Paiement sans contact : danger pour les cartes bleues et smartphones !

Les banques assurent la promotion du paiement sans contact. Alors qu'il n'est absolument pas sécurisé. par Thomas Livet, Consultant Sécurité de SIFARIS

Récemment, la marque à la pomme a encore une fois « révolutionné » le marché en dévoilant la nouvelle version de son smartphone vedette, qui propose notamment la fonction de paiement sans contact. Le mot « révolution » est pourtant loin d'être approprié puisque cette fonctionnalité n'est pas nouvelle. Mais au-delà des querelles de paternité, quid de la sécurité de ce système qui équipe également nos cartes bancaires ? La question a déjà été soulevée par la CNIL, mais le système NFC continue de se répandre sans que toutes les précautions nécessaires soient prises.

Une technologie de plus en plus répandue

Le NFC, pour Near Field Communication, est un système de communication sans fil à courte distance. Il permet à un périphérique d'échanger des informations avec un terminal grâce à une antenne et un protocole dédiés. Cette technologie est au cœur du paiement sans fil disponible via les nouveaux smartphones équipés, et elle est également présente sur nos cartes bancaires depuis près de deux ans. 27 500 000 cartes de paiement, soit 43% des cartes en circulation, et 6 600 000 smartphones sont d'ores et déjà équipés du NFC *. Et ces chiffres augmentent de manière exponentielle.

La France connaît bien cette technologie, puisque la société française Inside Secure, l'un des précurseurs du NFC, a déposé ses premiers brevets dédiés dès 1999. Un des exemples de l'application du NFC est le Pass Navigo, une carte permettant d'emprunter les transports en commun parisiens sans sortir de ticket, mise en circulation en 2001.

Le Pass Navigo plus sûr qu'une carte bancaire

Les échanges entre le Pass Navigo et son lecteur sont authentifiés et chiffrés. En revanche, les cartes bancaires NFC ne bénéficient pas de toutes ces protections. Une simple application pour smartphone permet de lire à distance les informations contenues dans la CB : type de carte, nom de la banque, numéro de carte, date d'expiration, 15 dernières transactions en détails (date, heure, montant, etc.). Ces données peuvent être récupérées et copiées sur de fausses cartes, ou être utilisées par des escrocs sur des sites de vente en ligne par exemple. Il est également possible de mettre en œuvre un système de relais grâce à deux terminaux distants reliés via Wifi ou 3G, et ainsi créer un pont d'échange entre une CB victime et le point de paiement, afin d'utiliser frauduleusement, à distance et en direct, la fonction de paiement sans contact de cette carte.

 Certes, des efforts de sécurisation ont été faits sur les CB les plus récentes (le chiffrement des données concernant les 15 dernières transactions a été corrigé sur celles émises à partir de fin 2013), et la limite de paiement avec ce système est fixée à 20€ par transaction. L'argument principal des banques est que le consommateur reste couvert par une assurance en cas de fraude. Mais qui paye cette assurance si ce n'est le consommateur lui-même ? Sans compter que la gêne occasionnée le cas échéant (dépôt de plainte, risque de découvert, etc.) n'est évidemment pas remboursable.

Les smartphones encore plus faciles à pirater


Les smartphones, déjà sensibles aux risques de piratage, ne sont pas en reste. En effet, le NFC constitue ici un nouveau vecteur d'attaque et complexifie encore la sécurisation des données. Elles sont de plus en plus nombreuses sur nos téléphones mobiles, et leur pillage peut être particulièrement dommageable.

De plus, les fabricants de téléphones créent chacune leur propre système de paiement sans contact utilisant la technologie NFC. Et il est difficile de savoir s'ils prennent les précautions nécessaires alors qu'ils sont entraînés dans une course à la concurrence. Certaines de ces marques tentent cependant d'améliorer la sécurité de ces systèmes. Lors d'un paiement sans contact, l'iPhone 6 propose par exemple une authentification par empreinte.

Comment sécuriser les objets équipés du NFC ?

