NFC et vente de failles de sécurité : deux tendances à surveiller

Deux tendances fortes semblent actuellement à l'œuvre en matière de sécurité informatique. Pour Eric Freyssinet, la vente et l'utilisation de failles de sécurité permettent d'infecter facilement de nombreux postes. Quant au NFC, l'éditeur de sécurité G Data s'inquiète de son expansion.

En matière de sécurité, les menaces se suivent et se ressemblent. Plusieurs spécialistes en sécurité constatent cependant une concurrence accrue dans le domaine de la vente de programmes permettant de pirater des postes informatiques et d'éventuellement obtenir des informations personnelles.




« Le mode d'infection le plus classique reste le drive-by-download à cause de javascripts malveillants. Les infections peuvent alors se réaliser sur des sites piratés ou depuis des bannières publicitaires », explique Eric Freyssinet, conseiller pour le préfet en charge de la lutte contre les cyber-menaces auprès du ministère de l'Intérieur et président du comité d'organisation de la Botconf.

La bannière en cause va en fait rediriger la victime vers une page web tout en testant les faiblesses du système d'exploitation de l'utilisateur ou de son navigateur. Pour y parvenir, les pirates vont utiliser un « exploit kit » utilisant de nouvelles vulnérabilités de sécurité.

Eric Freyssinet précise : « une quinzaine de pirates sont très connus dans le monde pour mettre à jour et améliorer leurs programmes. Ils sont peu nombreux car cette activité nécessite de posséder un certain budget pour acheter de nouvelles vulnérabilités pour les exploiter par la suite. Ces pirates ont besoin que leurs programmes soient achetés, il faut donc qu'ils soient séduisants et font même du marketing pour mettre en avant leurs services ».

Le NFC, des manques de sécurité toujours présents

De son côté, l'éditeur de sécurité G Data estime que le NFC représente à ce jour des risques pour les utilisateurs de la technologie. Démonstration est ainsi faite de l'utilisation d'un lecteur NFC et d'un simple logiciel libre permettant de lire certaines informations contenues dans une carte équipée d'un tel composant.

Une antenne pouvant porter jusqu'à 2 mètres peut ainsi récupérer ces données. L'idée est ensuite de créer une nouvelle carte, magnétique cette fois-ci, afin de réaliser des paiements sur le compte d'une victime. Les pistes track1 et track2 sont alors utilisées pour pouvoir bénéficier d'une telle fausse carte.




Paul Rascagnères, chercheur et analyste sur la question des malwares pour G Data nous précise : « ma crainte est que la limite actuellement imposée par les établissements et éditeurs (autour de 20 euros) ne finisse par sauter. Si les gens utilisent massivement la technologie, ce mouvement est, à mon sens, inévitable ».

Si l'essor du NFC ne risque cependant pas de provoquer l'essor des pratiques de carding en France (les cartes magnétiques de paiement n'étant pas utilisées), le chercheur regrette le manque de sécurisation de la technologie. « L'attaquant va toujours là où la victime est la plus faible. Il est donc évident que certains terrains comme les Etats-Unis ou l'Asie sont des zones dans lesquelles ces pratiques rapportent plus ».

A lire également

• Le NFC est-il vraiment utile pour le paiement ?
• Black Hat, Def Con : la sécurité du NFC une nouvelle fois en question
• Sécurité bancaire, : se prémunir des risques du NFC et des nouvelles fraudes
• La carte bancaire privilégie donc le sans contact au sans faille