Knowledge is a deadly friend when no one sets the rules. The fate of all mankind I see is in the hands of fools. King Crimson - Epitaph (1969)

Cartes bancaires NFC : prudence !

Écrit par Paul Renard. Publié dans Humeurs du moment

nfc3Depuis quelques mois, notamment à Strasbourg et Nice, régions pilotes, les cartes bancaires sans contact se généralisent au fil des renouvellements. Elles permettent à l'utilisateur d'effectuer des paiements facilement, en passant tout simplement la carte, équipée d'une puce RFID utilisant la technologie NFC, devant un lecteur. Pour le moment, des paiements limités à 20 ou 25 €. Pas de code à entrer donc. Pratique ? Peut-être. Indispensable ? Non. Alors pourquoi ces cartes vont-elles remplacer en 2015/2016 nos cartes habituelles ?

 

Simplement pour des raisons de marketing ! Dans tous les pays où elles ont été implantées (environ 225 millions de cartes NFC – Near Field Communication –), le montant des achats a augmenté de près de 25 %, car la facilité de paiement semble donner des ailes aux utilisateurs. En France, aujourd'hui, ces cartes représentent, avec 2, 5 millions d'exemplaires, 4,2 % du parc total. Bon, admettons que c'est mieux qu'avant… Seulement, il y a un hic, et de taille. lifchitzRenaud Lifchitz, consultant sécurité senior à British Telecom France, démontre les failles incroyables de sécurité de ces cartes. Car, dans une volonté d'aller vite, les fabricants se sont contentés de réutiliser le protocole EMV (celui des cartes bancaires classiques) et de simplement le transposer sur un protocole radio, en clair et sans authentification ! Pourtant d'autres cartes portant une puce RFID, comme les cartes de transport ou les passeports RFID par exemple, bénéficient d'une sécurité quasi-totale, avec un cryptage niveau militaire.

lecteurusbdecartenfcsmartphone

À partir de cette démonstration, Renaud LIfchitz montre que à l'aide d'un simple lecteur NFC USB, voire un smartphone, il est possible d'obtenir en quelques instants : les nom et prénom de l'utilisateur, le numéro de carte, la date d'expiration, les données de la piste magnétique et même l'historique des dernières transactions.

Demo

Risque minimisé, selon les fabricants, par la proximité immédiate avec le lecteur (1, 5 cm). Mais là encore, Lifchitz démontre qu'on peut très bien effectuer des lectures à plus grande distance (jusque 15 mètres !). Quels sont les risques ?

- risque de fraude bancaire contre l'utilisateur,

- atteinte à la vie privée (suivi des déplacements, voire ciblage terroriste,…)

- risque de déni de service : le blocage radio peut bloquer la carte, l'attaquant a aussi la possibilité de taper plusieurs codes PIN erronés, pas de code PUK,…

- risque de conformité pour les établissements bancaires,

- risque de conformité pour les commerçants (la carte ne correspond pas au protocole de sécurité PCI-DSS mis pourtant au point par les banques pour garantir des paiements sécurités et surtout cryptés.

Il est donc possible de lire les informations de la carte, les utiliser frauduleusement sur des sites d'e-commerce, de cloner la piste magnétique sur une carte vierge et s'en servir dans certains pays, et surtout, rien ne semble prévu pour rembourser l'utilisateur en cas d'utilisation frauduleuse de sa carte volée ou clonée !

En conclusion, lors du renouvellement de votre carte, lorsque votre banque va vous proposer une carte NFC, choisissez plutôt pour l'instant une carte classique, ou faites désactiver la fonction NFC. Et si vous acceptez cette fameuse "avancée" technologique, vérifiez bien les conditions de remboursement en cas de vol ou de fraude, puis transportez-là dans un étui protecteur genre alu afin d'éviter les lectures "sauvages" (dans les transports en commun notamment). Quant à moi, il n'est pas question que j'en accepte une dans l'état actuel des choses !

Pour tout savoir sur la question, cliquez ici pour accéder au site globalsecuritymag.fr grâce auquel j'ai rédigé cette page.