S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Flash Info : Fêtons la TVA à 2,1 % : abonnez-vous dès 17 € par an !

Black Hat et Defcon : la sécurité des puces NFC encore pointée du doigt

Vers une profusion d'antennes pirates ?

La sécurité des puces NFC (near field communication) est un enjeu majeur, comme le montre l’évolution actuelle des plateformes de téléphonie mobile. Si l’utilisateur est amené à payer avec son téléphone, il veut avoir confiance dans la technologie. Or, de nombreux rapports récents montrent qu’elle présente des faiblesses dans ses défenses ou que des scénarios d'attaques n'ont pas été envisagés.

google wallet

Sécurité des puces NFC : un sujet récurrent 

Les puces NFC sont promises à jouer un grand rôle dans l’avenir. Elles sont utilisées depuis des années pour des échanges d’informations en champ proche. Les banques et les commerces sont intéressés par une solution de paiement sans contact, qui permet à l’utilisateur d’approcher son téléphone (ou sa carte bancaire) d’une borne. Le paiement lui-même est autorisé via l’utilisation d’un code PIN qui valide l’opération bancaire.

 

En avril dernier, nous nous faisions déjà l’écho des travaux menés par l’ingénieur en sécurité Renaud Lifchitz sur les cartes bancaires possédant une puce NFC. Il avait prouvé que l’on pouvait « écouter » les échanges de données entre une carte et sa borne de lecture au moyen d’un téléphone ou d’une clé USB NFC. Pour rappel, une enquête de la CNIL a d'ailleurs été ouverte sur le sujet.

Quand des fonctionnalités sont détournées

Plus récemment, la célèbre conférence Black Hat a remis l’expert en sécurité Charlie Miller sur le devant de la scène. Il a ainsi fait la démonstration d’un hacking direct de trois smartphones : le Nexus S, le Galaxy Nexus et le N9 de Nokia. Miller indique que le standard NFC est basé sur le RFID mais qu’il se destine à des communications sur une très courte distance, de l’ordre de 4 cm. De fait, beaucoup estiment qu’aucun chiffrement des données n’est nécessaire, ce qui est une grosse erreur selon l’expert.

 

Miller indique toutefois que les protections ne manquent pas dans la pratique. Dans le cas du Galaxy Nexus, autrement dit le smartphone Android star, il lui a fallu pas moins de 50 000 tests pour trouver des failles. Il en a notamment trouvé dans la fonction Beam qui permet d’envoyer du contenu à un autre téléphone sous Android 4.0 sans que ce dernier nécessite une acceptation. On peut notamment envoyer une page web, ce qui, couplé à une faille du moteur de rendu Webkit, peut permettre son exploitation directe. Conséquence : Miller parvenait à obtenir un accès root au téléphone avec une simple page web.

 

Miller tenait à montrer non pas la déficience des protections possibles sur la partie NFC elle-même, mais plutôt ce que le manque de réflexion autour du NFC pouvait provoquer : « Il s’agit d’un bug de Webkit, pas d’un bug NFC, et le vrai vecteur d’attaque est le navigateur. Mais avant que vous ne poussiez une page web vers moi, pour l’amour de Dieu donnez-moi la possibilité de répondre non ». Miller s’inquiète donc de l’extension de la surface d’attaque provoquée par l’arrivée en masse des puces NFC.

Vers une profusion d'antennes pirates ?

Ce week-end avait lieu une autre conférence importante du monde de la sécurité : la Defcon à Las Vegas. Là encore, les puces NFC ont fait l’objet d’inquiétudes, en particulier dans le cas des paiements sans contact. Les démonstrations qui ont été faites ressemblaient davantage à ce qui avait été montré par Renaud Lifchitz.

 

Il serait ainsi possible de dissimuler facilement sur des bornes des antennes sous des autocollants. À l’approche des téléphones ou cartes de paiement, lesdites antennes seraient ainsi capables de capter et enregistrer les données transitant sur les ondes. Cyrille Badeau, un responsable de Sourcefire (société de sécurité), a été interrogé à ce sujet par le Parisien : « Pour le hacker, le processus de piratage est le même que ce soit sur un téléphone ou sur un ordinateur ». Il existe cependant une différence de taille : un smartphone est pratiquement allumé en permanence.

 

Le Parisien a également interrogé Arnaud Cassagne de la société de sécurité Nomios : « Il faut qu’on travaille tous ensemble pour sécuriser cette nouvelle technologie ». Une conclusion qui n’est pas sans rappeler celles de Renaud Lifchitz en avril dernier au sujet des cartes de paiement sans contact : « Des mesures sont prévues, il suffirait de les activer », enjoignant les banques à avoir une véritable concertation sur le sujet.

 

Qu’il s’agisse de cartes de paiement ou de smartphones, la sécurité entourant les communications de type NFC inquiètent car toutes les précautions ne semblent pas avoir été prises. Qu’il s’agisse de scénarios d’attaque utilisant des fonctionnalités détournées ou un manque de chiffrement des données, il faut sans doute prévoir une période d’adaptation où les nouveaux usages risquent de déclencher une maturation à posteriori des technologies.

Vincent Hermann

Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.

