Mais si un utilisateur met 5€ sur une clé, qu’il la range dans son tiroir pendant 2 ans, qu’il la ressorte et qui utilise cette clé, sur les comptes du distributeur il va y avoir un problème pourtant l’argent à bien été donné au distrib il y a 2ans. Il faudrait que le distributeur connaisse le montant d’argent stocké sur toutes les clés à un instant T.

Pour le password… on peut toujours s’arranger =)

Read mode only ca n'existe pas sur le PCF7931! Ca ne veut rien dire puisque c'est une façon de dire si un transpondeur est réinscriptible ou pas.

Voila ce qu'il est ecrit à la page 19 du datasheet pcf9731 (je cite):
"Pour le password 2 conflits peuvent apparraitre:

-Soit le PAC(password protection) est activé sur la clef et aucun password n'est envoyé par la machine -> a ce moment la le PCF retourne immédiatement en readmode (impossible d'écrire)

-Soit le PAC est désactivé et la machine envoi un password -> dans ce cas le PCF ignore le password et programme les données recus après le password."

Donc la machine écrira sur une clef sans password sans savoir si oui ou non le password est activé, et je le répète quand le PAC est activé (donc sur toutes les clefs vendus, PAC=1) à la lecture le password est remplacé par des 0 (toujours), donc la machine n'est en aucun cas capable de verifier les 7 premiers octet d'une clef avec PAC=1.

Pour s'assurer que la clef est bien de la boite la machine check le block 3 qui contient les information de la boite et de l'utilisateur.
La clef est prétendument inviolable car ce block 3 est protégé en écriture et donc il est impossible de le réécrire, meme avec le bon password.

A la lecture donc en programmant une clef comme il suit :

Block 1 : (hex)
Octet 1 à 7 = 00 (password = 00)
Octet 8 = 00 (PAC = 0 donc pass désactivé)
Octet 9 = 00 (Donc aucun block protégé en écriture pour pouvoir changer l'identifiant)

Block 3 : Même donné que sur une clef témoin

la machine n'y verra que du feu.
Sauf si la machine verifie l'octet 8 du block 1 pour verifier si PAC=1.. mais ce n'est pas dit qu'elle le fait dans le datasheet du lecteur ZIP.

Je comprend que sniffer le pass est l'idée la plus évidente et la plus sur, mais en s'interréssant au mode de fonctionnement du transpondeur on voit qu'il y a une faille (pas étonant vu qu'ils datent de 1994), c'est que le transpondeur agit de la même manière si il a recu un password ou pas, a partir du moment ou PAC=0, et ca la machine ne peut pas faire la différence.

RogPi

Et pour se qui est de la collecte des données, le gérant utilise le même logiciel (fournit par ZIP) depuis le jour de l'installation de ses machine, (logiciel que j'ai téléchargé) et une fois qu'un clef est émise elle est suivit jusqu'au bout.
Toutes les opérations sont comptabilisés et répertoriés par utilisateur et les comptes sont fait en partant de J0. Donc ca ne change rien si le rechargement a été fait il y a 2 ans.

RogPi

Voilà, tu as bien résumé par cette seule phrase : « Sauf si la machine vérifie l'octet 8 du block 1 pour verifier si PAC=1.. »
La machine vérifiera très certainement si PAC = 0 ou 1 + le PW. Sinon ça serait une grosse faille qui serait vraiment facile à tromper ^^. Un transpondeur PCF7931 ça coute 1$, il suffirait de lire une vrai clé, et de faire une copie de tous les blocs sauf le premier et mettant bien PAC=0.
Tente, fais nous un retour de ton expérience, mais ça va fail (proba : 99%), je veux pas te décourager ^^.

C’est quelle genre de suivi ? A chaque transaction il copie dans sa base de données toutes les données de la clé ? Dans ce cas, il n’y verra que du feu. Ou alors il copie chaque fonction réalisée sur cette clé ?

ex : Achat café, new crédit 2.56€….
Achat café, new crédit 2.26€,
rechargement clé new crédit 7.26€ ?

Oui c'est le seul hic, mais d'après ce que j'ai lu la machine n'effectue pas de check sur le block 1 (c'est vrai que ce serait plus confortable d'en parler sur un vrai forum ou on peu mettre des images.. :) ).

il faut avouer que peu de gens sont près a faire ca et pour cause, j'en suis a 95 euros de dépensé, je ne les rembourserai pas en café (il me reste 6 mois la ou je suis). Donc je pense que les faille de sécurité de ces clef n'on pas du etre souvent titillés.

