Paiement sans contact : danger pour les cartes bleues et smartphones !

 |   |  976  mots
(Crédits : DR)
Les banques assurent la promotion du paiement sans contact. Alors qu'il n'est absolument pas sécurisé. par Thomas Livet, Consultant Sécurité de SIFARIS

Récemment, la marque à la pomme a encore une fois « révolutionné » le marché en dévoilant la nouvelle version de son smartphone vedette, qui propose notamment la fonction de paiement sans contact. Le mot « révolution » est pourtant loin d'être approprié puisque cette fonctionnalité n'est pas nouvelle. Mais au-delà des querelles de paternité, quid de la sécurité de ce système qui équipe également nos cartes bancaires ? La question a déjà été soulevée par la CNIL, mais le système NFC continue de se répandre sans que toutes les précautions nécessaires soient prises.

Une technologie de plus en plus répandue

Le NFC, pour Near Field Communication, est un système de communication sans fil à courte distance. Il permet à un périphérique d'échanger des informations avec un terminal grâce à une antenne et un protocole dédiés. Cette technologie est au cœur du paiement sans fil disponible via les nouveaux smartphones équipés, et elle est également présente sur nos cartes bancaires depuis près de deux ans. 27 500 000 cartes de paiement, soit 43% des cartes en circulation, et 6 600 000 smartphones sont d'ores et déjà équipés du NFC *. Et ces chiffres augmentent de manière exponentielle.

La France connaît bien cette technologie, puisque la société française Inside Secure, l'un des précurseurs du NFC, a déposé ses premiers brevets dédiés dès 1999. Un des exemples de l'application du NFC est le Pass Navigo, une carte permettant d'emprunter les transports en commun parisiens sans sortir de ticket, mise en circulation en 2001.

Le Pass Navigo plus sûr qu'une carte bancaire

Les échanges entre le Pass Navigo et son lecteur sont authentifiés et chiffrés. En revanche, les cartes bancaires NFC ne bénéficient pas de toutes ces protections. Une simple application pour smartphone permet de lire à distance les informations contenues dans la CB : type de carte, nom de la banque, numéro de carte, date d'expiration, 15 dernières transactions en détails (date, heure, montant, etc.). Ces données peuvent être récupérées et copiées sur de fausses cartes, ou être utilisées par des escrocs sur des sites de vente en ligne par exemple. Il est également possible de mettre en œuvre un système de relais grâce à deux terminaux distants reliés via Wifi ou 3G, et ainsi créer un pont d'échange entre une CB victime et le point de paiement, afin d'utiliser frauduleusement, à distance et en direct, la fonction de paiement sans contact de cette carte.

 Certes, des efforts de sécurisation ont été faits sur les CB les plus récentes (le chiffrement des données concernant les 15 dernières transactions a été corrigé sur celles émises à partir de fin 2013), et la limite de paiement avec ce système est fixée à 20€ par transaction. L'argument principal des banques est que le consommateur reste couvert par une assurance en cas de fraude. Mais qui paye cette assurance si ce n'est le consommateur lui-même ? Sans compter que la gêne occasionnée le cas échéant (dépôt de plainte, risque de découvert, etc.) n'est évidemment pas remboursable.

Les smartphones encore plus faciles à pirater


Les smartphones, déjà sensibles aux risques de piratage, ne sont pas en reste. En effet, le NFC constitue ici un nouveau vecteur d'attaque et complexifie encore la sécurisation des données. Elles sont de plus en plus nombreuses sur nos téléphones mobiles, et leur pillage peut être particulièrement dommageable.

De plus, les fabricants de téléphones créent chacune leur propre système de paiement sans contact utilisant la technologie NFC. Et il est difficile de savoir s'ils prennent les précautions nécessaires alors qu'ils sont entraînés dans une course à la concurrence. Certaines de ces marques tentent cependant d'améliorer la sécurité de ces systèmes. Lors d'un paiement sans contact, l'iPhone 6 propose par exemple une authentification par empreinte.

Comment sécuriser les objets équipés du NFC ?

Il existe pourtant bien un principe permettant de sécuriser les équipements intégrant le NFC. Il est simple et tient en trois mots : authentification, chiffrement et signature. Mais ces trois principes sont indissociables si l'on veut véritablement sécuriser cette technologie, et la plupart des CB et smartphones ne les appliquent pas tous.

