S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Flash Info : Fêtons la TVA à 2,1 % : abonnez-vous dès 17 € par an !

Cartes de paiement NFC : sans contact, sans sécurisation

C'est l'halu dans le portefeuille

Les puces RFID (Radio Frequency Identification) permettent de transmettre des informations sur une courte distance. Elles sont présentées comme une panacée dans divers domaines et pourraient notamment remplacer à terme les codes-barres. Elles sont présentes depuis environ six mois sur certaines cartes de paiement, ce qui promet des achats facilités. Gros problème : de nombreuses informations circulent en clair et sont parfaitement lisibles avec peu de moyens.

Des cartes bien bavardes

Le lièvre a été soulevé par Renaud Lifchitz, ingénieur sécurité chez BT mais également membre de l’ARCSI (Association des Réservistes du Chiffre et de la Sécurité de l’Information). La démonstration a été réalisée une première fois le 4 avril aux journées francophones de la sécurité (GS Days) puis il y a deux semaines lors de la conférence Hackito Ergo Sum (« Je hacke donc je suis »). Le principe : prouver que l’on peut écouter une carte de paiement pendant une opération bancaire, et ce sans matériel de pointe.

 
Renaud Lifchitz a utilisé une simple clé USB NFC (Near Field Communication) disponible pour environ 40 euros afin de capter les communications. À l’aide d’une petite application développée pour l’occasion, la clé USB a pu interpréter le signal émis par la carte placée juste à côté. Et le moins que l’on puisse dire, c’est que la carte s’est révélée bavarde : nom, prénom, numéro de la carte bancaire, date d’expiration et même la liste des vingt dernières opérations effectuées, incluant le pays, la devise, le montant et la date.

Mais la démonstration va plus loin. Comme toutes les cartes bancaires, celles sans contact disposent d’une bande magnétique. Une copie numérique de cette bande est stockée dans la puce. Problème : cette dernière peut être interrogée via RFID. De fait, il devient possible de cloner la carte bancaire sans même un lecteur de carte à puce, puisque c’est justement l’intérêt du RFID/NFC : l’absence de contact.

Interrogé sur ce trou béant dans la sécurité des cartes, Renaud Lifchitz parle de « situation ubuesque » : « Il n’y a aucune authentification, aucun chiffrement des données. Elles circulent en clair sur les ondes et on peut même y accéder avec une simple clé USB NFC ou un téléphone, même si ce n’est pas l’équipement le plus adapté ».

Renaud Lifchitz carte paiment

La défense du secteur bancaire : une ligne Maginot ?

Selon le chercheur, l’une des lignes de défense du secteur bancaire est pour l’instant que la distance requise pour un piratage effectif est de 3 cm. Renaud Lifchitz n’est pas si optimiste : « C’est une distance standard, mais qui n’est pas normée. Elle ne représente ni le minimum ni le maximum. Par exemple, avec un ampli à 2000 euros et une antenne à 1000 euros de 50 cm, la distance pour capter passe à 1,50 m ». Mais il y a pire : « Avec une antenne passive, on peut capter un signal lors d’un paiement jusqu’à 15 mètres. Une simple antenne radio FM peut suffire, même si ce n’est pas idéal. On obtient alors les numéros de cartes complets ainsi que les dates d’expiration ».

Nous avons en outre demandé à l’ingénieur s’il avait reçu des retours du monde bancaire depuis ses conférences : « En dehors de ma propre banque, que j’ai prévenue en premier et qui m’a remercié, je n’ai pas eu de retours. J’en ai eu par contre de la part d’organismes publics : ministère des Finances, ministère de l’Intérieur, ainsi que la CNIL ». Renaud Lifchitz travaille d’ailleurs avec la Commission « pour mettre en place un protocole. La CNIL tente actuellement de reproduire l’expérience et nous communiquons activement ».

