S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Flash Info : Fêtons la TVA à 2,1 % : abonnez-vous dès 17 € par an !

Cartes de paiement NFC : sans contact, sans sécurisation

C'est l'halu dans le portefeuille

Les puces RFID (Radio Frequency Identification) permettent de transmettre des informations sur une courte distance. Elles sont présentées comme une panacée dans divers domaines et pourraient notamment remplacer à terme les codes-barres. Elles sont présentes depuis environ six mois sur certaines cartes de paiement, ce qui promet des achats facilités. Gros problème : de nombreuses informations circulent en clair et sont parfaitement lisibles avec peu de moyens.

Des cartes bien bavardes

Le lièvre a été soulevé par Renaud Lifchitz, ingénieur sécurité chez BT mais également membre de l’ARCSI (Association des Réservistes du Chiffre et de la Sécurité de l’Information). La démonstration a été réalisée une première fois le 4 avril aux journées francophones de la sécurité (GS Days) puis il y a deux semaines lors de la conférence Hackito Ergo Sum (« Je hacke donc je suis »). Le principe : prouver que l’on peut écouter une carte de paiement pendant une opération bancaire, et ce sans matériel de pointe.

 
Renaud Lifchitz a utilisé une simple clé USB NFC (Near Field Communication) disponible pour environ 40 euros afin de capter les communications. À l’aide d’une petite application développée pour l’occasion, la clé USB a pu interpréter le signal émis par la carte placée juste à côté. Et le moins que l’on puisse dire, c’est que la carte s’est révélée bavarde : nom, prénom, numéro de la carte bancaire, date d’expiration et même la liste des vingt dernières opérations effectuées, incluant le pays, la devise, le montant et la date.

Mais la démonstration va plus loin. Comme toutes les cartes bancaires, celles sans contact disposent d’une bande magnétique. Une copie numérique de cette bande est stockée dans la puce. Problème : cette dernière peut être interrogée via RFID. De fait, il devient possible de cloner la carte bancaire sans même un lecteur de carte à puce, puisque c’est justement l’intérêt du RFID/NFC : l’absence de contact.

Interrogé sur ce trou béant dans la sécurité des cartes, Renaud Lifchitz parle de « situation ubuesque » : « Il n’y a aucune authentification, aucun chiffrement des données. Elles circulent en clair sur les ondes et on peut même y accéder avec une simple clé USB NFC ou un téléphone, même si ce n’est pas l’équipement le plus adapté ».

Renaud Lifchitz carte paiment

La défense du secteur bancaire : une ligne Maginot ?

Selon le chercheur, l’une des lignes de défense du secteur bancaire est pour l’instant que la distance requise pour un piratage effectif est de 3 cm. Renaud Lifchitz n’est pas si optimiste : « C’est une distance standard, mais qui n’est pas normée. Elle ne représente ni le minimum ni le maximum. Par exemple, avec un ampli à 2000 euros et une antenne à 1000 euros de 50 cm, la distance pour capter passe à 1,50 m ». Mais il y a pire : « Avec une antenne passive, on peut capter un signal lors d’un paiement jusqu’à 15 mètres. Une simple antenne radio FM peut suffire, même si ce n’est pas idéal. On obtient alors les numéros de cartes complets ainsi que les dates d’expiration ».

Nous avons en outre demandé à l’ingénieur s’il avait reçu des retours du monde bancaire depuis ses conférences : « En dehors de ma propre banque, que j’ai prévenue en premier et qui m’a remercié, je n’ai pas eu de retours. J’en ai eu par contre de la part d’organismes publics : ministère des Finances, ministère de l’Intérieur, ainsi que la CNIL ». Renaud Lifchitz travaille d’ailleurs avec la Commission « pour mettre en place un protocole. La CNIL tente actuellement de reproduire l’expérience et nous communiquons activement ».