Pour préserver sa carte bancaire, plusieurs solutions existent. La plus radicale : percer la carte au niveau de l'antenne NFC. Mais attention : la CB reste propriété de la banque, et il n'est donc pas certain que cette manipulation soit légale. Plus simple, demander à sa banque de désactiver la fonction de paiement sans contact. Mais toutes n'acceptent pas de le faire. Dernière possibilité, plus coûteuse mais moins hasardeuse : acheter un étui ou un portefeuille protégé, créant une sorte de cage de Faraday qui empêchera toute communication non désirée tout en conservant la fonction. Quant aux smartphones, l'unique solution réellement efficace de ce point de vue réside dans la désactivation pure et simple de la fonction NFC.

Cette technologie, si elle n'est pas sécurisée, permet donc d'aller très loin dans la récupération de données. Quand on sait que le Pass Navigo est plus sécurisé qu'une carte bancaire, on se demande bien pourquoi. Les solutions existent, mais les banques vont-elles faire l'effort de les mettre en œuvre et d'investir pour remplacer l'ensemble des CB présentes sur le marché ?

* Source : chiffres Juillet 2014 de l'Observatoire du NFC et du sans contact (www.observatoirenfcsanscontact.fr), fournis par l'Association Française du Sans Contact Mobile (www.afscm.org) et le GIE Cartes Bancaires (www.cartes-bancaires.com).

*http://2012.hackitoergosum.org/blog/wp-content/uploads/2012/04/HES-2012-rlifchitz-contactless-payments-insecurity.pdf

Réagir

Votre email ne sera pas affiché publiquement
Tous les champs sont obligatoires

Commentaires
a écrit le 02/05/2015 à 16:01 :
Désactivons d'urgence nos cartes sans contacts et refusons de payer via nos smartphones !!

Aujourd'hui les banques investissent des millions en publicité pour que nous acceptions ces modes de paiement : cartes bancaires wifi, smartphones, et surtout le plus dangereux: la puce RFID implantée dans la main_ malgré les alertes sanitaires lancées par l'inventeur de cette puce _ puce à la batterie au lithium (qui fuit au bout de quelques années et s'évacue dans le corps, AVC, cancer, leucémie et infarctus etc.).

Pourquoi convaincre les gens d’utiliser quelque chose d'aussi dangereux pour la santé et d'aussi facilement piratable?
Les banques ont poussé les commerçants à utiliser ces moyens sans contact: les commerçants poussent donc le client à payer vis ces moyens car cela est plus rentable pour eux mais savent-ils que cela risque fort de leur coûter leur petite entreprise??

Le but des paiements sans contact est marqué sur le fascicule délivré par votre banque : "en finir avec la monnaie" !!
Les instituts bancaires sont en train de convaincre les états d'en finir avec la monnaie et les chèquiers pour éviter les fraudes !!
mais s'il n'y a plus ni chèques ni monnaie, nous seront TOUS obligés de passer par les paiements sans contact!!!
LES BANQUES CONTRÔLERONT AINSI la totalité de l'argent MONDIALE !!!

Leur grand projet sera alors de taxer l'intégralité des transactions.
Vous payer votre loyer, vous sera ponctionné, vous voulez recevoir votre paie, il faudra payer à la manière de paypal : vos achats comme vos dépenses.
Ils avaient déjà essayer de faire cela avec monéo mais ce fut un échec.
Ce n'est pas pour rien si Aujourd'hui au gouvernement ils ont placé Mr Macron, un proche de Mr De rothchild.
Chaque clic d'un paiement nous rapprochera du moment où détenant le monopole total : chaque entreprise sera taxé sur ses achats, comme sur la somme que lui devra le client: ce sera la fermeture de milliers d'entreprises, de petits commerces!! ce n'est pas pour rien si des géants tels carrefour , google et autres se lancent dans les paiements sans contact.
Au début, les banques taxeront un faible pourcentage mais il est question de 3 à 5% sur chaque transaction. Faites le bilan sur la vente de votre voiture, de votre maison, sur l'achat de vos courses quand le caddy sera plein... Ne laissons pas les banques s'enrichir en nous puçant ou en essayant de nous faire payer vis smartphone et autres.
a écrit le 02/05/2015 à 15:46 :
Désactivons d'urgence nos cartes sans contacts et refusons de payer via nos smartphones !!
Aujourd'hui les banques investissent des millions en pubs pour que nous acceptions ces modes de paiement : cartes bancaires wifi, smartphones, et surtout le plus dangereux: la puce RFID implantée dans la main_ malgré les alertes sanitaires lancées par l'inventeur de cette puce à la batterie au lithium (qui fuit au bout de quelques années et s'évacue dans le corps, AVC, cancer, leucémie et infarctus etc.).

