Paiement sans contact : le sigle qui dérange
Le paiement sans contact se fait grâce à la technologie NFC, c’est à dire Near Field Communications ou Communication en Champ Proche. Elle consiste à une émission à courte portée et haute fréquence qui permet les échanges jusqu’à 10 cm. C’est une extension de la norme ISO/CEI 14443 encadrant la RFID. La NFC équipe aujourd’hui des cartes utilisées dans les transports, dans le commerce ou pour l’accès à certains services publics et de plus en plus de terminaux mobiles.
Hélas nous avons l’occasion de constater qu’un simple logiciel en libre accès sur internet et la construction d’un petit module pour moins de 100 euros permettait d’aspirer les numéros de cartes équipées de NFC. ALORS DANGER
Une fulgurante ascension
Toutes les cartes sont concernées. Les cartes de fidélité, les cartes de transport, mais aussi et surtout le cartes de crédit classique et les cartes bancaires prépayées rechargeables. La technologie NFC est séduisante à bien des égards, elle permet de se passer de la puce, des codes, et des lecteurs nécessaires pour effectuer des transactions. Ce qui représente un gain de temps pour les usagers, comme ceux du pass Navigo dans les transports parisiens. En France, la NFC se développe depuis 2011 beaucoup plus lentement qu’aux USA – où la technologie est apparue en 2001. Ces sont la Corée du Sud et le Japon qui utilisent intensément la NFC depuis 2004, notamment par l’implication des opérateurs et constructeurs de téléphones mobiles.
Les banques françaises ont commencé à implanter le technologie NFC avec les cartes bancaires classiques sans réellement informer leurs clients et surtout, sans leur laisser le choix. Car cette technologie n’est pas encore aussi au point que sa propagation pourrait le laisser penser.
En effet, la CNIL – qui s’occupe de tout ce qui a attrait aux données et informations privées – a demandé aux banques de revoir leur copie dès 2012. Bien que la demande fut discrète et sans réelle volonté d’action, pour ne pas inquiéter les clients sans doute, elle prouve que la NFC peut être une porte d’entrée pour les malfrats vers des données sensibles.
Des démonstrations se multiplient pour prouver la quasi absence de sécurité du paiement sans contact.
Attention aux fuites de données de paiement
Dans son rapport de 2013, malgré les progrès réalisés chez les principaux acteurs, la CNIL se dit toujours “préoccupée par l’accessibilité du numéro de carte et de la date d’expiration”. Jusqu’à fin 2012, et encore dans certaines cartes de crédit émises par la grande distribution, il était possible de capter le nom du porteur et les historiques de transactions.
Comme le pointent plusieurs spécialistes en sécurité, dont Renaud Lifchitz, ingénieur sécurité chez BT, les failles dans le NFC sont exploitables avec peu de moyens – une clef USB NFC à 40 € ou un smartphone. De plus, aucun protocole chiffré, ni aucun système d’authentification n’a été implémenté dans la NFC : c’est comme si votre code secret et les informations bancaires transitaient dans les airs. Renaud Lifchitz signalait dès 2011 ce problème en le démontrant, et, en expliquant que le pass Navigo était lui bien plus sécurisé, car les échanges sont chiffrés et couplés à un système d’authentification.
D’autres spécialistes ont fait la démonstration du manque de sécurité du paiement sans contact : Charlie Miller a en 2012 piraté, certes avec difficulté car les téléphones étaient protégés, 3 smartphones des principaux fabricant et récupéré les données non chiffrés ; Kristin Paget également en 2012 à l’aide d’un lecteur RFID à 45 € avait récupéré des données de paiement dans un transport en commun et utilisé ces données pour procéder à un paiement via un terminal à 235 €. NFC paiement sans contact, attention danger
Quelle réaction ?
Les principaux acteurs ont réagi en se groupant en un GIE qui travaille avec la CNIL. Sauf que le GIE, des banques en particuliers, ne représentent que 50 % des 23 millions de cartes NFC émises en France. Carrefour Banque, Banque Casino, ou Banque Edel (pour E.Leclerc) émettent leurs propres cartes et là impossible de savoir quelles données peuvent être récupérées ou non.
Les progrès réalisés ne suffisent pas, puisqu’il reste possible de récupérer le numéro de carte bancaire et la date d’expiration de celle-ci. Or avec ces données, rien de plus facile que de se rendre sur un site de e-commerce ne réclamant pas le code à 3 chiffres situé derrière la carte (le code CCV), et d’acheter pour 2000 ou 3000 euros de produits.
Si l’attaque passive qui consiste à écouter à distance est compliquée à mettre en œuvre (matériel nécessaire, connaissances techniques), l’attaque active, avec un smartphone, une clé USB ou une tablette, via un signal dirigé à quelques mètres de la cible, est en revanche bien plus simple et bien moins chère. Reste que les petites frappes devront apprendre les rudiments d’électronique, de cryptologie et de programmation informatique avant de pouvoir vous soutirer le moindre euro – sauf s’ils installent le programme de lecture qui se trouve sur le net. Peut être qu’elles se satisferont d’un vol à la tire pour effectuer plein de petits paiements avant que vous bloquez votre carte…
EVITEZ POUR L INSTANT LES CARTES BANCAIRES PREPAYEES OU NON avec la technologie NFC.
Pour consulter le palmarès des cartes bancaires prépayées rechargeables cliquez ICI
le NFC c’est tout de même moins à craindre que le vol à l’arraché, pickpocket ou phishing…
Déjà, il faut des connaissances techniques solides (ce n’est pas juste suivre des tutos), avoir du matos performant, avoir envie de ne voler que 20 Euros, savoir où est rangé la CB (et encore si elle n’est pas rangée dans un porte-feuille épais), ne pas se laisser tenter de regarder le numéro de CB ?!? et j’y passe.
Moralité : le pickpocket et le phishing ont toujours de beaux jours devant eux. Simples, efficaces et gratuit.
[…] Dernière restriction et pas des moindres: il faudra être client Orange et disposer d une carte SIM Orange avec la technologie NFC. […]