L’autre défense des banques est que les paiements autorisés par le mode sans contact ne peuvent pas dépasser les 20 euros. Mais là encore, cette limite peut sauter : si un pirate parvient à recopier entièrement la bande magnétique en interrogeant la puce via RFID, il pourra obtenir une copie de la carte. Cette dernière pourra alors être utilisée partout où le code PIN n’est pas demandé, donc à l’étranger.

Pour Renaud Lifchitz, c’est « l’illustration du Time to Market : plus vite ça sort, mieux c’est ».

La CNIL mène l’enquête

La Commission réalise elle aussi des tests de son côté. Nous avons contacté Armand Heslot, ingénieur au service expertise de la Commission, qui a pu nous confirmer le travail en cours : « Nous avons été effectivement avertis par Renaud Lifchitz. Nous avons procédé récemment à plusieurs tests sur des cartes sans contact, mais pas encore sur des cartes bancaires en circulation. Nous cherchons actuellement à en récupérer ».

Le discours est pour l’instant très prudent : « Tout ce que nous pouvons dire à ce stade, et qui est corroboré dans une certaine mesure par la documentation technique qui nous a été fournie, est qu’il n’y a pas de chiffrement des données ». Pour l’ingénieur, il y principalement deux risques : « une compromission des transactions bancaires, ainsi qu’un risque dans le traitement des données personnelles ».

Il nous a également confirmé que la distance de 3 à 5 cm pour capter le signal est « théorique et dépend du protocole utilisé ». En revanche, les tests sur la bande magnétique n’ont pas encore été réalisés : « Il existe en fait des mesures de sécurité qui normalement devraient empêcher l’utilisation de la copie réalisée de la bande magnétique. Selon les informations de Renaud Lifchitz, ces mesures n’ont pas été complètement mises en œuvre ».

Les conséquences possibles

Mais la situation, déjà « ubuesque », l’est encore plus quand on considère à la fois le paysage légal ainsi que les normes de sécurité en cours dans le secteur bancaire. D’abord, la loi Informatique et Libertés rend obligatoire la sécurisation des traitements de données personnelles. Ensuite, MasterCard et VISA ont conjointement créé une norme de sécurité baptisée PCI DSS dont l’une des exigences est qu’aucune transmission ne doit se faire en clair sur les ondes. Enfin, comme le rappelle Renaud Lifchitz, le pass Navigo dispose d’une forte sécurité (échange de clés symétriques, authentification dynamique, chiffrement des données) « alors qu’il ne s’agit que d’un simple titre de transport ».

La CNIL estime « pour l’instant » qu’il n’y a « pas vraiment de risques sur la sécurité », mais qu’il « y en a un sur les données ». Toutefois, Armand Heslot juge que « l’aspect vie privée n’a pas été suffisamment pris en compte. Les études d’impact n'ont pas été menées ».

Défaut de sécurisation et risques pour les données personnelles ? Nous avons donc voulu savoir quelles étaient les retombées possibles. Armand Heslot nous a indiqué que la CNIL pouvait « contrôler les établissements bancaires pour savoir si le traitement des données est conforme à la loi ». Dans le cas contraire, la Commission pourrait demander une mise en demeure de conformité. Si aucun effort n’était fait, elle pourrait demander tout simplement l’arrêt du traitement.

Les solutions envisageables

Armand Heslot estime qu’il est pour l’instant trop tôt pour parler d’action. Il nous explique cependant que des solutions assez simples pourraient être mises en œuvre. Par exemple, un rapport de l’observatoire de la sécurité des cartes de paiement datant de 2009 (ci-dessous) préconisait l’emploi d’un code PIN différent pour la partie sans contact. Autre possibilité, recommandée par la Banque de France : laisser le contrôle complet de cette partie à l’utilisateur, qui pourra donc choisir de la désactiver.

Renaud Lifchitz indique pour sa part que si l’on veut éviter de se faire espionner sauvagement dans la rue, on peut ranger sa carte dans un portefeuille possédant un doublage métallique « pour faire office de cage de Faraday ». L’expert précise bien cependant que cela ne peut remplacer une vraie sécurité : « Des mesures sont prévues, il suffirait de les activer ». Cela est d'autant plus vrai que les cartes sont équipées d'une puce dédiée au chiffrement des données.