Il existe pourtant bien un principe permettant de sécuriser les équipements intégrant le NFC. Il est simple et tient en trois mots : authentification, chiffrement et signature. Mais ces trois principes sont indissociables si l'on veut véritablement sécuriser cette technologie, et la plupart des CB et smartphones ne les appliquent pas tous.

Pour préserver sa carte bancaire, plusieurs solutions existent. La plus radicale : percer la carte au niveau de l'antenne NFC. Mais attention : la CB reste propriété de la banque, et il n'est donc pas certain que cette manipulation soit légale. Plus simple, demander à sa banque de désactiver la fonction de paiement sans contact. Mais toutes n'acceptent pas de le faire. Dernière possibilité, plus coûteuse mais moins hasardeuse : acheter un étui ou un portefeuille protégé, créant une sorte de cage de Faraday qui empêchera toute communication non désirée tout en conservant la fonction. Quant aux smartphones, l'unique solution réellement efficace de ce point de vue réside dans la désactivation pure et simple de la fonction NFC.

Cette technologie, si elle n'est pas sécurisée, permet donc d'aller très loin dans la récupération de données. Quand on sait que le Pass Navigo est plus sécurisé qu'une carte bancaire, on se demande bien pourquoi. Les solutions existent, mais les banques vont-elles faire l'effort de les mettre en œuvre et d'investir pour remplacer l'ensemble des CB présentes sur le marché ?

* Source : chiffres Juillet 2014 de l'Observatoire du NFC et du sans contact (www.observatoirenfcsanscontact.fr), fournis par l'Association Française du Sans Contact Mobile (www.afscm.org) et le GIE Cartes Bancaires (www.cartes-bancaires.com).

*https://2012.hackitoergosum.org/blog/wp-content/uploads/2012/04/HES-2012-rlifchitz-contactless-payments-insecurity.pdf

Sujets les + lus

|

Sujets les + commentés

Commentaires 25
à écrit le 02/05/2015 à 16:01
Signaler
Désactivons d'urgence nos cartes sans contacts et refusons de payer via nos smartphones !! Aujourd'hui les banques investissent des millions en publicité pour que nous acceptions ces modes de paiement : cartes bancaires wifi, smartphones, et surto...

à écrit le 02/05/2015 à 15:46
Signaler
Désactivons d'urgence nos cartes sans contacts et refusons de payer via nos smartphones !! Aujourd'hui les banques investissent des millions en pubs pour que nous acceptions ces modes de paiement : cartes bancaires wifi, smartphones, et surtout le p...

à écrit le 01/12/2014 à 11:00
Signaler
Il suffit de refuser la carte à puce NFC et faire comprendre qu'on songe à aller voir ailleurs, et la banque trouve vite fait une carte sans puce NFC

à écrit le 28/11/2014 à 9:53
Signaler
Avec ce système pas sécurisé, il ne reste plus qu'a poser des recepteurs nfc avec mémoire (ces cartes font moins de 2cm², donc presques invisibles) prêt de la fente d'un distributeur ou d'une pompe à essence par exemple pour obtenir toutes les inform...

à écrit le 27/11/2014 à 15:27
Signaler
bonjour, je suis surpris de cette article car meme si il est possible de récuperer des informations de notre carte, dans ce cas quelle serait le prejudice pour moi, rééllement rien ou quasi rien; pour preuve je trouve facile de critiquer mais aucune ...

le 06/01/2015 à 11:46
Signaler
Bonjour , Trouver une outil pour récupérer les code avec un Android est simple et trouver un site étranger pour l'utiliser !! Bonne journée

à écrit le 27/11/2014 à 12:26
Signaler
Les fraudes existent déjà, une simple apli sur smartphone peut permettre de scanner votre carte dans les transports en commun par ex. où on est serrés, de retour chez vous vous constatez de multiples débits de 20 euros, je connais pas mal de personne...

le 27/11/2014 à 15:30
Signaler
DE multiple debits de 20 euros pour info c est au maximun 4 paiements consecutifs de 20 soit 80 euros à compter du 5 éme il faut le code. Et moi je ne connais personne qui a eu ce probleme, arretons de nous faire peur pour rien.

