Récemment, la marque à la pomme a encore une fois « révolutionné » le marché en dévoilant la nouvelle version de son smartphone vedette, qui propose notamment la fonction de paiement sans contact. Le mot « révolution » est pourtant loin d'être approprié puisque cette fonctionnalité n'est pas nouvelle. Mais au-delà des querelles de paternité, quid de la sécurité de ce système qui équipe également nos cartes bancaires ? La question a déjà été soulevée par la CNIL, mais le système NFC continue de se répandre sans que toutes les précautions nécessaires soient prises.
Une technologie de plus en plus répandue
Le NFC, pour Near Field Communication, est un système de communication sans fil à courte distance. Il permet à un périphérique d'échanger des informations avec un terminal grâce à une antenne et un protocole dédiés. Cette technologie est au cœur du paiement sans fil disponible via les nouveaux smartphones équipés, et elle est également présente sur nos cartes bancaires depuis près de deux ans. 27 500 000 cartes de paiement, soit 43% des cartes en circulation, et 6 600 000 smartphones sont d'ores et déjà équipés du NFC *. Et ces chiffres augmentent de manière exponentielle.
La France connaît bien cette technologie, puisque la société française Inside Secure, l'un des précurseurs du NFC, a déposé ses premiers brevets dédiés dès 1999. Un des exemples de l'application du NFC est le Pass Navigo, une carte permettant d'emprunter les transports en commun parisiens sans sortir de ticket, mise en circulation en 2001.
Le Pass Navigo plus sûr qu'une carte bancaire
Les échanges entre le Pass Navigo et son lecteur sont authentifiés et chiffrés. En revanche, les cartes bancaires NFC ne bénéficient pas de toutes ces protections. Une simple application pour smartphone permet de lire à distance les informations contenues dans la CB : type de carte, nom de la banque, numéro de carte, date d'expiration, 15 dernières transactions en détails (date, heure, montant, etc.). Ces données peuvent être récupérées et copiées sur de fausses cartes, ou être utilisées par des escrocs sur des sites de vente en ligne par exemple. Il est également possible de mettre en œuvre un système de relais grâce à deux terminaux distants reliés via Wifi ou 3G, et ainsi créer un pont d'échange entre une CB victime et le point de paiement, afin d'utiliser frauduleusement, à distance et en direct, la fonction de paiement sans contact de cette carte.
Certes, des efforts de sécurisation ont été faits sur les CB les plus récentes (le chiffrement des données concernant les 15 dernières transactions a été corrigé sur celles émises à partir de fin 2013), et la limite de paiement avec ce système est fixée à 20€ par transaction. L'argument principal des banques est que le consommateur reste couvert par une assurance en cas de fraude. Mais qui paye cette assurance si ce n'est le consommateur lui-même ? Sans compter que la gêne occasionnée le cas échéant (dépôt de plainte, risque de découvert, etc.) n'est évidemment pas remboursable.
Les smartphones encore plus faciles à pirater
Les smartphones, déjà sensibles aux risques de piratage, ne sont pas en reste. En effet, le NFC constitue ici un nouveau vecteur d'attaque et complexifie encore la sécurisation des données. Elles sont de plus en plus nombreuses sur nos téléphones mobiles, et leur pillage peut être particulièrement dommageable.
De plus, les fabricants de téléphones créent chacune leur propre système de paiement sans contact utilisant la technologie NFC. Et il est difficile de savoir s'ils prennent les précautions nécessaires alors qu'ils sont entraînés dans une course à la concurrence. Certaines de ces marques tentent cependant d'améliorer la sécurité de ces systèmes. Lors d'un paiement sans contact, l'iPhone 6 propose par exemple une authentification par empreinte.
Comment sécuriser les objets équipés du NFC ?
Il existe pourtant bien un principe permettant de sécuriser les équipements intégrant le NFC. Il est simple et tient en trois mots : authentification, chiffrement et signature. Mais ces trois principes sont indissociables si l'on veut véritablement sécuriser cette technologie, et la plupart des CB et smartphones ne les appliquent pas tous.
Pour préserver sa carte bancaire, plusieurs solutions existent. La plus radicale : percer la carte au niveau de l'antenne NFC. Mais attention : la CB reste propriété de la banque, et il n'est donc pas certain que cette manipulation soit légale. Plus simple, demander à sa banque de désactiver la fonction de paiement sans contact. Mais toutes n'acceptent pas de le faire. Dernière possibilité, plus coûteuse mais moins hasardeuse : acheter un étui ou un portefeuille protégé, créant une sorte de cage de Faraday qui empêchera toute communication non désirée tout en conservant la fonction. Quant aux smartphones, l'unique solution réellement efficace de ce point de vue réside dans la désactivation pure et simple de la fonction NFC.
Cette technologie, si elle n'est pas sécurisée, permet donc d'aller très loin dans la récupération de données. Quand on sait que le Pass Navigo est plus sécurisé qu'une carte bancaire, on se demande bien pourquoi. Les solutions existent, mais les banques vont-elles faire l'effort de les mettre en œuvre et d'investir pour remplacer l'ensemble des CB présentes sur le marché ?
* Source : chiffres Juillet 2014 de l'Observatoire du NFC et du sans contact (www.observatoirenfcsanscontact.fr), fournis par l'Association Française du Sans Contact Mobile (www.afscm.org) et le GIE Cartes Bancaires (www.cartes-bancaires.com).
