NFC : Nos cartes bancaires en danger ?

NFC : Nos cartes bancaires en danger ?

Qu’est-ce que le NFC ?

Le NFC est une technologie de communication à courte portée (Near Field Communication). Cette technologie appartient à la famille de l’AIDC (Automatic Identification and Data Capture) et utilise l’identification par radio fréquences (RFID) pour permettre les échanges en « une carte bancaire équipée d’une puce NFC et d’autre part, d’un lecteur « NFC » faisant office de terminal de paiement sans contact. Les solutions de paiement sans contact ne sont pas nouvelles et certains pays utilisent massivement, et quotidiennement les paiements sans contact pour régler les achats de petits montants (généralement inférieurs à l’équivalent de 10 euros par transaction). C’est par exemple le cas à Singapour où la carte de transports en communs est utilisée pour tous les petits achats tels que « fast food », la presse, ou des des chewing-gums (enfin, disons, des bonbons à la menthe).

Le principal avantage de la technologie NFC est de permettre un paiement rapide, sans contact, sans rendu de monnaie, et qui pourrait avoir pour conséquence de réduire la durée des files d’attente aux caisses en transformant l’étape du paiement en une simple formalité dont on s’affranchit à la vitesse de l’éclair.

NFC : Near Field Communication, reconnaître une carte bancaire NFCLes technologies « sans contact » utilisant des technologies à base de RFID, n’en sont pas à leur premier coup d’essai. Depuis plusieurs années les boîtiers de Télépéage, ou encore la carte Navigo de la RATP (transports en commun en Île de France) ont fait leur apparition et utilisent tous deux la technologie RFID : le premier à moyenne porté (quelques mètres) et le second à courte portée (quelques centimètre, entre 3 et 5 cm généralement). La différence dans la portée ce ces deux systèmes réside dans le fait que l’antenne du premier est active (source d’alimentation interne au boîtier) et dans le second cas, l’antenne est passive, et puise l’énergie nécessaire à l’échange des données dans le champ électromagnétique émis par le lecteur (situé au niveau du portique / tourniquet ).

La carte Navigo ne peut donc être lue (en théorie) que par un lecteur RATP à condition d’être rapprochée très proche (< 5 cm) du lecteur. De plus, les données échangées entre la puce et le lecteur font dans ce cas précis l'objet d'un chiffrement rendant la capture d'information impossible pour un lecteur RFID que l'on pourrait trouver dans le commerce. Dans ce cas précis, la technologie utilisée par la carte Navigo s'impose comme le bon élève, puisque bien que ne protégeant "que" des données personnelles, ou liée à l'historique des voyages dans les transports en commun le niveau de sécurité rassure.

Quels sont les risques liés au NFC ?

Très récemment (entre le 12 et le 14 avril 2012) le français Renaud Lifchitz de BT met en évidence que … le protocole NFC utilisé dans les cartes bancaires dites « NFC » ne comporte aucun chiffrement, et les données seraient donc échangées en clair entre la puce de la carte et le lecteur en place chez les commerçants qui en sont équipés.

Depuis que les cartes bancaires que l’on connait aujourd’hui existent, il est possible, par le biais d’un lecteur de carte à puces de lire le contenu de la carte (il en est d’ailleurs de même avec une carte vitale), mais il faut alors que la carte rentre en contact avec le lecteur de puce, et qui présuppose donc un contact et donc d’avoir la carte en main.

Le fait que les données transitent en clair, sans aucune forme de chiffrement ni d’authentification, positionne le risque, et ce risque prend toute son envergure puisque avec la magie du NFC, le contact n’est plus nécessaire. A première vue le risque serait modéré puisqu’il faudrait en théorie que le pirate ai la possibilité d’approcher son lecteur « maison » à quelques centimètres seulement de la carte de la victime afin de pouvoir en extraire les informations tout de même sensibles puisqu’elles permettraient de réaliser une copie (qui permettraient d’effectuer des paiements via la bande magnétique) ou encore de connaitre les dernières transactions effectuées avec la carte.