à écrit le 27/11/2014 à 9:13
Signaler
Mon chat a fait un trou dans sa carte bancaire. Efficace et pas cher.

à écrit le 26/11/2014 à 18:39
Signaler
Comment on fait si on en veux pas?

à écrit le 26/11/2014 à 17:00
Signaler
" la limite de paiement avec ce système est fixée à 20€ " Faux ! Un chercheur en sécurité à montrer que la limite est fixé que pour les paiements émis en euro. Si on tente de faire une transaction de 10 000 $ cela fonctionne. On est vraiment dan...

le 26/11/2014 à 20:08
Signaler
Sur quel réseau? Mastercard, Visa, CB ou un autre réseau

le 27/11/2014 à 12:42
Signaler
Non une transaction a 10 000$ elle est refusée aussi... avant de parler d'amateurisme on se renseigne!!! Comme indiqué par Coam ça dépend bien sur du réseau et du paramétrage de la carte et du terminal. Car la réflexion est souvent se plaindre comme ...

à écrit le 26/11/2014 à 16:57
Signaler
j'ai fait changer ma CB pour un CB basique, sans NFC

le 26/11/2014 à 17:48
Signaler
Et comment va votre chat ?

le 26/11/2014 à 18:31
Signaler
fidèle à vous même ni plus ni moins, surtout ni plus.

à écrit le 26/11/2014 à 16:53
Signaler
Ce qui est le plus navrant est que les cartes bancaires sont distribuées actives par défaut au sans contact. Donc tout un chacun détenteur de ces nouvelles cartes est concerné, qu'il le veuille ou non.

le 27/11/2014 à 13:19
Signaler
Aucune banque ne vous informera alors qu'elle est censée le faire, sauf si vous êtes renseignés sur la question, et que vous la posez justement, cette question.

à écrit le 26/11/2014 à 16:07
Signaler
Faute dans le sous-titre "Alors qu'il n'est absolument pas sécuriSé."

le 26/11/2014 à 16:36
Signaler
Thomas Livet, vérifiez vos connaissances SVP . Le pass Navigo n'a rien à voir avec le NFC et Inside Secure. Ce sont des protocoles différents comme vous le faites d'ailleurs remarquer ensuite (sécurisation, authentication etc..). Merci

le 26/11/2014 à 22:27
Signaler
Insider, vérifiez vos connaissances SVP. Le pass Navigo utilise bien la technologie NFC. Une simple recherche Google et un peu de curiosité permet de s'en assurer : https://www.google.fr/search?q=pass+navigo+nfc Les mesures de sécurisation et d...

le 27/11/2014 à 12:48
Signaler
Alors le sujet est intéressant, si vous parlez de technologie NFC dans le sens on met une antenne et zou on transfert des données... si vous le voulez! Maintenant pour le payement bancaire il y a plusieurs norme ISO et EMVco! Qui ne sont certainemen...

le 27/11/2014 à 15:59
Signaler
La carte Navigo a intégré la fonctionnalité NFC récemment pour se rendre compatible avec ce paiement promu par les banques.. Elle ne risquait pas de l'avoir en 2001 pour la bonne raison que le NFC (et les "vraies" normes techniques associées, pas le ...

le 28/11/2014 à 12:42
Signaler
Tu te fais attaquer par Insider !!! Bien sur que le Pass Navigo utilise le NFC!!!

le 31/01/2015 à 3:16
Signaler
Aucun souci vous pouvez désactiver votre carte en allant sur votre compte, il suffit de le demander,il existe un encart (en général un texte a droite,dans un petit tableau) la banque ne peu pas vous obliger a accepter ce système,vous restez libre de...

Votre email ne sera pas affiché publiquement.
Tous les champs sont obligatoires.

-

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.