L’autre défense des banques est que les paiements autorisés par le mode sans contact ne peuvent pas dépasser les 20 euros. Mais là encore, cette limite peut sauter : si un pirate parvient à recopier entièrement la bande magnétique en interrogeant la puce via RFID, il pourra obtenir une copie de la carte. Cette dernière pourra alors être utilisée partout où le code PIN n’est pas demandé, donc à l’étranger.

Pour Renaud Lifchitz, c’est « l’illustration du Time to Market : plus vite ça sort, mieux c’est ».

La CNIL mène l’enquête

La Commission réalise elle aussi des tests de son côté. Nous avons contacté Armand Heslot, ingénieur au service expertise de la Commission, qui a pu nous confirmer le travail en cours : « Nous avons été effectivement avertis par Renaud Lifchitz. Nous avons procédé récemment à plusieurs tests sur des cartes sans contact, mais pas encore sur des cartes bancaires en circulation. Nous cherchons actuellement à en récupérer ».

Le discours est pour l’instant très prudent : « Tout ce que nous pouvons dire à ce stade, et qui est corroboré dans une certaine mesure par la documentation technique qui nous a été fournie, est qu’il n’y a pas de chiffrement des données ». Pour l’ingénieur, il y principalement deux risques : « une compromission des transactions bancaires, ainsi qu’un risque dans le traitement des données personnelles ».

Il nous a également confirmé que la distance de 3 à 5 cm pour capter le signal est « théorique et dépend du protocole utilisé ». En revanche, les tests sur la bande magnétique n’ont pas encore été réalisés : « Il existe en fait des mesures de sécurité qui normalement devraient empêcher l’utilisation de la copie réalisée de la bande magnétique. Selon les informations de Renaud Lifchitz, ces mesures n’ont pas été complètement mises en œuvre ».

Les conséquences possibles

Mais la situation, déjà « ubuesque », l’est encore plus quand on considère à la fois le paysage légal ainsi que les normes de sécurité en cours dans le secteur bancaire. D’abord, la loi Informatique et Libertés rend obligatoire la sécurisation des traitements de données personnelles. Ensuite, MasterCard et VISA ont conjointement créé une norme de sécurité baptisée PCI DSS dont l’une des exigences est qu’aucune transmission ne doit se faire en clair sur les ondes. Enfin, comme le rappelle Renaud Lifchitz, le pass Navigo dispose d’une forte sécurité (échange de clés symétriques, authentification dynamique, chiffrement des données) « alors qu’il ne s’agit que d’un simple titre de transport ».

La CNIL estime « pour l’instant » qu’il n’y a « pas vraiment de risques sur la sécurité », mais qu’il « y en a un sur les données ». Toutefois, Armand Heslot juge que « l’aspect vie privée n’a pas été suffisamment pris en compte. Les études d’impact n'ont pas été menées ».

Défaut de sécurisation et risques pour les données personnelles ? Nous avons donc voulu savoir quelles étaient les retombées possibles. Armand Heslot nous a indiqué que la CNIL pouvait « contrôler les établissements bancaires pour savoir si le traitement des données est conforme à la loi ». Dans le cas contraire, la Commission pourrait demander une mise en demeure de conformité. Si aucun effort n’était fait, elle pourrait demander tout simplement l’arrêt du traitement.

Les solutions envisageables

Armand Heslot estime qu’il est pour l’instant trop tôt pour parler d’action. Il nous explique cependant que des solutions assez simples pourraient être mises en œuvre. Par exemple, un rapport de l’observatoire de la sécurité des cartes de paiement datant de 2009 (ci-dessous) préconisait l’emploi d’un code PIN différent pour la partie sans contact. Autre possibilité, recommandée par la Banque de France : laisser le contrôle complet de cette partie à l’utilisateur, qui pourra donc choisir de la désactiver.

Renaud Lifchitz indique pour sa part que si l’on veut éviter de se faire espionner sauvagement dans la rue, on peut ranger sa carte dans un portefeuille possédant un doublage métallique « pour faire office de cage de Faraday ». L’expert précise bien cependant que cela ne peut remplacer une vraie sécurité : « Des mesures sont prévues, il suffirait de les activer ». Cela est d'autant plus vrai que les cartes sont équipées d'une puce dédiée au chiffrement des données.

