S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Flash Info : Fêtons la TVA à 2,1 % : abonnez-vous dès 17 € par an !

Cartes de paiement NFC : sans contact, sans sécurisation

C'est l'halu dans le portefeuille

Les puces RFID (Radio Frequency Identification) permettent de transmettre des informations sur une courte distance. Elles sont présentées comme une panacée dans divers domaines et pourraient notamment remplacer à terme les codes-barres. Elles sont présentes depuis environ six mois sur certaines cartes de paiement, ce qui promet des achats facilités. Gros problème : de nombreuses informations circulent en clair et sont parfaitement lisibles avec peu de moyens.

Des cartes bien bavardes

Le lièvre a été soulevé par Renaud Lifchitz, ingénieur sécurité chez BT mais également membre de l’ARCSI (Association des Réservistes du Chiffre et de la Sécurité de l’Information). La démonstration a été réalisée une première fois le 4 avril aux journées francophones de la sécurité (GS Days) puis il y a deux semaines lors de la conférence Hackito Ergo Sum (« Je hacke donc je suis »). Le principe : prouver que l’on peut écouter une carte de paiement pendant une opération bancaire, et ce sans matériel de pointe.

 
Renaud Lifchitz a utilisé une simple clé USB NFC (Near Field Communication) disponible pour environ 40 euros afin de capter les communications. À l’aide d’une petite application développée pour l’occasion, la clé USB a pu interpréter le signal émis par la carte placée juste à côté. Et le moins que l’on puisse dire, c’est que la carte s’est révélée bavarde : nom, prénom, numéro de la carte bancaire, date d’expiration et même la liste des vingt dernières opérations effectuées, incluant le pays, la devise, le montant et la date.

Mais la démonstration va plus loin. Comme toutes les cartes bancaires, celles sans contact disposent d’une bande magnétique. Une copie numérique de cette bande est stockée dans la puce. Problème : cette dernière peut être interrogée via RFID. De fait, il devient possible de cloner la carte bancaire sans même un lecteur de carte à puce, puisque c’est justement l’intérêt du RFID/NFC : l’absence de contact.

Interrogé sur ce trou béant dans la sécurité des cartes, Renaud Lifchitz parle de « situation ubuesque » : « Il n’y a aucune authentification, aucun chiffrement des données. Elles circulent en clair sur les ondes et on peut même y accéder avec une simple clé USB NFC ou un téléphone, même si ce n’est pas l’équipement le plus adapté ».

Renaud Lifchitz carte paiment

La défense du secteur bancaire : une ligne Maginot ?

Selon le chercheur, l’une des lignes de défense du secteur bancaire est pour l’instant que la distance requise pour un piratage effectif est de 3 cm. Renaud Lifchitz n’est pas si optimiste : « C’est une distance standard, mais qui n’est pas normée. Elle ne représente ni le minimum ni le maximum. Par exemple, avec un ampli à 2000 euros et une antenne à 1000 euros de 50 cm, la distance pour capter passe à 1,50 m ». Mais il y a pire : « Avec une antenne passive, on peut capter un signal lors d’un paiement jusqu’à 15 mètres. Une simple antenne radio FM peut suffire, même si ce n’est pas idéal. On obtient alors les numéros de cartes complets ainsi que les dates d’expiration ».

Nous avons en outre demandé à l’ingénieur s’il avait reçu des retours du monde bancaire depuis ses conférences : « En dehors de ma propre banque, que j’ai prévenue en premier et qui m’a remercié, je n’ai pas eu de retours. J’en ai eu par contre de la part d’organismes publics : ministère des Finances, ministère de l’Intérieur, ainsi que la CNIL ». Renaud Lifchitz travaille d’ailleurs avec la Commission « pour mettre en place un protocole. La CNIL tente actuellement de reproduire l’expérience et nous communiquons activement ».

L’autre défense des banques est que les paiements autorisés par le mode sans contact ne peuvent pas dépasser les 20 euros. Mais là encore, cette limite peut sauter : si un pirate parvient à recopier entièrement la bande magnétique en interrogeant la puce via RFID, il pourra obtenir une copie de la carte. Cette dernière pourra alors être utilisée partout où le code PIN n’est pas demandé, donc à l’étranger.

Pour Renaud Lifchitz, c’est « l’illustration du Time to Market : plus vite ça sort, mieux c’est ».

La CNIL mène l’enquête

La Commission réalise elle aussi des tests de son côté. Nous avons contacté Armand Heslot, ingénieur au service expertise de la Commission, qui a pu nous confirmer le travail en cours : « Nous avons été effectivement avertis par Renaud Lifchitz. Nous avons procédé récemment à plusieurs tests sur des cartes sans contact, mais pas encore sur des cartes bancaires en circulation. Nous cherchons actuellement à en récupérer ».

Le discours est pour l’instant très prudent : « Tout ce que nous pouvons dire à ce stade, et qui est corroboré dans une certaine mesure par la documentation technique qui nous a été fournie, est qu’il n’y a pas de chiffrement des données ». Pour l’ingénieur, il y principalement deux risques : « une compromission des transactions bancaires, ainsi qu’un risque dans le traitement des données personnelles ».