Enfin, il existe une solution encore plus simple pour l'utilisateur : refuser les cartes de paiement sans contact et rester sur des modèles classiques.

Nous avons contacté le GIE Cartes Bancaires et l’AFUB (Association française des usagers des banques) pour obtenir leurs réactions, mais n’avons pas eu pour l’instant de retours.
Vincent Hermann

Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.

Publiée le 24/04/2012 à 08:23

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 105 commentaires

Avatar de CounterFragger INpactien
CounterFragger Le mardi 24 avril 2012 à 11:32:36
Inscrit le mardi 10 juin 08 - 2197 commentaires
Je ne veux pas tacler ce mec, je n'ai pas le temps de lire sa magnifique démo, mais plusieurs propos font largement sourire et démontrent soit une méconnaissance de la techno, soit une certaine malhonnêteté...

"Le lièvre a été soulevé par Renaud Lipchitz, ingénieur sécurité chez BT"
Hum...

Donc tu mets en doute ses compétences en sécurité sur la base d'une démonstration que tu ne prends même pas la peine de lire ? Et toi, quelles sont tes compétences ?


Yes, certaines données sont accessibles en clair. Ce sont les mêmes que lorsque une transaction est faite en contact, ou via la piste magnétique ou encore inscrite sur la carte. Je ne vais pas dire que c'est bien, ou mal, il aurait peu être fallu tout chiffrer, mais bon c'est plus une histoire de compromis vs le temps de transaction.
Dans tous les cas, ces données ne permettent pas de faire une transaction complète !
La porté de 4cm, 5cm max de la carte fait aussi qu'en pratique, il est difficile d'espionner. Mais bon la sécurité de la transaction bancaire ne repose pas la dessus, à 0% la dessus d'ailleurs.

Ces données, anormalement accessibles en clair, permettent de fliquer les transactions de l'usager à son insu. Tu trouves ça normal ?

Quant au compromis pour un temps de transaction réduit... Je vois mal en quoi le chiffrement des données d'identité du porteur et de ses 20 dernières opérations pourraient y changer quoi que soit, à plus forte raison quand certaines de ces données ne sont même pas utilisées dans une transaction !


Dans tous les cas, en payment sans contact, vous avez deux types d'usage :
Le mode magstripe : Ce mode rend le fonctionnement de la puce quasi identique à une carte à piste magnétique vis à vis des serveurs de payments, en ajoutant certains cryptogrammes. Ce type d'usage est celui choisi par les pays qui ont une infra de payment basée sur des cartes à pistes magnétiques. Même en mode magstripe, la crypto utilisée empêche la simple copie des data pour cloner la carte en carte à piste et vis versa...

Renaud Lipchitz affirme au contraire que les données de la piste magnétique stockées dans la puce sont clonables. Qui croire ?


Je conçois que cela soit génant parce qu'on en parle. Mais la situation est la même depuis plusieurs années, mis à part le côté sans contact.

Sauf qu'en NFC, la consultation de l'historique des transactions et de l'identité du porteur de la carte peuvent être réalisés à son insu. D'où la nécessité d'un chiffrement de ces quelques données, ce qui ne mange pas de pain !

Edité par CounterFragger le mardi 24 avril 2012 à 11:35
Avatar de Dyblast INpactien
Dyblast Le mardi 24 avril 2012 à 11:33:16
Inscrit le lundi 2 janvier 06 - 547 commentaires


Je sais bien. Mais la c'est différent plus besoin d'avoir ton accord (ou te forcer) pour pouvoir lire ces données. Uniquement passer proche de toi.
Avatar de psn00ps INpactien
psn00ps Le mardi 24 avril 2012 à 11:35:19
Inscrit le jeudi 7 février 08 - 6172 commentaires
Je ne veux pas tacler ce mec, je n'ai pas le temps de lire sa magnifique démo, mais plusieurs propos font largement sourire et démontrent soit une méconnaissance de la techno, soit une certaine malhonnêteté...