Et puis des fois c'est la solution la plus simple qu'on croit impossible (on se dit : "il vont forcement checker le PAC") qui marche.
Et je répete que dans les algorithme de la machine jamais il est mentionné un passage par le block 1 en lecture, donc apparemment on saute le PAC!

De toute facon je test ca et je vous dit, mais c'est une galère de se procurer ce transpondeur, je suis en cours de livraison, je pense que d'ici 2 semaines je l'aurai.........

Pour la collecte, le logiciel met en relation toutes les données de toutes les machines, quand une machine crédite une clef elle enregistre crédit +X sur la clef XXX et pareil quand elle débite, une fois mise en relation on voit bien si une clef débite dans le rouge!

Après il n'y a pas d'alerte a ma connaissance sur le logiciel qui dit tel clef est dans le rouge, et au total sur les ventes par clef, le debit ne sera supérieur au rechargement que si tu épuise tout les euros de toute les clefs (la ca passe en négatif et il y a un souci) donc a mon avis si tu n'achette pas 150 euros de café en une journée ca peu passer inapercu un certain temps (en gros tu utilise le crédit que les gens ont mais n'ont pas encore utilisé) , mais si il ya une alerte "clef qui débite dans le rouge" ca se verra direct.. 1 chance sur 2 donc..

RogPi

J'ai fait un blog qui résume un peu tout sur les clefs zip, on peut continuer a discuter la bas mais ca restera en commentaires :)

http://clefjaune.blogspot.fr

A bientot.
RogPi

En fait j'ai fait un forum aussi le lien est sur le blog, avis aux amateurs!

Moi je bloque sur la reccup du mot de passe. Apparement il est possible de faire un oscilo avec un smartphone. Quelqu un aurait il une info?

construit ça.
n'importe quoi d'autre que ça
ne fonctionnera peut etre pas.
c'est le sniffer crée par theinsider
http://hpics.li/18122db
tu dois arriver a fabriquer quelque
chose qui ressemble à cela
http://hpics.li/bf7b8ed
c'est a connecter sur l'entree micro
d'un ordi portable ou sur un telephone avec un programme de type dictaphone.
le signal doit etre bon, et c'est le L1 C1 qui vont etre determinants pour ça.

Super merci pour l info, je test cela. Toi tu as reussi a chopé le mot de passe avec un motage aussi basique?

salut.
un montage aussi basique oui.
sauf que pour l'accorder sur 125khz
certains doivent encore s'arracher les cheveux.

mais il y a une methode pour trouver
le bon condensateur c1, c'est de vouloir programmer ta clé avec le gambit et un mot de passe bidon.
si le signal capté est bon "bien accordé" tu dois pourvoir trouver le mot de passe bidon dans le signal que tu vas capter.

Comment ca le bon condo?

il faut que tu comprennes ce que tu fais. c'est un circuit de résonance de type LC.
si tu fais 25 tours de fil L1,
C1 aura une valeur X.
si tu fais 50 tours de fil L1,
C1 aura une valeur y.
on peut calculer chaque valeurs
a partir de ce site.
http://www.1728.org/resfreq.htm
si tu reflechies a ce que tu dois fabriquer pourquoi et ce que tu cherches, tu auras la clé :) du succés.

ahh zut, j'ai oublié de dire un truc.
avec ces histoires de condensateurs
et de selfs :

VIVE LA FRANCE

On peut même simplifier les choses, en prenant un condensateur polarisé de 10µf, pas besoin de diode, avec ce montage si petit soit il on capte bien le signal et on peut le déchiffrer ;) http://hpics.li/9ebc57d

En faisant ça on a la place de mettre cette petite bobine dans la clef a coté du PCF et c'est encore moins visible ;)

la bobine je l'ai faite avec du cuivre et une mine de stylo bic

ps : Oui le deuxième fil de la bobine et le ground du jack ne sont reliés a rien, ici le ground c'est l'air et ça reviens au même!

Bon courage!

oh cool yellow_k.
ce serait sympa de répertorier
les sniffer qui fonctionnent
sur ton site.

personnellement, je n'ai pas
utilisé de cuivre bobiné non plus...
:)

Salut yellow k tu as reussi achoper le code simplement avec ton montage?

Oui, voila ce qu'on obtient sur audacity, et la façon de le déchiffrer : http://hpics.li/ed36e1f

J'essaierai de répertorié ca sous peu, mais en ce moment je n'ai pas le temps!