Dans la pratique les pirates n’auront pas à s’approcher de si près car il existe bel et bien des moyens d’amplifier la portée des lecteurs en augmentant l’intensité et en la canalisant avec l’aide d’une antenne. Ainsi la notion de « sans contact » de proximité immédiate se transforme en sans contact de quelques mètres, voire, avec un matériel adéquat (mais néanmoins transportable) de quelques dizaines de mètres. On peut alors très bien imaginer que des pirates se déplacent avec un lecteur mobile amplifié et ne capturent les données de toutes les cartes équipées de puces NFC dont ils croiseraient le chemin.

Les risques liés à la confidentialité de données personnelles (nom du titulaire, civilité, numéro de compte, date d’expiration, historique des transactions et données de la bande magnétique), et à la confidentialité des transactions étant évidents, les risques de vol de petite monnaie électronique ne sont pas à écarter. En effet, aucun code n’est nécessaire pour valider un paiement sur un terminal sans contact. Le simple fait d’apposer la carte bancaire NFC (ou le téléphone mobile NFC) au lecteur NFC suffit à déclencher le paiement. Alors pourquoi les pirates ne s’amuseraient donc pas à faire l’inverse en approchant le lecteur de carte des puces NFC tout en gardant des distances raisonnables … qui ne pourraient éveiller aucun soupçons même chez les personnes les plus prudentes. L’unique protection de ce système (a défaut de chiffrement et d’authentification) est la distance qui sépare une puce du lecteur … se révèle donc être une pure illusion technique.

Comment se prémunir des risques liés au NFC ?

Les craintes liées à la lecture à distance d’une puce RFID censée ne pouvoir être lue qu’à courte portée ne sont pas récentes. Déjà à l’époque des premières intentions des Etats-Unis d’équiper les passeports américains de puces RFID contenant des données biométriques avait soulevé des craintes vis à vis d’un détournement d’utilisation à des fins terroristes : en effet, un dispositif explosif pourrait se déclencher au passage de passeports de telle ou telle nationalité … ou de personnes qui ont des yeux d’une couleur particulière, etc. La seule parade efficace à ce risque avait alors été d’intéger une couche isolante dans la couverture du passport rendant ainsi la capture d’information d’un passport non ouvert (la couverture plombée rendant la puce inaccessible protégée par une mini cage de Faraday). Pour rendre le passeport lisible ce dernier doit donc être ouvert ce qui suppose d’y avoir physiquement accès.

La parade concernant la faille (qui n’en est pas une puisqu’il s’agit plutôt d’une absence totale de sécurité) serait donc, sur le même principe d’utiliser un « portefeuille blindé » imperméable aux radio fréquences. Ou encore de veiller à se faire remettre par sa banque une carte qui ne dispose pas de la technologie NFC.

Cette innovation avait pour finalité de faciliter la vie au quotidien, pour les petites dépenses qui nous obligent d’avoir en permanence un peu de petite monnaie sur soi, tout en réduisant les temps d’attente aux caisses. Il faut certes féliciter ce progrès qui est une réelle avancée vers la dématérialisation du portefeuille électronique, mais pas à n’importe quel prix, et surtout pas au prix d’une totale insécurité numérique. Au delà du risque lié au piratage (vol d’identité, vol de monnaie) il faut également prendre conscience que quiconcque aura en sa possession une puce NFC pourra être traqué, suivi à la trace, avoir ses comptes épluchés par quiconque (Etats, services de renseignement, entreprises …) aura déployé un réseau de lecteurs NFC à moyenne ou grande portée.

Sources :

  • Comment savoir si sa carte bancaire est dotée d’une puce NFC ?
  • Les téléphones NFC ont-ils le même problème de sécurité que les cartes bancaires dites « NFC » ?
  • Quelles mesures seront prises par le GIE Carte Bleue ou des entreprises spécialisées dans les technologies de cartes à puces telle que GEMALTO ?

 

1 avis

  1. Il semblerait que ma carte bancaire (LCL) pourtant très récente) ne la soit pas. Dans mon cas, puis-je demander l’option ?

    Savez-vous si des banques émettent « par défaut » des cartes NFC ? Si oui lesquelles ?

    VA:F [1.9.18_1163]
    Rating: 0.0/5 (0 votes cast)
    Répondre

Trackbacks/Pingbacks

  1. RFID 2.0 : l’invasion de la technologie NFC | Open Suricate - [...] http://banques-en-ligne.mobi/2012/nfc-nos-cartes-bancaires-en-danger/ [...]

Soumettre votre commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

* Copy This Password *

* Type Or Paste Password Here *