Est il plus malhonnête de parler de malhonnêteté sans écouter ce que disent les gens ?
"Je vais bien, tout va bien" (c) Une ancienne ministre maintenant au FMI.

Yes, certaines données sont accessibles en clair. Ce sont les mêmes que lorsque une transaction est faite en contact, ou via la piste magnétique ou encore inscrite sur la carte. Je ne vais pas dire que c'est bien, ou mal, il aurait peu être fallu tout chiffrer, mais bon c'est plus une histoire de compromis vs le temps de transaction.

Ca ne légitime pas le problème, que le trou de sécurité béant des CB découvert par Serge Humpich en 1997 serve à quelque chose.
Il a du d'ailleurs rire jaune en voyant que l'histoire se répète.

Edité par psn00ps le mardi 24 avril 2012 à 11:35
Avatar de psn00ps INpactien
psn00ps Le mardi 24 avril 2012 à 11:39:35
Inscrit le jeudi 7 février 08 - 6172 commentaires


quand c'est pas du 98.
ça choque, mais bon, ce n'est pas forcément bien grave en soi, tout dépend de ce qu'il y a derrière, des réseaux auquels c'est connecté, etc.

si c'est du 98, c'est forcément du bon vieil IPv4 des familles, sans domaine, sans authentification centralisée ou alors homemade complètement dépassé, toussa.
Avatar de batoche INpactien
batoche Le mardi 24 avril 2012 à 11:40:31
Inscrit le lundi 25 décembre 06 - 1992 commentaires


accessible, tout comme dans une carte à contact. Et entièrement paramétrable par la banque à l'émission (historique à zéro sur certaines banques)
Le détail des transactions est loin d'être critique et permet surtout une évolution vers une consultation par l'utilisateur, sur un portage vers des téléphones NFC.

Je conçois que cela soit génant parce qu'on en parle. Mais la situation est la même depuis plusieurs années, mis à part le côté sans contact.


Mis à part le côté sans contact ? Mais c'est ça qui fait la différence ... Pourquoi crois tu que le wifi est crypté alors que non crypté, c'est juste la même chose que dans un câble ... Qu'est ce qu'on s'emmerde après tout ? Ah ben oui : n'importe qui peut lire sans que personne n'y puisse rien ce qui se ballade dans la nature.

La carte peut être lue à 5cm. Bon ben dans une file d'attente, dans le métro le bus, dans des tas d’endroits il y a moyen de placer un portable à moins de 5cm d'une poche révolver ou d'un sac à main. Et c'est pas tant l'historique le problème, c'est surtout de le fait de pouvoir lire ce que contient la piste qui est dangereux : un type dans le bus la recopie, la vend à un réseau qui fabrique une carte, et hop tu te retrouves avec des factures d’hôtel ou de billet d'avion achetés à l'étranger.

Edité par batoche le mardi 24 avril 2012 à 11:42
Avatar de neves INpactien
neves Le mardi 24 avril 2012 à 11:58:49
Inscrit le samedi 9 octobre 04 - 2578 commentaires

Etant professionnel du domaine visé, je ne peux que m'interroger sur le discernement de certains commentaires...Combien d'entre vous se sont déjà posés la question de l'utilisation de leur carte bancaire sur le net?

Je serais également curieux de savoir qui a laissé paypal , steam et consorts (PSN mdr2.gif )enregistrer leur numéro de CB avec CVV2 pour éviter d'avoir à tout retaper la fois suivante... Alors que l'on puisse lire son nom / prénom / numéro de PAN dans la carte, mouais, et alors?



