Le problème ne viendrait toutefois pas de la technologie en tant que tel, mais plutôt de la façon dont elle est implémentée au sein des terminaux et des systèmes d'exploitation. Pour peu que la fonction soit activée, un téléphone NFC déclenche une communication dès lors qu'il est placé dans le champ d'action d'un transmetteur NFC, qu'il s'agisse d'un « tag » ou d'un autre appareil compatible. Reste à savoir ce qui par défaut peut transiter dans ces échanges...
Pour Charlie Miller, un chercheur bien connu pour ses travaux autour des navigateurs Web, il ne fait aucun doute que le NFC tel qu'on le conçoit aujourd'hui est abordé de façon bien trop laxiste. Il l'a démontré mercredi dernier lors de la Black Hat, en s'introduisant au sein de trois terminaux mobiles, l'un sous Meego et les deux autres sous Android, par l'intermédiaire d'un tag NFC modifié par ses soins. Une fois le contact établi par l'intermédiaire du lien NFC, il ne lui reste plus qu'à exploiter l'un ou l'autre des défauts de la plateforme pour y faire exécuter le code de son choix ou en prendre le contrôle.
Sous Android 4.0, Miller a par exemple mis à profit la fonction Beam, activée par défaut, laquelle permet à deux téléphones NFC d'échanger des informations sans consentement préalable de l'utilisateur dès lors qu'ils sont placés à portée l'un de l'autre. Via NFC, il est ainsi parvenu à rediriger le téléphone cible de son attaque vers une page Web spécialement piégée pour exploiter une faille de sécurité du navigateur Webkit. La grande différence vis à vis d'une attaque traditionnelle est qu'ici la victime n'a pas besoin de cliquer manuellement sur un lien frauduleux pour que l'attaque se déclenche : le simple fait de passer à proximité d'un émetteur NFC devient le facteur risque.
« Si vous connaissez un bug lié au format PDF, plutôt que d'essayer de l'envoyer par email à la personne ou de l'amener à venir sur votre site, vous n'avez qu'à vous tenir à proximité d'elle avec du NFC et la forcer à en effectuer le rendu », explique-t-il à Ars Technica.
Eddie Lee, lui aussi chercheur en sécurité, a exploité des vulnérabilités similaires dimanche lors de la conférence Def Con pour montrer comment il était possible de subtiliser les informations liées au compte d'une carte de paiement sans contact à l'aide d'un téléphone NFC, là encore en se contentant de s'approcher physiquement de sa cible. Ici, on entre donc dans le cas de figure du skimming, avec d'une part la récupération d'informations personnelles, mais aussi et surtout le vol des identifiants nécessaires à l'acte d'achat (code PIN par exemple).
Les deux spécialistes indiquent avoir conduit de longs travaux, complexes, avant d'aboutir à l'exploitation concrète de ces failles. Alors que se multiplient expérimentations et prévisions optimistes quant à l'adoption des technologies NFC autour du paiement mobile ou de l'authentification, les experts invitent tout de même ne pas négliger la composante sécurité. « Vous êtes censés payer des trucs ou scanner des affiches de cinéma avec votre smartphone, mais gardez à l'esprit que cela constitue un autre moyen pour les sales types de s'en prendre à votre téléphone », résume Charlie Miller.