*http://2012.hackitoergosum.org/blog/wp-content/uploads/2012/04/HES-2012-rlifchitz-contactless-payments-insecurity.pdf
Aujourd'hui les banques investissent des millions en publicité pour que nous acceptions ces modes de paiement : cartes bancaires wifi, smartphones, et surtout le plus dangereux: la puce RFID implantée dans la main_ malgré les alertes sanitaires lancées par l'inventeur de cette puce _ puce à la batterie au lithium (qui fuit au bout de quelques années et s'évacue dans le corps, AVC, cancer, leucémie et infarctus etc.).
Pourquoi convaincre les gens d’utiliser quelque chose d'aussi dangereux pour la santé et d'aussi facilement piratable?
Les banques ont poussé les commerçants à utiliser ces moyens sans contact: les commerçants poussent donc le client à payer vis ces moyens car cela est plus rentable pour eux mais savent-ils que cela risque fort de leur coûter leur petite entreprise??
Le but des paiements sans contact est marqué sur le fascicule délivré par votre banque : "en finir avec la monnaie" !!
Les instituts bancaires sont en train de convaincre les états d'en finir avec la monnaie et les chèquiers pour éviter les fraudes !!
mais s'il n'y a plus ni chèques ni monnaie, nous seront TOUS obligés de passer par les paiements sans contact!!!
LES BANQUES CONTRÔLERONT AINSI la totalité de l'argent MONDIALE !!!
Leur grand projet sera alors de taxer l'intégralité des transactions.
Vous payer votre loyer, vous sera ponctionné, vous voulez recevoir votre paie, il faudra payer à la manière de paypal : vos achats comme vos dépenses.
Ils avaient déjà essayer de faire cela avec monéo mais ce fut un échec.
Ce n'est pas pour rien si Aujourd'hui au gouvernement ils ont placé Mr Macron, un proche de Mr De rothchild.
Chaque clic d'un paiement nous rapprochera du moment où détenant le monopole total : chaque entreprise sera taxé sur ses achats, comme sur la somme que lui devra le client: ce sera la fermeture de milliers d'entreprises, de petits commerces!! ce n'est pas pour rien si des géants tels carrefour , google et autres se lancent dans les paiements sans contact.
Au début, les banques taxeront un faible pourcentage mais il est question de 3 à 5% sur chaque transaction. Faites le bilan sur la vente de votre voiture, de votre maison, sur l'achat de vos courses quand le caddy sera plein... Ne laissons pas les banques s'enrichir en nous puçant ou en essayant de nous faire payer vis smartphone et autres.
Aujourd'hui les banques investissent des millions en pubs pour que nous acceptions ces modes de paiement : cartes bancaires wifi, smartphones, et surtout le plus dangereux: la puce RFID implantée dans la main_ malgré les alertes sanitaires lancées par l'inventeur de cette puce à la batterie au lithium (qui fuit au bout de quelques années et s'évacue dans le corps, AVC, cancer, leucémie et infarctus etc.).
Pourquoi convaincre les gens d’utiliser quelque chose d'aussi dangereux pour la santé et d'aussi facilement piratable?????
Les banques ont poussé les commerçants à utiliser ces moyens sans contact: les commerçants poussent donc le client à payer vis ces moyens car cela est plus rentable pour eux mais savent-ils que cela risque fort de leur coûter leur petite entreprise??
Le but des paiements sans contact est marqué sur le fascicule délivré par votre banque : "en finir avec la monnaie" !!
Les instituts bancaires sont en train de convaincre les états d'en finir avec la monnaie et les chèquiers pour éviter les fraudes !!
mais s'il n'y a plus ni chèques ni monnaie, nous seront TOUS obligés de passer par les paiements sans contact!!!
LES BANQUES CONTRÔLERONT AINSI la totalité de l'argent MONDIALE !!!
Leur grand projet sera alors de taxer l'intégralitée des transactions.
Vous payer votre loyer, vous sera ponctionné, vous voulez recevoir votre paie, il faudra payer à la manière de paypal : vos achats comme vos dépenses!!
Ils avaient déjà essayer de faire cela avec monéo mais ce fut un échec!!
Ce n'est pas pour rien si Aujourd'hui au gouvernement ils ont placé Mr Macron, un rpiche de rotchild.
Alors résistance, nous pouvons nous aussi les mettre en échec en refusant d’utiliser tous leurs système de paiement sans contact!!
chaque clic d'un paiement nous rapprochera du moment où détenant le monopole total, où chaque entreprise sera taxé sur ses achats, comme sur la somme que lui devra le client: ce sera la fermeture de milliers d'entreprises, de petits commerces!! ce n'est pas pour rien si des génats tels carrefour , google et autres se lancent dans les paiements sans contact alors Résistance! résistance et faites passer le message !!! Merci de m'avoir lu les gars !!
Pour info Zero et oui 00000, alors arretons de nous faire peur pour rien.
Trouver une outil pour récupérer les code avec un Android est simple
et trouver un site étranger pour l'utiliser !!
Bonne journée
Et moi je ne connais personne qui a eu ce probleme, arretons de nous faire peur pour rien.
Faux ! Un chercheur en sécurité à montrer que la limite est fixé que pour les paiements émis en euro. Si on tente de faire une transaction de 10 000 $ cela fonctionne.
On est vraiment dans l’amateurisme le plus complet ...
https://www.google.fr/search?q=pass+navigo+nfc
Les mesures de sécurisation et d'authentification ne sont pas les mêmes que sur les CB, mais ça ne change rien au fait que les deux utilise la même technologie NFC.
Maintenant pour le payement bancaire il y a plusieurs norme ISO et EMVco! Qui ne sont certainement pas les même que le Pass Navigo. Et quand bien même on peut lire des données avec un espion, delà a dire qu'elle peuvent servir a faire d'autre transaction... c'est un peu rapide!
Bien sur que le Pass Navigo utilise le NFC!!!