La CNIL officialise son enquête sur les cartes de paiement NFC
Rech. sécu. infos. perso.
Fin avril, nous relations les découvertes de l’ingénieur Renaud Lifchitz sur les cartes de paiement sans contact. Plusieurs problèmes de sécurité étaient soulevés et la CNIL nous avait confirmé travailler sur ce dossier. Ses tests ont avancé à grands pas : la Commission vient d’officialiser l'ouverture de son enquête.
Dans notre article du 24 avril, plusieurs problèmes de sécurité étaient décrits par Renaud Lifchitz. Le souci principal vient des données émises par les ondes de la puce NFC (Near Field Communication). Celles-ci peuvent être captées par un appareil adapté, ou simplement par un smartphone équipé d’une telle puce ou une clé USB. L’autre grand problème est qu’une copie numérique de la bande magnétique est stockée dans la puce de la carte de paiement et on peut donc y accéder par les ondes.
Devant les constats réalisés par Lifchitz, la CNIL s’est intéressée au problème. Armand Heslot, ingénieur au service expertise de la Commission, se montrait alors très prudent mais nous confirmait en partie ces soucis de sécurité : « Tout ce que nous pouvons dire à ce stade, et qui est corroboré dans une certaine mesure par la documentation technique qui nous a été fournie, est qu’il n’y a pas de chiffrement des données». Un constat qui engendrait alors deux risques : « une compromission des transactions bancaires, ainsi qu’un risque dans le traitement des données personnelles ».
La CNIL a décidé d’officialiser son enquête en publiant sur son site officiel un message en ce sens. La Commission indique mener des « investigations techniques » suite à « plusieurs articles de presse relatifs à la sécurité des cartes bancaires sans contact ». L’organisme cherche en outre à évaluer les conséquences « en termes d'impact sur la vie privée des porteurs de carte ».
Comme nous l'indiquons dans notre actualité précédente, la loi rend obligatoire la sécurisation des traitement de données personnelles. Armand Heslot théorisait alors une intervention de la CNIL pour « contrôler les établissements bancaires afin de savoir si le traitement des données est conforme à la loi ». En cas d’un tel contrôle, la Commission pourra réclamer une mise en demeure de conformité, voire un arrêt du traitement.
Source de l'image : Renaud Lifchitz
Dans notre article du 24 avril, plusieurs problèmes de sécurité étaient décrits par Renaud Lifchitz. Le souci principal vient des données émises par les ondes de la puce NFC (Near Field Communication). Celles-ci peuvent être captées par un appareil adapté, ou simplement par un smartphone équipé d’une telle puce ou une clé USB. L’autre grand problème est qu’une copie numérique de la bande magnétique est stockée dans la puce de la carte de paiement et on peut donc y accéder par les ondes.
Devant les constats réalisés par Lifchitz, la CNIL s’est intéressée au problème. Armand Heslot, ingénieur au service expertise de la Commission, se montrait alors très prudent mais nous confirmait en partie ces soucis de sécurité : « Tout ce que nous pouvons dire à ce stade, et qui est corroboré dans une certaine mesure par la documentation technique qui nous a été fournie, est qu’il n’y a pas de chiffrement des données». Un constat qui engendrait alors deux risques : « une compromission des transactions bancaires, ainsi qu’un risque dans le traitement des données personnelles ».
La CNIL a décidé d’officialiser son enquête en publiant sur son site officiel un message en ce sens. La Commission indique mener des « investigations techniques » suite à « plusieurs articles de presse relatifs à la sécurité des cartes bancaires sans contact ». L’organisme cherche en outre à évaluer les conséquences « en termes d'impact sur la vie privée des porteurs de carte ».
Comme nous l'indiquons dans notre actualité précédente, la loi rend obligatoire la sécurisation des traitement de données personnelles. Armand Heslot théorisait alors une intervention de la CNIL pour « contrôler les établissements bancaires afin de savoir si le traitement des données est conforme à la loi ». En cas d’un tel contrôle, la Commission pourra réclamer une mise en demeure de conformité, voire un arrêt du traitement.
Vincent Hermann
Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.
Le 11 mai 2012 à 09:38
(9 422
lectures)
Il y a 21 commentaires
INpactien
Vindev_HELL84
Le vendredi 11 mai 2012 à 09:55:56
#1
Inscrit
le mardi 3 janvier 06
-
6847
commentaires
pffff belle connerie que ces cartes NFC .... les gens sont donc trop fainéants pour rentrer leur carte dans un appareil et taper leur code?
INpactien
pffff belle connerie que ces cartes NFC .... les gens sont donc trop fainéants pour rentrer leur carte dans un appareil et taper leur code?
INpactien
abitbool
Le vendredi 11 mai 2012 à 10:01:19
#3
Inscrit
le vendredi 17 juillet 09
-
1503
commentaires
Rech. sécu. infos. perso.
Rech.proj.pr.proj.priv.self-def.dem.brut.poss.S'adr.à.l'hôt.Mar. Et plus si affinités.
Edité par abitbool le vendredi 11 mai 2012 à 10:01
INpactien
Rech.proj.pr.proj.priv.self-def.dem.brut.poss.S'adr.à.l'hôt.Mar. Et plus si affinités.
INpactien
coucou_lo_coucou_paloma
Le vendredi 11 mai 2012 à 10:24:55
#5
Inscrit
le jeudi 9 décembre 04
-
8884
commentaires
Rech.proj.pr.proj.priv.self-def.dem.brut.poss.S'adr.à.l'hôt.Mar. Et plus si affinités.
J'ai eu le même réflexe.
Edité par coucou_lo_coucou_paloma le vendredi 11 mai 2012 à 10:25
Il n'est plus possible de commenter cette actualité
Vous devez être connecté ou vous inscrire en haut pour pouvoir participer aux commentaires.
Il y a 21 commentaires
-
![[MàJ] The Pirate Bay de retour](data:image/gif;base64,R0lGODlhAQABAAAAACH5BAEKAAEALAAAAAABAAEAAAICTAEAOw==)
[MàJ] The Pirate Bay de retour
(16)
Le bateau coule ? -
Bing Translator parle Klingon
(13)
HIjol -
Les jeux sur Google+, c'est fini
(46)
Facebook m'a tuer -
Nouveau Google Maps : demandez votre invitation
(12)
Moi, moi, moi !!!
![[MàJ] The Pirate Bay de retour](http://static.pcinpact.com/images/bd/dedicated/79905.jpg)
-
Un portable Toshiba de 17,3" avec un Core I7 3630QM pour 509 €
Valable jusqu'au 25 mai -
Un SSD Samsung 840 Pro de 128 Go et un HDD de 3 To pour 199,90 €
Valable jusqu'au 27 mai -
Une alimentation modulaire Enermax Naxn de 750 W pour 99,90 €
Valable jusqu'au 26 mai -
Une souris filaire Razer Deathadder 2013 pour 46,69 €
Valable jusqu'au 26 mai
