La sécurité des cartes de paiement NFC est remise en cause

24 avril 2012 à 17h54
0
Un expert en sécurité a une nouvelle fois pointé du doigt le manque de sécurité de la technologie de paiement sans contact NFC. Renaud Lifchitz, ingénieur sécurité chez BT, dénonce le manque de chiffrement de plusieurs solutions actuellement proposées.

00FA000005125570-photo-sans-titre-1.jpg
La technologie NFC (Near Field Communication) permet de réaliser des achats sans contact entre le moyen de paiement et une machine réceptrice d'informations. Ce type de solution permet donc en principe de faciliter et fluidifier les petites transactions du quotidien en réglant ses achats depuis un périphérique comme une carte, un smartphone, une tablette...

Lors de la conférence Hackito Ergo Sum, le spécialiste en sécurité chez BT (ex-British Telecom), Renaud Lifchitz a déploré le manque de sécurisation de ce type de moyen de paiement en précisant que certaines cartes ne disposent ni de système d'authentification ni de chiffrement.

Lifchitz explique donc qu'il est possible d'obtenir ou d'intercepter (via une clé USB compatible NFC et une application dédiée) plusieurs informations contenues dans ces cartes (consulter les slides de sa présentation en .pdf). Outre le numéro, le nom de son détenteur ou bien encore l'historique des dernières transactions, les données contenues dans la bande magnétique peuvent être consultées par un éventuel pirate.

Dans sa présentation, le chercheur évoque clairement : « la possibilité de faire se réveiller plusieurs cartes Visa en même temps avec une simple commande. Elles vont ensuite être capables de transmettre des informations à la personne qui en fera la demande ».

En principe, les cartes de paiement affichant le sigle EMV (Europay Mastercard Visa) sont dotées d'un système de vérification et de de chiffrement de la clé personnelle par la puce. Certaines d'entre elles proposent également des moyens d'authentification forte comme le mot de passe unique (OTP, pour One Time Password). Pourtant, certaines cartes compatibles avec le NFC ne proposent pas ce type de sécurisation.

Sur son site, Visa tient tout de même à rappeler qu' : « au niveau technique, la fonctionnalité sans contact est basée sur une carte à puce développée à partir de la technologie EMV, qui protège les données du porteur par des cryptogrammes dynamiques très sécurisés ». Une position radicalement différente de celle présentée par le spécialiste qui explique clairement qu'aucune sécurité ne s'est opposée à lui.

Les tests réalisés par la Cnil « vont dans le même sens »

Interrogée par la rédaction, la Commission Informatiques et Libertés explique qu'elle s'intéresse de près à ces problématiques de sécurisation et de protection des données personnelles. Armand Heslot, ingénieur expert au service expertise informatique de la Cnil précise que, suite à cette présentation, des tests sur des cartes NFC ont été menés. « Nous disposons de cartes bancaires en notre possession. Les conclusions des tests que nous avons réalisés semblent aller dans le même sens que celles de M. Lifchitz », précise le responsable.

Il ajoute : « la Cnil mène des actions envers le public mais également avec les industriels du secteur. Par exemple, les banques sont sensibilisées à la gestion des données à caractère personnel mais d'autres acteurs, comme les sous-traitants, ont des problématiques et des responsabilités différentes face à cette question ».

Toujours est-il que ce manque de sécurité n'est pas nouveau. En 2008, une équipe de, l'Université de Nimègue aux Pays-Bas avaient fait la démonstration de la faiblesse de la sécurisation des cartes utilisant le NFC éditées par la société NXP, spécialiste du sans contact. Déjà à l'époque, l'absence d'algorithme de chiffrement avait été clairement montrée du doigt dans une vidéo et l'éditeur avait été sommé de revoir sa copie.



Différencier l'interception à quelques centimètres de celle plus lointaine

Malgré ces risques, le groupement des cartes bancaires tient à rappeler que, si les risques de sécurité sont inhérents à toute solution, le client reste à l'abri d'une perte financière. Jean-Marc Bornet, administrateur du groupement des cartes bancaires CB précise : « la sécurité des moyens de paiement n'est jamais du 100 % mais le client est protégé car il est remboursé ».