Il nous a également confirmé que la distance de 3 à 5 cm pour capter le signal est « théorique et dépend du protocole utilisé ». En revanche, les tests sur la bande magnétique n’ont pas encore été réalisés : « Il existe en fait des mesures de sécurité qui normalement devraient empêcher l’utilisation de la copie réalisée de la bande magnétique. Selon les informations de Renaud Lifchitz, ces mesures n’ont pas été complètement mises en œuvre ».

Les conséquences possibles

Mais la situation, déjà « ubuesque », l’est encore plus quand on considère à la fois le paysage légal ainsi que les normes de sécurité en cours dans le secteur bancaire. D’abord, la loi Informatique et Libertés rend obligatoire la sécurisation des traitements de données personnelles. Ensuite, MasterCard et VISA ont conjointement créé une norme de sécurité baptisée PCI DSS dont l’une des exigences est qu’aucune transmission ne doit se faire en clair sur les ondes. Enfin, comme le rappelle Renaud Lifchitz, le pass Navigo dispose d’une forte sécurité (échange de clés symétriques, authentification dynamique, chiffrement des données) « alors qu’il ne s’agit que d’un simple titre de transport ».

La CNIL estime « pour l’instant » qu’il n’y a « pas vraiment de risques sur la sécurité », mais qu’il « y en a un sur les données ». Toutefois, Armand Heslot juge que « l’aspect vie privée n’a pas été suffisamment pris en compte. Les études d’impact n'ont pas été menées ».

Défaut de sécurisation et risques pour les données personnelles ? Nous avons donc voulu savoir quelles étaient les retombées possibles. Armand Heslot nous a indiqué que la CNIL pouvait « contrôler les établissements bancaires pour savoir si le traitement des données est conforme à la loi ». Dans le cas contraire, la Commission pourrait demander une mise en demeure de conformité. Si aucun effort n’était fait, elle pourrait demander tout simplement l’arrêt du traitement.

Les solutions envisageables

Armand Heslot estime qu’il est pour l’instant trop tôt pour parler d’action. Il nous explique cependant que des solutions assez simples pourraient être mises en œuvre. Par exemple, un rapport de l’observatoire de la sécurité des cartes de paiement datant de 2009 (ci-dessous) préconisait l’emploi d’un code PIN différent pour la partie sans contact. Autre possibilité, recommandée par la Banque de France : laisser le contrôle complet de cette partie à l’utilisateur, qui pourra donc choisir de la désactiver.

Renaud Lifchitz indique pour sa part que si l’on veut éviter de se faire espionner sauvagement dans la rue, on peut ranger sa carte dans un portefeuille possédant un doublage métallique « pour faire office de cage de Faraday ». L’expert précise bien cependant que cela ne peut remplacer une vraie sécurité : « Des mesures sont prévues, il suffirait de les activer ». Cela est d'autant plus vrai que les cartes sont équipées d'une puce dédiée au chiffrement des données.

Enfin, il existe une solution encore plus simple pour l'utilisateur : refuser les cartes de paiement sans contact et rester sur des modèles classiques.

Nous avons contacté le GIE Cartes Bancaires et l’AFUB (Association française des usagers des banques) pour obtenir leurs réactions, mais n’avons pas eu pour l’instant de retours.
Vincent Hermann

Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.

Publiée le 24/04/2012 à 08:23

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 105 commentaires

Avatar de CounterFragger INpactien
CounterFragger Le mardi 24 avril 2012 à 16:51:21
Inscrit le mardi 10 juin 08 - 2197 commentaires

Pour moi, le vrai problème est que l'on puisse encore faire une transaction bancaire non EMV (c'est à dire avec la piste magnétique).
Les articles mentionnés ne sont que des rebonds des attaques contre la carte à puce aux USA, qui ne supportent pas qu'une technologie clé ne leur appartienne pas.
Ce que les auteurs oublient de dire, c'est que les US trainent à migrer sous EMV (transaction puce) alors que le Burkina et la Ghana (par exemple, hein, pas d'attaque là dessus) y ont été forcés par Visa et MasterCard il y a des lustres. La raison pour laquelle ils trainent, c'est qu'ils n'ont jamais voulu de la carte à puce car ils ne maitrisent pas les réseau d'acceptation bancaire et que les brevets associés sont européens.

Parfaitement d'accord sur ce point. L'entêtement des USA à garder cette passoire de piste magnétique est une aberration ! D'autant plus quand leur voisin direct, le Canada, est en pleine transition (achevée ?) vers la carte à puce.

Et paradoxalement, Visa et MasterCard sont des sociétés américaines dont le standard EMV est par extension... américain.

Mais le jour où certains pays supprimeront tout support de la bande magnétique de leurs TPE, peut-être seront-ils obligés d'y passer...
Avatar de pti_pingu INpactien
pti_pingu Le mardi 24 avril 2012 à 16:54:32
Inscrit le jeudi 15 janvier 09 - 9585 commentaires


pour le cas de X25 c'est surtout de ne plus recevoir les factures qui a du bon





Edité par pti_pingu le mardi 24 avril 2012 à 16:55
Avatar de grogg INpactien
grogg Le mardi 24 avril 2012 à 16:57:09
Inscrit le mercredi 8 décembre 04 - 45 commentaires


pour le cas de X25 c'est surtout de ne plus recevoir les factures qui a du bon



+1 . Enfin débarassés de cette relique. Une vrai plaie à maintenir. Mais ils sont devenus paranos à son arrêt.