Dans ma clef il n y a pas de transpondeur philips. Quelqu un connait il se systeme.
http://hpics.li/0d07fa0

Ha! il s'agit des nouvelle clef pour les nouvelles machines MIZIP qui fonctionne avec les celf jaunes que l'on connait et avec les nouvelles clef MIZIP qui fonctionne en RFID avec des puces MIFARE. (fonctionne aussi avec des cartes MIFARE)

La bonne nouvelle c'est que tu peux la lire avec ton telephone portable android, la mauvaise c'est que je ne sais pas du tout comment c'est encodé.

Une autre bonne nouvelle c'est que c'est facile a copier normalement si tu trouve la même puce vierge.. bref il faudra s'y attaquer un jour :)

Une autre mauvaise nouvelle c'est que tu ne pourra pas la lire avec le gambit... (si tu l'a déja acheté)essaye d'en échanger une a quelqu'un qui a une clef jaune ancienne qui marche sur les même machines...

Si je comprend bien, pour toi si je crédite 5€ sur une clef, avec un smarphone sous android je lis le contenue je peux le copier indefiniment sur une autre clef voir la même.
Mais avec quoi je re-ecrit la clef?

Théoriquement oui, après il faut se penché sur la puce et les moyens de protection, il faudra surement sniffer le pass à la machine aussi mais avec une fréquence différente. Et la magie c'est que tu peux ecrire sur les MIFARE avec ton smartphone (via NFC). en fait il te faudra juste un mot de pass je pense c'est le même principe. il faudrait regarder comment c'est encrypté...

Je marche chez apple. Je te donne des news de que.

bonjour a tous.
je doute fortement que ce soit du mifare classic la clé rouge postée.
j'ai entendu parler de mifare mini
mais l'extraction ne fonctionne pas.
tout comme avec les nouvelles
cartes mifare classic ou les
cartes chinoises.

http://www.libnfc.org/community/topic/1323/mfoc-mfcuk-cant-recover-new-mifare-classic-1k-and-magic-chin/

enfin, le mifare c'est un autre debat a mon avis.
personnelment je veux bien en parler un peu ici mais ça n'a vraiment plus rien du tout a voir avec les clés jaunes.

Je veux bien que tu en parle, que je comprenne un peu.

http://www.proxmark.org/forum/index.php

http://www.proxmark.org/

http://www.libnfc.org/community/

http://newffr.com/viewtopic.php?&topic=11559&forum=235&start=100?sess_id=0db9119a27f389fc92f2dfd22c67251b&forum=235&topic=11559&start=120?sess_id=610b550d2a4a4d2a4536ce335f4cf3cb&forum=235&topic=11559&start=0

Est ce que c est codé comme pour la clé jaune?

j'imagine que oui evidement.
de toute façon c'est comme tout.
il faut une cle pour signer des ecritures d'instructions.
la lecture restant en general possible.
en piratage toute methode autre que la force brute doit etre favorisée.
peut etre qu'une attaque de type side channel comme sur les clés jaunes peut etre mise en oeuvre.

certains metro ont des cartes mifare ultralight c comme carte de transport.
c'est crypté en 3des il me semble.
si tu en achetes des vierges pour faire des tests elles arrivent avec la cle de cryptage : breakmeifyoucan!
c'est dire...
rien que pour changer une data dedant il faut s'authentifier et connaitre les commandes adpu pour le faire.
pour l'instant, j'ai vu aucuns softs
de manipulation de datas c'est de la cryptographie, c'est des malades ;)
la, on est dans un truc arnaques et petites combines. y'a pas tout qui est un livre ouvert et encore moins le cas echeant un livre ouvert PUBLIC.

bon courage je retourne me coucher j'ai mal a la tete

Yellow K: j'ai refait le même circuit que toi mais je n'obtient aucun signal... t'as rien utilisé de plus que sur ta photo ? ta bobine a combien de spire stp?

Quelqu'un aurait un lien pour acheter une clée comme celle-ci ? Impossible de trouver et j'ai fait pas mal de sites chinois ! Merci d'avance.

Doudou, as tu des news sur ta clé ? j'ai la même pour l'instant je cherche à savoir le type de puce (mifare mini ou autre ) Il n'y a rien d'écrit dessus même au microscrope ou radio.

Salut,
Non elas j’ai abandonné, si tu trouve quelque chose je suis preneur.

Cdlt

J'aimerais bien savoir déjà comment la lire
Yellow dit qu'il est possible de la lire avec un smartphone , perso j'ai pas réussi . C'est ce qui me freine à investir dans un lecteur. je sais pas sur quelle fréquence elle est lisible

as tu testé une lecture ?