Enfin, il existe une solution encore plus simple pour l'utilisateur : refuser les cartes de paiement sans contact et rester sur des modèles classiques.

Nous avons contacté le GIE Cartes Bancaires et l’AFUB (Association française des usagers des banques) pour obtenir leurs réactions, mais n’avons pas eu pour l’instant de retours.
Vincent Hermann

Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.

Publiée le 24/04/2012 à 08:23

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 105 commentaires

Avatar de Oungawak INpactien
Oungawak Le mardi 24 avril 2012 à 14:40:58
Inscrit le mercredi 20 août 08 - 1537 commentaires
Tout comme la carte classique, c'est très rapide au péage par exemple où il n'y a pas besoin de code.

Ni même de carte si tu sais te servir d'un encodeur de carte à puce et calculer des clés de Luhn, comme certains reportages l'on montré.
Avatar de Oungawak INpactien
Oungawak Le mardi 24 avril 2012 à 14:41:19
Inscrit le mercredi 20 août 08 - 1537 commentaires
BUG ! Attaque Double Post !

Edité par Oungawak le mardi 24 avril 2012 à 14:41
Avatar de grogg INpactien
grogg Le mardi 24 avril 2012 à 15:29:19
Inscrit le mercredi 8 décembre 04 - 45 commentaires
Donc si je résume, ce qui gène c'est:
- Que les données puissent être accessibles sans que l'on ait à sortir la carte de son porte-feuille.
- Ce n'est pas tant les données qui sont en cause, plutot ce que l'on peut faire avec.
- Ces saletés d'ingénieurs auraient quand même pu crypter l'accès aux data.

D'accord en gros.

Pour moi, le vrai problème est que l'on puisse encore faire une transaction bancaire non EMV (c'est à dire avec la piste magnétique).
Les articles mentionnés ne sont que des rebonds des attaques contre la carte à puce aux USA, qui ne supportent pas qu'une technologie clé ne leur appartienne pas.
Ce que les auteurs oublient de dire, c'est que les US trainent à migrer sous EMV (transaction puce) alors que le Burkina et la Ghana (par exemple, hein, pas d'attaque là dessus) y ont été forcés par Visa et MasterCard il y a des lustres. La raison pour laquelle ils trainent, c'est qu'ils n'ont jamais voulu de la carte à puce car ils ne maitrisent pas les réseau d'acceptation bancaire et que les brevets associés sont européens.

Maintenant, pour le reste des éléments pas forcément très justes que j'ai pu lire:

- Pas besoin de saisir le code PIN pour faire une transaction Contactless: VRAI. C'est pour accélérer le passage en caisse. Les transactions sont limitées à 20€ de mémoire par le GIECB pour éviter les débordements, et il y a aussi une limite sur le montant cumulatif autorisé en sans contact.
Une fois les limites atteintes (ou si le montant dépasse dès le début), on passe à une transaction contact classique.

- Besoin d'activer la carte bancaire NFC en automate:
Attention, l'activation c'est pour toute la carte, pas seulement pour le sans contact de mémoire. (A moins que le crédit mutuel ait décidé de pouvoir autoriser la désactivation de l'interface sans contact, ce qui est possible et obligatoire en France)

- Problème de paiement en ligne avec le SMS plutot que la e-CB:
Cà, c'est la magie de 3DSecure. Je ne vous raconte même pas comme c'est drôle quand on est chez Free.... Par contre, 3D Secure a été éxigé par la banque de France pour éviter les Fraudes sur le net justement. Le problème de la e-CB, c'est le prix exigé par les compagnies qui réalisent l'opération.

- Refaire une piste magnétique valide par un générateur de clé de Luhn:
Vrai, encore faut-il posséder la clé de cryptage de la banque. Maintenant, on retombe sur le problème de la transaction magnétique et l'hérésie d'avoir encore ça chez nous.