Pourquoi convaincre les gens d’utiliser quelque chose d'aussi dangereux pour la santé et d'aussi facilement piratable?????
Les banques ont poussé les commerçants à utiliser ces moyens sans contact: les commerçants poussent donc le client à payer vis ces moyens car cela est plus rentable pour eux mais savent-ils que cela risque fort de leur coûter leur petite entreprise??

Le but des paiements sans contact est marqué sur le fascicule délivré par votre banque : "en finir avec la monnaie" !!
Les instituts bancaires sont en train de convaincre les états d'en finir avec la monnaie et les chèquiers pour éviter les fraudes !!
mais s'il n'y a plus ni chèques ni monnaie, nous seront TOUS obligés de passer par les paiements sans contact!!!
LES BANQUES CONTRÔLERONT AINSI la totalité de l'argent MONDIALE !!!

Leur grand projet sera alors de taxer l'intégralitée des transactions.
Vous payer votre loyer, vous sera ponctionné, vous voulez recevoir votre paie, il faudra payer à la manière de paypal : vos achats comme vos dépenses!!

Ils avaient déjà essayer de faire cela avec monéo mais ce fut un échec!!

Ce n'est pas pour rien si Aujourd'hui au gouvernement ils ont placé Mr Macron, un rpiche de rotchild.
Alors résistance, nous pouvons nous aussi les mettre en échec en refusant d’utiliser tous leurs système de paiement sans contact!!
chaque clic d'un paiement nous rapprochera du moment où détenant le monopole total, où chaque entreprise sera taxé sur ses achats, comme sur la somme que lui devra le client: ce sera la fermeture de milliers d'entreprises, de petits commerces!! ce n'est pas pour rien si des génats tels carrefour , google et autres se lancent dans les paiements sans contact alors Résistance! résistance et faites passer le message !!! Merci de m'avoir lu les gars !!
a écrit le 01/12/2014 à 11:00 :
Il suffit de refuser la carte à puce NFC et faire comprendre qu'on songe à aller voir ailleurs, et la banque trouve vite fait une carte sans puce NFC
a écrit le 28/11/2014 à 9:53 :
Avec ce système pas sécurisé, il ne reste plus qu'a poser des recepteurs nfc avec mémoire (ces cartes font moins de 2cm², donc presques invisibles) prêt de la fente d'un distributeur ou d'une pompe à essence par exemple pour obtenir toutes les informations permettant à une personne mal intentionné de faire des fausses cartes ou des petits achats à votre insu ! allez donc prouver que ce n'est pas vous... merci les banques !!!
a écrit le 27/11/2014 à 15:27 :
bonjour, je suis surpris de cette article car meme si il est possible de récuperer des informations de notre carte, dans ce cas quelle serait le prejudice pour moi, rééllement rien ou quasi rien; pour preuve je trouve facile de critiquer mais aucune etude n'indique le montant de la fraude depuis le lancement de cette nouvelle norme;
Pour info Zero et oui 00000, alors arretons de nous faire peur pour rien.
Réponse de le 06/01/2015 à 11:46 :
Bonjour ,
Trouver une outil pour récupérer les code avec un Android est simple
et trouver un site étranger pour l'utiliser !!
Bonne journée
a écrit le 27/11/2014 à 12:26 :
Les fraudes existent déjà, une simple apli sur smartphone peut permettre de scanner votre carte dans les transports en commun par ex. où on est serrés, de retour chez vous vous constatez de multiples débits de 20 euros, je connais pas mal de personnes à qui c'est arrivé à Lyon
Réponse de le 27/11/2014 à 15:30 :
DE multiple debits de 20 euros pour info c est au maximun 4 paiements consecutifs de 20 soit 80 euros à compter du 5 éme il faut le code.
Et moi je ne connais personne qui a eu ce probleme, arretons de nous faire peur pour rien.
a écrit le 27/11/2014 à 9:13 :
Mon chat a fait un trou dans sa carte bancaire. Efficace et pas cher.
a écrit le 26/11/2014 à 18:39 :
Comment on fait si on en veux pas?
a écrit le 26/11/2014 à 17:00 :
" la limite de paiement avec ce système est fixée à 20€ "
Faux ! Un chercheur en sécurité à montrer que la limite est fixé que pour les paiements émis en euro. Si on tente de faire une transaction de 10 000 $ cela fonctionne.

