Sécurité : Les cartes de paiements sans contact sont-elles fiables ?
Gael Cérez
Ce contenu est réservé aux abonnés La Tribune
Gael Cérez
Ce contenu est réservé aux abonnés La Tribune
Aujourd'hui, 34,7 millions de cartes NFC sont en circulation en France, soit 54 % de l'ensemble des cartes bancaires existantes. Il n'y en avait que 11 millions en 2013. Basée sur la technologie NFC (Near Field Communication), aussi dite CCP (Communication en Champ Proche) qui permet à deux objets de communiquer automatiquement quand ils sont proches l'un de l'autre, la carte de paiement sans contact permet de réaliser des petites transactions sans entrer son code bancaire. Promue par les banques dans l'optique de réduire leurs frais de gestion liés à la circulation de la petite monnaie, la carte de paiement sans contact reste pourtant peu utilisée en France. Selon un sondage Syntec Numérique-Odoxa de janvier 2015, 57 % des personnes interrogées trouvent ce service inutile et 14% ne l'utilisent pas par crainte de bugs.
Ces nouvelles cartes sont-elles fiables ? C'est la question posée à Grégory Estrade, directeur de la recherche et du développement à Lyra Network, une entreprise toulousaine spécialisée dans la sécurisation des transactions de proximité et en ligne.
Lors d'une crypto-party organisée à Toulouse en 2014, vous avez réalisé une expérience autour de la carte de paiement sans contact. De quoi s'agissait-il ?
En décembre 2011, l'ingénieur sécurité Renaud Lifchitz a montré à quel point les cartes NFC étaient véreuses en les testant avec un appareil coûtant une trentaine d'euros. À l'époque, il avait pu récupéré le nom du porteur, son numéro de carte, la date d'expiration et la liste des retraits et des débits enregistrés sur la puce.
À lire également
En 2014, j'ai voulu refaire ce test en me disant qu'il y avait peu de chances que cela marche encore. Lors d'une crypto-party à Toulouse, j'ai emprunté la carte bancaire d'une personne du public et lorsque je l'ai posé sur mon capteur, elle a révélé tous ses secrets.
Ces résultats vous ont surpris ?
On aurait été en 2012, non. Mais en 2014, oui. Je ne m'y attendais pas.
Pourquoi la sécurité était-elle défaillante sur ces cartes de paiement sans contact ?
Elles reposent sur deux standards :
Gael Cérez
Jean-François Zygel : « En musique, l'IA générative est devant un échec »
Aéronautique : front commun de l'Isae-Supaero et l'Enac face à la compétition internationale
Feu dans les moteurs d'avion : la France lance une plateforme unique au monde
Le casino Barrière de Toulouse, premier en France à adopter le contrôle biométrique