- les mesures sont prévues, il suffit de les activer:
Je n'ai à ma connaissance jamais vu un terminal cryptant les données échangées avec la puce. Le problème d'interopérabilité de ce type de mesure est évident: Si les données sont chiffrées dans la puce, qui possède la clé? Comment synchronise-t-on les clés terminaux? Comment gère-t-on le mode hors ligne? etc... C'est loin, très loin d'être trivial.

Par contre, on peut très bien penser modifier les applications bancaires pour n'autoriser la lecture des données qu'après présentation du code PIN. Ca je le concède. A ceci près que des gens ne demande pas forcément le code PIN pour faire une transaction (Australie, US, et autres) et cela impliquerait également une augmentation du temps de transaction (opérations de lecture réalisées en temps masqué à l'heure actuel). Et si on revient dans la logique du sans code PIN pour les transactions sans contact, pas de possibilité de faire la transaction du tout.

- Le temps de rentrer un code PIN...3 secondes max:
Je suis d'accord, pour les gens "normaux" (comprendre ceux qui s'en souviennent, qui ne se trompent pas, etc..). Maintenant, ce ne sont pas les gens normaux qui ralentissent les files d'attente. Et oui, les files d'attente coûtent énormément aux commerçants, quelque soient leur taille.

- Ma carte s'est activée toute seule à la caisse.
Alors là, je suis intéressé. A quelle distance était elle de la caisse? Est-ce que tu peux développer un peu? Le retour est vraiment intéressant et cela peut poser de vrai problèmes à l'usage.


Bon, j'ai fini, désolé pour la longueur. Je pense que je parlerai pas du paiement biométrique tout de suite, alors?


Avatar de Citan666 INpactien
Citan666 Le mardi 24 avril 2012 à 15:33:03
Inscrit le mardi 17 mai 05 - 2605 commentaires
C'était tellement prévisible... Les oiseaux de mauvais augure de l'époque se sont bien révélés devins...
J'avais donc bien raison d'avoir peur sur la sécurité du système. Ce sera définitivement sans moi. NEXT!
EDIT : @Grogg merci pour ce pavé très instructif.

Edité par Citan666 le mardi 24 avril 2012 à 15:34
Avatar de jethro INpactien
jethro Le mardi 24 avril 2012 à 15:59:05
Inscrit le vendredi 17 mars 06 - 6546 commentaires

- Pas besoin de saisir le code PIN pour faire une transaction Contactless: VRAI. C'est pour accélérer le passage en caisse.

Source ?
La note de cadrage du projet NFC ?
Le bar des sportifs ?


- Le temps de rentrer un code PIN...3 secondes max:
Je suis d'accord, pour les gens "normaux" (comprendre ceux qui s'en souviennent, qui ne se trompent pas, etc..). Maintenant, ce ne sont pas les gens normaux qui ralentissent les files d'attente.

Ben si.
Les normaux sont plus nombreux

Et oui, les files d'attente coûtent énormément aux commerçants, quelque soient leur taille.



Ce qui coute cher, c'est quand il n'y a personne au caisse.

Bien tenté mais ça ne passe pas
Tu sembles travailler dans le secteur bancaire mais tu n'as aucune idée des besoins d'un commerçant.
Ou plutôt si tu les connais mais tu les ignore. Ce qu'ils veulent, c'est une % de commission raisonnable sur les transactions CB.
Tes arguments me rappelle ceux de Moneo.
J'ose espérer que le NFC prendra le même chemin

Commentaire de jethro supprimé le 24/04/2012 à 16:03:55 : Commentaire en double
Avatar de pti_pingu INpactien
pti_pingu Le mardi 24 avril 2012 à 16:06:01
Inscrit le jeudi 15 janvier 09 - 9585 commentaires


