La CNIL officialise son enquête sur les cartes de paiement NFC
Rech. sécu. infos. perso.
Fin avril, nous relations les découvertes de l’ingénieur Renaud Lifchitz sur les cartes de paiement sans contact. Plusieurs problèmes de sécurité étaient soulevés et la CNIL nous avait confirmé travailler sur ce dossier. Ses tests ont avancé à grands pas : la Commission vient d’officialiser l'ouverture de son enquête.
Dans notre article du 24 avril, plusieurs problèmes de sécurité étaient décrits par Renaud Lifchitz. Le souci principal vient des données émises par les ondes de la puce NFC (Near Field Communication). Celles-ci peuvent être captées par un appareil adapté, ou simplement par un smartphone équipé d’une telle puce ou une clé USB. L’autre grand problème est qu’une copie numérique de la bande magnétique est stockée dans la puce de la carte de paiement et on peut donc y accéder par les ondes.
Devant les constats réalisés par Lifchitz, la CNIL s’est intéressée au problème. Armand Heslot, ingénieur au service expertise de la Commission, se montrait alors très prudent mais nous confirmait en partie ces soucis de sécurité : « Tout ce que nous pouvons dire à ce stade, et qui est corroboré dans une certaine mesure par la documentation technique qui nous a été fournie, est qu’il n’y a pas de chiffrement des données». Un constat qui engendrait alors deux risques : « une compromission des transactions bancaires, ainsi qu’un risque dans le traitement des données personnelles ».
La CNIL a décidé d’officialiser son enquête en publiant sur son site officiel un message en ce sens. La Commission indique mener des « investigations techniques » suite à « plusieurs articles de presse relatifs à la sécurité des cartes bancaires sans contact ». L’organisme cherche en outre à évaluer les conséquences « en termes d'impact sur la vie privée des porteurs de carte ».
Comme nous l'indiquons dans notre actualité précédente, la loi rend obligatoire la sécurisation des traitement de données personnelles. Armand Heslot théorisait alors une intervention de la CNIL pour « contrôler les établissements bancaires afin de savoir si le traitement des données est conforme à la loi ». En cas d’un tel contrôle, la Commission pourra réclamer une mise en demeure de conformité, voire un arrêt du traitement.
Source de l'image : Renaud Lifchitz
Dans notre article du 24 avril, plusieurs problèmes de sécurité étaient décrits par Renaud Lifchitz. Le souci principal vient des données émises par les ondes de la puce NFC (Near Field Communication). Celles-ci peuvent être captées par un appareil adapté, ou simplement par un smartphone équipé d’une telle puce ou une clé USB. L’autre grand problème est qu’une copie numérique de la bande magnétique est stockée dans la puce de la carte de paiement et on peut donc y accéder par les ondes.
Devant les constats réalisés par Lifchitz, la CNIL s’est intéressée au problème. Armand Heslot, ingénieur au service expertise de la Commission, se montrait alors très prudent mais nous confirmait en partie ces soucis de sécurité : « Tout ce que nous pouvons dire à ce stade, et qui est corroboré dans une certaine mesure par la documentation technique qui nous a été fournie, est qu’il n’y a pas de chiffrement des données». Un constat qui engendrait alors deux risques : « une compromission des transactions bancaires, ainsi qu’un risque dans le traitement des données personnelles ».
La CNIL a décidé d’officialiser son enquête en publiant sur son site officiel un message en ce sens. La Commission indique mener des « investigations techniques » suite à « plusieurs articles de presse relatifs à la sécurité des cartes bancaires sans contact ». L’organisme cherche en outre à évaluer les conséquences « en termes d'impact sur la vie privée des porteurs de carte ».
Comme nous l'indiquons dans notre actualité précédente, la loi rend obligatoire la sécurisation des traitement de données personnelles. Armand Heslot théorisait alors une intervention de la CNIL pour « contrôler les établissements bancaires afin de savoir si le traitement des données est conforme à la loi ». En cas d’un tel contrôle, la Commission pourra réclamer une mise en demeure de conformité, voire un arrêt du traitement.
Vincent Hermann
Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.
Le 11 mai 2012 à 09:38
(9 426
lectures)
Il y a 21 commentaires
INpactien
Vindev_HELL84
Le vendredi 11 mai 2012 à 09:55:56
#1
Inscrit
le mardi 3 janvier 06
-
6847
commentaires
pffff belle connerie que ces cartes NFC .... les gens sont donc trop fainéants pour rentrer leur carte dans un appareil et taper leur code?
INpactien
pffff belle connerie que ces cartes NFC .... les gens sont donc trop fainéants pour rentrer leur carte dans un appareil et taper leur code?
INpactien
abitbool
Le vendredi 11 mai 2012 à 10:01:19
#3
Inscrit
le vendredi 17 juillet 09
-
1503
commentaires
Rech. sécu. infos. perso.