On est vraiment dans l’amateurisme le plus complet ...
Réponse de le 26/11/2014 à 20:08 :
Sur quel réseau? Mastercard, Visa, CB ou un autre réseau
Réponse de le 27/11/2014 à 12:42 :
Non une transaction a 10 000$ elle est refusée aussi... avant de parler d'amateurisme on se renseigne!!! Comme indiqué par Coam ça dépend bien sur du réseau et du paramétrage de la carte et du terminal. Car la réflexion est souvent se plaindre comme porteur de carte, mais le commerçant il veut aussi sont argent. Et un terminal qui accepterais 10 000$ en sans contact... bah il est pas très sérieux ce terminal. Réfléchissez un peu avant de commenter!
a écrit le 26/11/2014 à 16:57 :
j'ai fait changer ma CB pour un CB basique, sans NFC
Réponse de le 26/11/2014 à 17:48 :
Et comment va votre chat ?
Réponse de le 26/11/2014 à 18:31 :
fidèle à vous même ni plus ni moins, surtout ni plus.
a écrit le 26/11/2014 à 16:53 :
Ce qui est le plus navrant est que les cartes bancaires sont distribuées actives par défaut au sans contact. Donc tout un chacun détenteur de ces nouvelles cartes est concerné, qu'il le veuille ou non.
Réponse de le 27/11/2014 à 13:19 :
Aucune banque ne vous informera alors qu'elle est censée le faire, sauf si vous êtes renseignés sur la question, et que vous la posez justement, cette question.
a écrit le 26/11/2014 à 16:07 :
Faute dans le sous-titre "Alors qu'il n'est absolument pas sécuriSé."
Réponse de le 26/11/2014 à 16:36 :
Thomas Livet, vérifiez vos connaissances SVP . Le pass Navigo n'a rien à voir avec le NFC et Inside Secure. Ce sont des protocoles différents comme vous le faites d'ailleurs remarquer ensuite (sécurisation, authentication etc..). Merci
Réponse de le 26/11/2014 à 22:27 :
Insider, vérifiez vos connaissances SVP. Le pass Navigo utilise bien la technologie NFC. Une simple recherche Google et un peu de curiosité permet de s'en assurer :

https://www.google.fr/search?q=pass+navigo+nfc

Les mesures de sécurisation et d'authentification ne sont pas les mêmes que sur les CB, mais ça ne change rien au fait que les deux utilise la même technologie NFC.
Réponse de le 27/11/2014 à 12:48 :
Alors le sujet est intéressant, si vous parlez de technologie NFC dans le sens on met une antenne et zou on transfert des données... si vous le voulez!
Maintenant pour le payement bancaire il y a plusieurs norme ISO et EMVco! Qui ne sont certainement pas les même que le Pass Navigo. Et quand bien même on peut lire des données avec un espion, delà a dire qu'elle peuvent servir a faire d'autre transaction... c'est un peu rapide!
Réponse de le 27/11/2014 à 15:59 :
La carte Navigo a intégré la fonctionnalité NFC récemment pour se rendre compatible avec ce paiement promu par les banques.. Elle ne risquait pas de l'avoir en 2001 pour la bonne raison que le NFC (et les "vraies" normes techniques associées, pas le nom "grand public") n'existait pas. Navigo est né basé sur la norme ISO14443B et utilise un protocole d'authentification propriétaire qui n'a rien à voir. Il a intégré le NFC comme la bonne vieille TV couleur de 1960 a intégré et peut aujourd'hui être WIFI sans que çà n'ait rien à voir avec le procédé SECAM ou PAL !!
Réponse de le 28/11/2014 à 12:42 :
Tu te fais attaquer par Insider !!!
Bien sur que le Pass Navigo utilise le NFC!!!
Réponse de le 31/01/2015 à 3:16 :
Aucun souci vous pouvez désactiver votre carte en allant sur votre compte, il suffit de le demander,il existe un encart (en général un texte a droite,dans un petit tableau) la banque ne peu pas vous obliger a accepter ce système,vous restez libre de le refuser et dans ce cas votre carte wifi est désactivée et vous pouvez continuer les transactions comme avant

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.

 a le à :