Ma banque (CA) refuse de créer des CB virtuelles, seule réelle solution pour un paiement sécurisé sur Internet. Mon conseillé m'a même dit que ça ne servait à rien et que les autres banques allaient arrêter cette techno (mouais...). Et que eux propose une validation par SMS lors d'un achat... si le site le gère ! Je suppose que les vilains pirates qui vont récupérer ma CB ne vont pas l'utiliser sur des sites qui ne gère pas cette sécurité, hein. J'ai donc du prendre une option (payante ...) qui m'envoie un mail dès qu'un achat est effectué avec ma CB. Je dois donc être vigilant alors qu'il serait si simple de créer une CB virtuelle à chaque achat, d'un montant plafonné à ce que je vais payer à ce moment là.

A coté de ça, je reçois de la pub pour me dire qu'ils vont bientôt faire des cartes sans contact, dont je n'ai vraiment rien à faire (et ne vois même pas l'utilité) ... Certaines banques me semblent vraiment à coté de la plaque.


Kwixo mon amour devil.gif

Au passage, Kwixo est un service vendu en France pour la france, mais:

Source


Kwixo est un service de FIA-NET Europe.
FIA-NET Europe
31 Avenue Pasteur
L-2311 Luxembourg
RCS Luxembourg B160401
Société Anonyme au capital de 19.532.000 €


Donc avant même de parler de sécurité technique, poser vous la question de la sécurité organisationnel des données. Qui est le détenteur des transactions? Et bien l'établissement Luxembourgeoise. Donc pour être à la base un consultant sécurité, normalement tout est bien protégé, sauf que vos transaction passe par ici et est archivé ici alors qu'avec VISA/Mastercard, la transaction passe par leur réseau respective mais est stocké au niveau de votre banque. Voici aussi un autre point à méditer avec l'émerge de GIE pour le paiement sans contact.

Edité par pti_pingu le mardi 24 avril 2012 à 16:10
Avatar de pti_pingu INpactien
pti_pingu Le mardi 24 avril 2012 à 16:11:07
Inscrit le jeudi 15 janvier 09 - 9585 commentaires

Ni même de carte si tu sais te servir d'un encodeur de carte à puce et calculer des clés de Luhn, comme certains reportages l'on montré.


Ah oué, le super reportage W9? mdr2.gif Sans faire mon élitiste, même pour un technophile débutant, ça faisait bien rire (genre, allez on va tester une CV1 chez un pharmacien au hasard )
Avatar de lateo INpactien
lateo Le mardi 24 avril 2012 à 16:15:39
Inscrit le samedi 27 août 05 - 3128 commentaires

si c'est du 98, c'est forcément du bon vieil IPv4 des familles, sans domaine, sans authentification centralisée ou alors homemade complètement dépassé, toussa.


oui mais osef si la liaison c'est un x25 dédié par exemple.
Avatar de pti_pingu INpactien
pti_pingu Le mardi 24 avril 2012 à 16:16:34
Inscrit le jeudi 15 janvier 09 - 9585 commentaires
Ah oui et pour en revenir à Kwixo, la solution de paiement sans-fil du CA et d'autres banques française, dites vous que les règles prudentielles qui s'appliquent sont celles de la CSSF (Commission de Surveillance du Secteur Financier) et non de l'ACP (Autorité de Contrôle Prudentiel).

Donc oui, le risque technique est là et démontrable via un POC mais vous savez très bien que selon la législation, une banque doit vous rembourser (hormis s'ils arrivent à prouver que vous stockiez au vu et au su de tous votre carte avec le code pin ce qui s'applique également ici car n'ayant pas de PIN de protection, il faudrait prouver que vous avez sciemment exposé votre carte à un lecteur RFID pirate), mais le vrai risque, est celui des règles de gestion des données clients et des transactions qui ne sont pas national (au sens in-situe en France) mais bien extra-territorial. Et là, bonjour les fights législatifs si un service comme Kwixo (et surtout dans sa future déclinaison sans fil) vient à merder grave.
;