A l'heure où beaucoup s'accordent sur le fort développement à moyen terme du commerce mobile et où un consensus technologique semble s'installer autour des technologies sans contact, NFC en tête, utilisateurs et experts s'interrogent légitimement sur la sécurité de ce type de paiement. Beaucoup d'autres questions sur l'avenir du paiement sans contact restent bien sûr sans réponse : business model à définir entre banques et MNO, bataille autour de l'emplacement de l'application de paiement entre MNO et constructeurs, vitesse de renouvellement du parc d'équipements, etc. Mais, le dernier obstacle à son adoption par le grand public, comme à celle de tout service financier, sera celui de la confiance.
Le paiement NFC, comment ça marche ?
En dépit de possibles variations, le processus de paiement NFC reste relativement générique. Le client dispose d'un mobile « équipé NFC » et contenant une application de paiement (carte bancaire ou/et porte-monnaie électronique). Le marchand possède un terminal de paiement « équipé NFC ». Au moment de régler l'achat, le client passe son mobile à proximité du terminal qui établit une communication radiofréquence avec le mobile et lit les informations fournies par l'application (identifiants de compte, plafonds, etc.). La transaction peut faire l'objet d'une demande de confirmation et d'une authentification du client sur son mobile. Le terminal de paiement du commerçant communique, si nécessaire, avec les réseaux bancaires. Pour les petits montants, l'autorisation de transaction peut être directement accordée par l'application de paiement.
Quelles failles de sécurité pour les paiements NFC ?
En toute logique, les failles de sécurité potentielles d'un paiement NFC sont à la convergence de failles déjà connues pour les paiements par carte bancaire « avec contact », et d'autres, propres aux environnements sans contact et à la technologie NFC : vol du téléphone mobile, i.e. du moyen de paiement, destruction de l'application de paiement, i.e. du moyen de paiement, sécurité de l'application de paiement et de ses données, déni de service, interception et manipulation des données confidentielles échangées lors d'une transaction, attaque-relais ou « man-in-the-middle », etc.
Un niveau de risque réel mais limité... pour l'instant
Concernant les failles analogues à celles du paiement « avec contact » que sont le vol, la destruction du moyen de paiement, ainsi que la sécurité de l'application de paiement, force est de constater que le paiement NFC peut difficilement être jugé plus vulnérable. Il offre même certaines sécurités complémentaires comme l'authentification sur la SIM (ou tout autre SmartCard) avant d'accéder à l'application de paiement et la possibilité de désactiver à distance la ou les applications du téléphone grâce aux plates-formes OTA des opérateurs (ou d'un tiers de confiance). De plus, le portage de la norme EMV aux cartes sans contact assure un niveau de sécurité applicatif au moins équivalent à celui des cartes avec contact.
Quant aux attaques, propres à la communication NFC, entre le téléphone et le terminal de paiement, hors le déni de service, elles restent difficiles et souvent plus théoriques que pratiques. Il faut tenir compte d'une part, de la complexité et des limites de manipulation liées aux schémas de modulation de fréquence et aux codages employés et d'autre part, de la possibilité pour tout équipement actif NFC de scanner le champ magnétique durant la transmission afin de détecter les attaques et, le cas échéant, mettre fin à la transmission. Qui plus est, la sécurisation du flux en amont, au niveau de l'application EMV (authentification des équipements et autorisation des transactions à base de certificats et de clés asymétriques), limite la valeur ajoutée réelle de ces attaques.
La sécurité ne peut et ne doit donc pas être considérée aujourd'hui comme un obstacle réel à l'adoption et à la diffusion du paiement NFC. Cela ne signifie pas pour autant que la menace n'existe pas et que le sujet doit être laissé au bord du chemin. En effet, la plupart des normes et protocoles sous-jacents étant très récents ou encore à l'étude, il est difficile de préjuger de la manière don't ils seront implémentés. Or, la pratique montre régulièrement que les failles de sécurité proviennent bien plus souvent d'un défaut d'implémentation technologique que d'un défaut de la technologie elle-même.
Il est également primordial de ne pas sous-estimer l'attrait croissant que constitueront ces nouveaux flux financiers, attrait qui ne manquera pas d'augmenter les moyens consacrés au piratage et donc la probabilité de trouver de nouvelles failles de sécurité.
Laurent BESSET, I-TRACING