Rech.proj.pr.proj.priv.self-def.dem.brut.poss.S'adr.à.l'hôt.Mar. Et plus si affinités.
Edité par abitbool le vendredi 11 mai 2012 à 10:01
INpactien
Rech.proj.pr.proj.priv.self-def.dem.brut.poss.S'adr.à.l'hôt.Mar. Et plus si affinités.
INpactien
coucou_lo_coucou_paloma
Le vendredi 11 mai 2012 à 10:24:55
#5
Inscrit
le jeudi 9 décembre 04
-
8884
commentaires
Rech.proj.pr.proj.priv.self-def.dem.brut.poss.S'adr.à.l'hôt.Mar. Et plus si affinités.
J'ai eu le même réflexe.
Edité par coucou_lo_coucou_paloma le vendredi 11 mai 2012 à 10:25
INpactien
Rech.proj.pr.proj.priv.self-def.dem.brut.poss.S'adr.à.l'hôt.Mar. Et plus si affinités.
Chui hyper content :vomi:
INpactien
Faudrait que la CNIL sorte un peu les couilles et les pose sur la table !
"Alors , on regarde, on teste, on fait des analyses techniques blablabla"
Pourquoi ne pas dire franchement : cette technologie pue du c** , elle est openbar pour la capture des données, c'est une merde infame!
"Alors , on regarde, on teste, on fait des analyses techniques blablabla"
Pourquoi ne pas dire franchement : cette technologie pue du c** , elle est openbar pour la capture des données, c'est une merde infame!
INpactien
J'ai reçu ma CB ya quelques jours, et après avoir lu un article sur korben http://korben.info/les-cartes-bancaires-sans-contact-nfc-ne-sont-pas-securisees.... ) sur ce thème. J'ai donc appellé ma banquière hier pour exiger une CB traditionnelle sans NFC.Ah ben c'est un beau discours commercial et sidérant...
"Mais monsieur il n'y a aucun risque, c'est juste pour des petits paiements de 20€ max"
"ah bon ? pourtant des tests ont démontrer qu'on pouvait récupérer le N°, la date et le CVV, 3 seules infos pour payer sur le net. et la par contre, c'est pas pour 20€"
"heu... ben... heu... jvai voir, mais il me semble qu'on n’envoie plus que ce type de carte désormais"
Je sens que je vais placer mes sous ailleurs. Et ça me courte moins cher qu'un porte-monnaie en plomb
"Mais monsieur il n'y a aucun risque, c'est juste pour des petits paiements de 20€ max"
"ah bon ? pourtant des tests ont démontrer qu'on pouvait récupérer le N°, la date et le CVV, 3 seules infos pour payer sur le net. et la par contre, c'est pas pour 20€"
"heu... ben... heu... jvai voir, mais il me semble qu'on n’envoie plus que ce type de carte désormais"
Je sens que je vais placer mes sous ailleurs. Et ça me courte moins cher qu'un porte-monnaie en plomb
INpactien
Comme toi, Spidard, ma carte se renouvelle bientôt => Mail à la banquière
INpactien
coucou_lo_coucou_paloma
Le vendredi 11 mai 2012 à 11:47:18
#10
Inscrit
le jeudi 9 décembre 04
-
8884
commentaires
Certaines banques renouvellent (sans prévenir) la carte bancaire avant la date d'échéance pour la remplacer par une dotée du NFC...
Edité par coucou_lo_coucou_paloma le vendredi 11 mai 2012 à 11:47
Edité par coucou_lo_coucou_paloma le vendredi 11 mai 2012 à 11:47
Il n'est plus possible de commenter cette actualité
Vous devez être connecté ou vous inscrire en haut pour pouvoir participer aux commentaires.
-
HubiC : les premiers clients reçoivent leur année de dédommagement
(17)
Abonné en 2012 ? Surveillez vos mails -
[MàJ] The Pirate Bay de retour
(16)
Le bateau coule ? -
Bing Translator parle Klingon
(13)
HIjol -
Les jeux sur Google+, c'est fini
(46)
Facebook m'a tuer
![[MàJ] The Pirate Bay de retour](http://static.pcinpact.com/images/bd/dedicated/79905.jpg)
-
Ultrabook ASUS Zenbook UX32VD de 13,3" en Full HD : 799,99 €
Valable jusqu'au 27 mai -
20 % de remise sur des accessoires pour l'achat d'une tablette
Valable jusqu'au 26 mai -
Le jeu FIFA 13 pour PC à 24,99 €
Valable jusqu'au 28 mai -
Xbox 360 de 250 Go avec Batman Arkham City et Darksiders II : 192,40 €
Valable jusqu'au 27 mai