Ma banque (CA) refuse de créer des CB virtuelles, seule réelle solution pour un paiement sécurisé sur Internet. Mon conseillé m'a même dit que ça ne servait à rien et que les autres banques allaient arrêter cette techno (mouais...). Et que eux propose une validation par SMS lors d'un achat... si le site le gère ! Je suppose que les vilains pirates qui vont récupérer ma CB ne vont pas l'utiliser sur des sites qui ne gère pas cette sécurité, hein. J'ai donc du prendre une option (payante ...) qui m'envoie un mail dès qu'un achat est effectué avec ma CB. Je dois donc être vigilant alors qu'il serait si simple de créer une CB virtuelle à chaque achat, d'un montant plafonné à ce que je vais payer à ce moment là.

A coté de ça, je reçois de la pub pour me dire qu'ils vont bientôt faire des cartes sans contact, dont je n'ai vraiment rien à faire (et ne vois même pas l'utilité) ... Certaines banques me semblent vraiment à coté de la plaque.
Avatar de Commentaire_supprime INpactien
Commentaire_supprime Le mardi 24 avril 2012 à 12:03:06
Inscrit le vendredi 31 octobre 08 - 27132 commentaires


Ma banque (CA) refuse de créer des CB virtuelles, seule réelle solution pour un paiement sécurisé sur Internet. Mon conseillé m'a même dit que ça ne servait à rien et que les autres banques allaient arrêter cette techno (mouais...). Et que eux propose une validation par SMS lors d'un achat... si le site le gère ! Je suppose que les vilains pirates qui vont récupérer ma CB ne vont pas l'utiliser sur des sites qui ne gère pas cette sécurité, hein. J'ai donc du prendre une option (payante ...) qui m'envoie un mail dès qu'un achat est effectué avec ma CB. Je dois donc être vigilant alors qu'il serait si simple de créer une CB virtuelle à chaque achat, d'un montant plafonné à ce que je vais payer à ce moment là.

A coté de ça, je reçois de la pub pour me dire qu'ils vont bientôt faire des cartes sans contact, dont je n'ai vraiment rien à faire (et ne vois même pas l'utilité) ... Certaines banques me semblent vraiment à coté de la plaque.


+1.

Ma banque propose des CB one-shot pour les achats sur le net, mais je n'ai toujours pas utilisé ce service...
Avatar de EMegamanu INpactien
EMegamanu Le mardi 24 avril 2012 à 12:15:50
Inscrit le mercredi 19 avril 06 - 1957 commentaires
Dire qu'il ne faut même pas saisir de code pour utiliser cette fonctionnalité NFC.
Quand ma carte s'est déclenchée toute seule *par accident * à la caisse de mon supermarché j'ai eu peur...
Avatar de BreizFenrir INpactien
BreizFenrir Le mardi 24 avril 2012 à 12:38:20
Inscrit le mercredi 21 février 07 - 2252 commentaires
Ma banque (CA) refuse de créer des CB virtuelles, seule réelle solution pour un paiement sécurisé sur Internet.

À noter qu'aussi sécurisée que soient les CB virtuelles, tout les services d'achat en ligne ne les prennent pas en compte (ou tout du moins ne font pas d'effort en ce sens) : Paypal a bloqué mon compte quelques jours parce qu'ils trouvaient qu'un numéro de carte par transaction c'était suspect, Amazon qui essaie de faire deux retraits distincts quand on a dans son panier des produits du site et des produits du Marketplace...

Néanmoins, rien d'insurmontable.
Avatar de SebGF INpactien
SebGF Le mardi 24 avril 2012 à 12:51:42
Inscrit le mercredi 16 septembre 09 - 4353 commentaires


+1.

Ma banque propose des CB one-shot pour les achats sur le net, mais je n'ai toujours pas utilisé ce service...


Honnêtement, je ne m'en passe plus.

Tous mes achats passent par e-CB sur Internet, les sites sur lesquels j'ai utilisé mon vrai numéro sont ceux auxquels j'ai vraiment confiance et dont je n'ai pas le choix (en gros il doit y en avoir que 3). Ceux que je ne connaissent que peu et qui ne donnent pas le choix n'ont pas un centime de ma part

Ca me ferait bien chier si ma banque comptait arrêter ce service sérieux...
;