Publiée le 31/07/2012 à 10:40

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 36 commentaires

Avatar de Obelixator INpactien
Obelixator Le mardi 31 juillet 2012 à 11:01:38
Inscrit le mercredi 4 mars 09 - 3641 commentaires
Jusqu'à nouvel ordre, il faut donc fuir tout moyen de paiement possédant ce logo

(ça me rappelle un peu les déboires d'un certain WEP, ça )

Edité par Obelixator le mardi 31 juillet 2012 à 11:02
Avatar de SuperMot INpactien
SuperMot Le mardi 31 juillet 2012 à 11:01:52
Inscrit le mardi 24 janvier 06 - 680 commentaires
Mais c'est un peu tiré par les cheveux pour Beam, l'envoie de données est effectivement automatisé mais il faut que l'appareil cible soit déverrouillage et a moins de 4cm. La victime doit être totalement consentante dans ces condition. Le bluetooth reste largement plus dangereux, par exemple.

Par contre le NFC totalement passif, par exemple sur les carte de credit, c'est effectivement dangereux, suffit de placer sont smartphone derrière la poche où le porte monnaie se trouve pour avoir déjà la majorité des info, manque juste le PIN... a condition qu'il soit requis.

Edité par supermot le mardi 31 juillet 2012 à 11:04
Avatar de yukon_42 INpactien
yukon_42 Le mardi 31 juillet 2012 à 11:06:39
Inscrit le mardi 19 juin 07 - 1488 commentaires
je le sens pas du tout le nfc : trop jeune, trop immature, et prêché comme the révolution pour la consommation pourtant c'est niveau sécurité c'est plutôt judas

Au moins quand un voleur nous agressera il ne prendra que notre smartphone...
Avatar de Obelixator INpactien
Obelixator Le mardi 31 juillet 2012 à 11:10:06
Inscrit le mercredi 4 mars 09 - 3641 commentaires
Au moins quand un voleur nous agressera il ne prendra que notre smartphone...

Même pas . . . le risque que ce soit ton relevé de compte qui t'informe de l' "agression" est loin d'être négligeable
Avatar de the_Grim_Reaper INpactien
the_Grim_Reaper Le mardi 31 juillet 2012 à 11:22:57
Inscrit le mardi 6 novembre 07 - 2883 commentaires
je le sens pas du tout le nfc : trop jeune, trop immature, et prêché comme the révolution pour la consommation pourtant c'est niveau sécurité c'est plutôt judas

Au moins quand un voleur nous agressera il ne prendra que notre smartphone...

Le problème c'est que les industriels veulent aller trop vite chacun dans leur coin.
Y'a même pas une norme mondiale pour l'implémentation du NFC.

Le NFC japonais n'est pas compatible avec celui des européens.

Chacun voulant être le premier ils ont pas fait la base sur ce genre de support, sécuriser les données et les échanges.
Avatar de Ailiosa INpactien
Ailiosa Le mardi 31 juillet 2012 à 11:36:54
Inscrit le mercredi 1 juin 11 - 47 commentaires
Jusqu'à nouvel ordre, il faut donc fuir tout moyen de paiement possédant ce logo

(ça me rappelle un peu les déboires d'un certain WEP, ça )


Mais comment refuser une nouvelle carte de paiement "NFC capable" fournis par ta banque quand l'ancienne se désactive dans le mois?

C'est un vrai problème pour les consommateurs, on est pas informé et on nous laisse pas le choix d'avoir ou non cette technologie.
Les banquiers ne sont même pas informés et formés par les banques.
Avatar de 127.0.0.1 INpactien
127.0.0.1 Le mardi 31 juillet 2012 à 11:36:55
Inscrit le mercredi 29 avril 09 - 13213 commentaires
Je fais entièrement confiance aux constructeurs de téléphones et aux multinationales de l'Internet pour gérer mon porte-monnaie.


Mouha ha ha ha ha...

Edité par 127.0.0.1 le mardi 31 juillet 2012 à 11:37
Avatar de kade INpactien
kade Le mardi 31 juillet 2012 à 11:42:30
Inscrit le mercredi 24 octobre 07 - 3264 commentaires
je le sens pas du tout le nfc : trop jeune, trop immature, et prêché comme the révolution pour la consommation pourtant c'est niveau sécurité c'est plutôt judas

Au moins quand un voleur nous agressera il ne prendra que notre smartphone...


Pas tant qu'Apple l'aura implémenté.


Avatar de Commentaire_supprime INpactien
Commentaire_supprime Le mardi 31 juillet 2012 à 11:55:39
Inscrit le vendredi 31 octobre 08 - 27132 commentaires
C'est pas gagné, en d'autres termes... En l'état, si ma banque veut proposer ce truc à ses clients, je refuse, tout simplement.


Le problème c'est que les industriels veulent aller trop vite chacun dans leur coin.
Y'a même pas une norme mondiale pour l'implémentation du NFC.

Le NFC japonais n'est pas compatible avec celui des européens.

Chacun voulant être le premier ils ont pas fait la base sur ce genre de support, sécuriser les données et les échanges.


+1. Travail bâclé +++, à refaire ab initio.

Ce qu'ils nous vendent est inacceptable en l'état. Surtout si chaque pays a sa norme non interopérable. Je voyage souvent à l'étranger, et je paye par CB, et j'aimerai bien ne pas être emmerdé pour payer par une technologie basée sur des normes mal, ou pas du tout, établies...

Edité par commentaire_supprime le mardi 31 juillet 2012 à 11:56
Avatar de Franchois INpactien
Franchois Le mardi 31 juillet 2012 à 12:02:39
Inscrit le mardi 4 avril 06 - 264 commentaires
No way je prend la NFC moi, ils feraient mieux de mettre du très très haut débit dans les TPE à carte d'aujourd'hui, et que l'interface soit plus rapide.
;