🔥Black Friday, les meilleures offres en DIRECT
🔥Black Friday, les meilleures offres en DIRECT

La sécurité des cartes de paiement NFC est remise en cause

Olivier Robillart
Publié le 24 avril 2012 à 17h54
Un expert en sécurité a une nouvelle fois pointé du doigt le manque de sécurité de la technologie de paiement sans contact NFC. Renaud Lifchitz, ingénieur sécurité chez BT, dénonce le manque de chiffrement de plusieurs solutions actuellement proposées.

00FA000005125570-photo-sans-titre-1.jpg
La technologie NFC (Near Field Communication) permet de réaliser des achats sans contact entre le moyen de paiement et une machine réceptrice d'informations. Ce type de solution permet donc en principe de faciliter et fluidifier les petites transactions du quotidien en réglant ses achats depuis un périphérique comme une carte, un smartphone, une tablette...

Lors de la conférence Hackito Ergo Sum, le spécialiste en sécurité chez BT (ex-British Telecom), Renaud Lifchitz a déploré le manque de sécurisation de ce type de moyen de paiement en précisant que certaines cartes ne disposent ni de système d'authentification ni de chiffrement.

Lifchitz explique donc qu'il est possible d'obtenir ou d'intercepter (via une clé USB compatible NFC et une application dédiée) plusieurs informations contenues dans ces cartes (consulter les slides de sa présentation en .pdf). Outre le numéro, le nom de son détenteur ou bien encore l'historique des dernières transactions, les données contenues dans la bande magnétique peuvent être consultées par un éventuel pirate.

Dans sa présentation, le chercheur évoque clairement : « la possibilité de faire se réveiller plusieurs cartes Visa en même temps avec une simple commande. Elles vont ensuite être capables de transmettre des informations à la personne qui en fera la demande ».

En principe, les cartes de paiement affichant le sigle EMV (Europay Mastercard Visa) sont dotées d'un système de vérification et de de chiffrement de la clé personnelle par la puce. Certaines d'entre elles proposent également des moyens d'authentification forte comme le mot de passe unique (OTP, pour One Time Password). Pourtant, certaines cartes compatibles avec le NFC ne proposent pas ce type de sécurisation.

Sur son site, Visa tient tout de même à rappeler qu' : « au niveau technique, la fonctionnalité sans contact est basée sur une carte à puce développée à partir de la technologie EMV, qui protège les données du porteur par des cryptogrammes dynamiques très sécurisés ». Une position radicalement différente de celle présentée par le spécialiste qui explique clairement qu'aucune sécurité ne s'est opposée à lui.

Les tests réalisés par la Cnil « vont dans le même sens »

Interrogée par la rédaction, la Commission Informatiques et Libertés explique qu'elle s'intéresse de près à ces problématiques de sécurisation et de protection des données personnelles. Armand Heslot, ingénieur expert au service expertise informatique de la Cnil précise que, suite à cette présentation, des tests sur des cartes NFC ont été menés. « Nous disposons de cartes bancaires en notre possession. Les conclusions des tests que nous avons réalisés semblent aller dans le même sens que celles de M. Lifchitz », précise le responsable.

Il ajoute : « la Cnil mène des actions envers le public mais également avec les industriels du secteur. Par exemple, les banques sont sensibilisées à la gestion des données à caractère personnel mais d'autres acteurs, comme les sous-traitants, ont des problématiques et des responsabilités différentes face à cette question ».

Toujours est-il que ce manque de sécurité n'est pas nouveau. En 2008, une équipe de, l'Université de Nimègue aux Pays-Bas avaient fait la démonstration de la faiblesse de la sécurisation des cartes utilisant le NFC éditées par la société NXP, spécialiste du sans contact. Déjà à l'époque, l'absence d'algorithme de chiffrement avait été clairement montrée du doigt dans une vidéo et l'éditeur avait été sommé de revoir sa copie.



Différencier l'interception à quelques centimètres de celle plus lointaine

Malgré ces risques, le groupement des cartes bancaires tient à rappeler que, si les risques de sécurité sont inhérents à toute solution, le client reste à l'abri d'une perte financière. Jean-Marc Bornet, administrateur du groupement des cartes bancaires CB précise : « la sécurité des moyens de paiement n'est jamais du 100 % mais le client est protégé car il est remboursé ».

00DC000004459414-photo-nfc-paiement-sans-contact.jpg
Toutefois, il reconnait qu'il est possible de lire différents types d'informations sur ces cartes NFC en fonction de la distance à laquelle se situe la personne qui désire les intercepter. « Sur une écoute entre un et plusieurs mètres, il est uniquement possible d'obtenir le numéro de la carte et sa date d'expiration. Dans ces cas d'écoute passive, la fraude est donc limitée puisque ces informations ne rapporteraient pas grand-chose au fraudeur », explique le responsable du groupement ces cartes bancaires.

Jean-Marc Bornet ajoute : « lorsque l'on se situe à quelques centimètres, on peut capter plus d'informations par contre il n'est pas possible d'effectuer de nouvelles transactions avec l'image d'une piste magnétique d'une carte ainsi copiée. Elle ne sera donc pas réutilisable en paiement puisqu'elle sera encodée avec une clé différente ».

Afin d'éviter les risques de perte de données, le groupement nous confirme collaborer étroitement avec les autorités publiques compétentes et ajoute que désormais, les banques distribuent des étuis capables d'agir comme des cages de Faraday. La carte est ainsi protégée pour éviter une éventuelle interception. A défaut, l'expert en sécurité rappelle qu'il n'a cassé aucune sécurité puisqu'aucune mesure de protection ne s'est opposée à lui...
Olivier Robillart
Par Olivier Robillart
X

Mêler informatique, politique et journalisme tu essaieras ! Voilà ce que m'a demandé un jour un monsieur ridé tout vert qui traînait dans un square en bas de mon immeuble. J'essaie désormais de remplir cette mission en tant que rédacteur pour Clubic. Je traite principalement de politique numérique tout comme de sécurité informatique et d’e-Business. Passionné de Star Wars, de Monster Hunter, d’Heroic Fantasy et de loisirs numériques, je collabore régulièrement à de multiples projets vidéo de la rédaction. J’ai également pris la fâcheuse habitude de distribuer aux lecteurs leur dose hebdomadaire de troll via la Clubic Week.

Articles d'Olivier Robillart
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !
Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Dernières actualités
Ce hacker "éthique" peut pirater vos smartphones du bout des doigts
Vraiment sans contact et plus puissant : comment le NFC va s'améliorer... et changer nos usages
Le Pass Navigo disponible sur iPhone à partir de février 2021
Son smartphone comme pass Navigo ? C'est désormais possible (avec certains Samsung seulement)
Coronavirus : le paiement NFC sans contact a fait un bond de 40% selon Mastercard
Les cartes de paiement biométriques en cours de test au Royaume-Uni
Votre thermos vous permet désormais de payer votre café
Le paiement NFC pour Android débarque à la Société Générale
Facebook
X
Abonnez-vous à notre newsletter !

Recevez un résumé quotidien de l'actu technologique.

Désinscrivez-vous via le lien de désinscription présent sur nos newsletters ou écrivez à : [email protected]. en savoir plus sur le traitement de données personnelles