La technologie NFC (Near Field Communication) permet de réaliser des achats sans contact entre le moyen de paiement et une machine réceptrice d'informations. Ce type de solution permet donc en principe de faciliter et fluidifier les petites transactions du quotidien en réglant ses achats depuis un périphérique comme une carte, un smartphone, une tablette...
Lors de la conférence Hackito Ergo Sum, le spécialiste en sécurité chez BT (ex-British Telecom), Renaud Lifchitz a déploré le manque de sécurisation de ce type de moyen de paiement en précisant que certaines cartes ne disposent ni de système d'authentification ni de chiffrement.
Lifchitz explique donc qu'il est possible d'obtenir ou d'intercepter (via une clé USB compatible NFC et une application dédiée) plusieurs informations contenues dans ces cartes (consulter les slides de sa présentation en .pdf). Outre le numéro, le nom de son détenteur ou bien encore l'historique des dernières transactions, les données contenues dans la bande magnétique peuvent être consultées par un éventuel pirate.
Dans sa présentation, le chercheur évoque clairement : « la possibilité de faire se réveiller plusieurs cartes Visa en même temps avec une simple commande. Elles vont ensuite être capables de transmettre des informations à la personne qui en fera la demande ».
En principe, les cartes de paiement affichant le sigle EMV (Europay Mastercard Visa) sont dotées d'un système de vérification et de de chiffrement de la clé personnelle par la puce. Certaines d'entre elles proposent également des moyens d'authentification forte comme le mot de passe unique (OTP, pour One Time Password). Pourtant, certaines cartes compatibles avec le NFC ne proposent pas ce type de sécurisation.
Sur son site, Visa tient tout de même à rappeler qu' : « au niveau technique, la fonctionnalité sans contact est basée sur une carte à puce développée à partir de la technologie EMV, qui protège les données du porteur par des cryptogrammes dynamiques très sécurisés ». Une position radicalement différente de celle présentée par le spécialiste qui explique clairement qu'aucune sécurité ne s'est opposée à lui.
Les tests réalisés par la Cnil « vont dans le même sens »
Interrogée par la rédaction, la Commission Informatiques et Libertés explique qu'elle s'intéresse de près à ces problématiques de sécurisation et de protection des données personnelles. Armand Heslot, ingénieur expert au service expertise informatique de la Cnil précise que, suite à cette présentation, des tests sur des cartes NFC ont été menés. « Nous disposons de cartes bancaires en notre possession. Les conclusions des tests que nous avons réalisés semblent aller dans le même sens que celles de M. Lifchitz », précise le responsable.
Il ajoute : « la Cnil mène des actions envers le public mais également avec les industriels du secteur. Par exemple, les banques sont sensibilisées à la gestion des données à caractère personnel mais d'autres acteurs, comme les sous-traitants, ont des problématiques et des responsabilités différentes face à cette question ».
Toujours est-il que ce manque de sécurité n'est pas nouveau. En 2008, une équipe de, l'Université de Nimègue aux Pays-Bas avaient fait la démonstration de la faiblesse de la sécurisation des cartes utilisant le NFC éditées par la société NXP, spécialiste du sans contact. Déjà à l'époque, l'absence d'algorithme de chiffrement avait été clairement montrée du doigt dans une vidéo et l'éditeur avait été sommé de revoir sa copie.
Différencier l'interception à quelques centimètres de celle plus lointaine
Malgré ces risques, le groupement des cartes bancaires tient à rappeler que, si les risques de sécurité sont inhérents à toute solution, le client reste à l'abri d'une perte financière. Jean-Marc Bornet, administrateur du groupement des cartes bancaires CB précise : « la sécurité des moyens de paiement n'est jamais du 100 % mais le client est protégé car il est remboursé ».
Toutefois, il reconnait qu'il est possible de lire différents types d'informations sur ces cartes NFC en fonction de la distance à laquelle se situe la personne qui désire les intercepter. « Sur une écoute entre un et plusieurs mètres, il est uniquement possible d'obtenir le numéro de la carte et sa date d'expiration. Dans ces cas d'écoute passive, la fraude est donc limitée puisque ces informations ne rapporteraient pas grand-chose au fraudeur », explique le responsable du groupement ces cartes bancaires.
Jean-Marc Bornet ajoute : « lorsque l'on se situe à quelques centimètres, on peut capter plus d'informations par contre il n'est pas possible d'effectuer de nouvelles transactions avec l'image d'une piste magnétique d'une carte ainsi copiée. Elle ne sera donc pas réutilisable en paiement puisqu'elle sera encodée avec une clé différente ».
Afin d'éviter les risques de perte de données, le groupement nous confirme collaborer étroitement avec les autorités publiques compétentes et ajoute que désormais, les banques distribuent des étuis capables d'agir comme des cages de Faraday. La carte est ainsi protégée pour éviter une éventuelle interception. A défaut, l'expert en sécurité rappelle qu'il n'a cassé aucune sécurité puisqu'aucune mesure de protection ne s'est opposée à lui...