Edité par Grogg le mardi 24 avril 2012 à 16:57
Avatar de tAran INpactien
tAran Le mardi 24 avril 2012 à 17:03:39
Inscrit le samedi 21 mai 05 - 3860 commentaires



Ce qui coute cher, c'est quand il n'y a personne au caisse.

Bien tenté mais ça ne passe pas
Tu sembles travailler dans le secteur bancaire mais tu n'as aucune idée des besoins d'un commerçant.
Ou plutôt si tu les connais mais tu les ignore. Ce qu'ils veulent, c'est une % de commission raisonnable sur les transactions CB.



S'il n'y a personne en caisse, le commerçant a du soucis à se faire non ?


Ce que veulent les commerçants, c'est une commission raisonnable ?

Ben ils l'ont maintenant, c'est par pour autant que les prix ont baissé

Commissions


ce qu'a dit grogg est très juste, je rajouterai que le montant cumulatif des transactions NFC serait de 80€ max



Edité par taran le mardi 24 avril 2012 à 17:04
Avatar de EMegamanu INpactien
EMegamanu Le mardi 24 avril 2012 à 17:04:26
Inscrit le mercredi 19 avril 06 - 1957 commentaires

je viens d'avoir une carte nfc du credit mut ... il faut entrer son code a la premiere utilisation pour l'activer ... suis pas pret de le faire


Je suis au Crédit Mutuel aussi et je n'a jamais eu de code à activer.
Avatar de Commentaire_supprime INpactien
Commentaire_supprime Le mardi 24 avril 2012 à 17:10:32
Inscrit le vendredi 31 octobre 08 - 27132 commentaires


S'il n'y a personne en caisse, le commerçant a du soucis à se faire non ?


Ce que veulent les commerçants, c'est une commission raisonnable ?

Ben ils l'ont maintenant, c'est par pour autant que les prix ont baissé

Commissions


ce qu'a dit grogg est très juste, je rajouterai que le montant cumulatif des transactions NFC serait de 80€ max





Le taux en Pologne !
Avatar de Charlot INpactien
Charlot Le mardi 24 avril 2012 à 17:10:35
Inscrit le mardi 19 janvier 10 - 22 commentaires
C'est bien, c'est sérieux: on sort un truc à moitié fini et on laisse le soin de terminer le boulot à celui que ça intéresse.
Tant pis s'il n'est pas aussi honnête que ce M. Lipchitz.
Cela dit, il a un nom rigolo.
Avatar de jethro INpactien
jethro Le mardi 24 avril 2012 à 17:12:29
Inscrit le vendredi 17 mars 06 - 6546 commentaires

Pour les temps de transactions, je peux te présenter aux directions d'exploitation de Carrefour, Auchan si tu veux (Casino et Intermarché aussi, mais je les connais pas)

Je ne fréquente pas ces temples de la conso à crédit.
Je préfère (we are legion) aller au marché, chez le boucher, chez le charcutier, cours des halles, des commerçants quoi.
moins cher, meilleure qualité, rapidité, convivialité INside

Quand bien même,
Du point de vue du pousseur de caddie, les 10 secondes de moins pour taper son code c'est pas ce qui va rattraper la 1/2 journée qu'il perd dans les bouchons, parking, rayons, cohue, stress.


Comparer le NFC et Moneo, c'est hasardeux techniquement, mais plutot pertinent d'un point de vue business.

Je me souviens du discours sur Moneo :
Ceux qui n'en veulent pas sont des néandertaliens voués à disparaitre.
On connait la suite.

Bref, je ne vois aucun gain pour le consommateur avec le NFC.
Par contre c'est certain, qu'imposer le NFC avec les devices, les services qui vont avec, c'est un marché juteux.
Avatar de tAran INpactien
tAran Le mardi 24 avril 2012 à 17:14:59
Inscrit le samedi 21 mai 05 - 3860 commentaires
« En dehors de ma propre banque, que j’ai prévenue en premier et qui m’a remercié, je n’ai pas eu de retours. J’en ai eu par contre de la part d’organismes publics : ministère des Finances, ministère de l’Intérieur, ainsi que la CNIL ».


Au hasard, LBP ?
Avatar de jethro INpactien
jethro Le mardi 24 avril 2012 à 17:18:19
Inscrit le vendredi 17 mars 06 - 6546 commentaires

Ce que veulent les commerçants, c'est une commission raisonnable ?
Ben ils l'ont maintenant, c'est par pour autant que les prix ont baissé


toujours pas
ça dépend si t'es un grand groupe de distrib ou un simple commerçant.

Un libraire, par ex, perd toute sa marge brute en dessous de 20 euros.
Alors que monop peuvent se permettre de faire une cb de moins de 5 euros
;