00DC000004459414-photo-nfc-paiement-sans-contact.jpg
Toutefois, il reconnait qu'il est possible de lire différents types d'informations sur ces cartes NFC en fonction de la distance à laquelle se situe la personne qui désire les intercepter. « Sur une écoute entre un et plusieurs mètres, il est uniquement possible d'obtenir le numéro de la carte et sa date d'expiration. Dans ces cas d'écoute passive, la fraude est donc limitée puisque ces informations ne rapporteraient pas grand-chose au fraudeur », explique le responsable du groupement ces cartes bancaires.

Jean-Marc Bornet ajoute : « lorsque l'on se situe à quelques centimètres, on peut capter plus d'informations par contre il n'est pas possible d'effectuer de nouvelles transactions avec l'image d'une piste magnétique d'une carte ainsi copiée. Elle ne sera donc pas réutilisable en paiement puisqu'elle sera encodée avec une clé différente ».

Afin d'éviter les risques de perte de données, le groupement nous confirme collaborer étroitement avec les autorités publiques compétentes et ajoute que désormais, les banques distribuent des étuis capables d'agir comme des cages de Faraday. La carte est ainsi protégée pour éviter une éventuelle interception. A défaut, l'expert en sécurité rappelle qu'il n'a cassé aucune sécurité puisqu'aucune mesure de protection ne s'est opposée à lui...
Modifié le 01/06/2018 à 15h36
0 réponses
0 utilisateurs
Suivre la discussion

Les actualités récentes les plus commentées

Voiture neuves : l’entourloupe de la fausse baisse des émissions de CO2
Windows 7 : il existe un hack pour obtenir les mise à jour de sécurité malgré la fin du support
Au cas où vous auriez 11 000€ en trop, le Mac Pro et son écran XDR seront disponibles le 10 décembre
Sony : la PS5 sera remplacée plus rapidement que la PS4, une version Pro prévue pour 2023
Depuis la démocratisation des smartphones les gens ont plus d'accident dus à leur téléphone #SansDec
En Chine, les premiers hybrides singes-cochons, conçus pour des transplantations, sont nés
Les prix français du Mac Pro sont annoncés, et ils grimpent jusque 62 500€
Contrôle technique : le CNPA alerte sur d'importants retards en 2019
L'Union européenne débloque 3 milliards pour la recherche sur les batteries électriques
L'iPhone 11 vous localise régulièrement, Apple s'en explique

Notre charte communautaire

1. Participez aux discussions

Nous encourageons chacun à exprimer ses idées sur les sujets qui l'intéressent, et à faire profiter l'ensemble de la communauté de son expertise sur un sujet particulier.

2. Partagez vos connaissances

Que vous soyez expert ou amateur passionné, partagez vos connaissances aux autres membres de la communauté pour enrichir le niveau d'expertise des articles.

3. Échangez vos idées

Donnez votre opinion en étayant votre propos et soyez ouverts aux idées des autres membres de la communauté, même si elles sont radicalement différentes des vôtres.

4. Faites preuve de tolérance

Qu'il s'agisse de rédacteurs professionnels ou amateurs, de lecteurs experts ou passionnés, vous devez faire preuve de tolérance et vous placer dans une démarche d'entraide.

5. Restez courtois

Particulièrement lorsque vous exprimez votre désaccord, critiquez les idées, pas les personnes. Évitez à tout prix les insultes, les attaques et autres jugements sur la forme des messages.

6. Publiez des messages utiles

Chaque participation a vocation à enrichir la discussion, aussi les partages d'humeurs personnelles ne doivent pas venir gêner le fil des échanges.

7. Soignez votre écriture

Utilisez la ponctuation, prohibez le langage SMS et les majuscules, relisez-vous afin de corriger un peu les fautes de frappe et de français : trop de fautes n’engagent ni à lire le message, ni à répondre à une question.

8. Respectez le cadre légal

Ne publiez pas de contenus irrespectueux, racistes, homophobes, obscènes ou faisant l'apologie de courants radicaux, qu'ils soient politiques ou religieux. N'utilisez pas plusieurs comptes utilisateurs.

9. Ne faites pas de promotion

Ne profitez pas d'une discussion pour faire la publicité d'un produit, d'un service ou même de votre site web personnel.

10. Ne plagiez pas

Exprimez uniquement vos opinions ou partagez des idées en citant vos sources.

Discussions sur le même sujet

scroll top