Overblog
Suivre ce blog
Editer l'article Administration Créer mon blog

  • : CITOYENS ET FRANCAIS
  • CITOYENS ET FRANCAIS
  • : Revue de Presse Internationale : Géopolitique Religions Immigration Société Emploi Economie Géostratégie-INTERNATIONAL PRESS REVIEW ------ ОБЗОР МЕЖДУНАРОДНОЙ ПРЕССЫ
  • Contact

Rechercher

translator


 

En direct Flux de trafic

Flag Counter

mise en ligne le 15/07/2015

 

 

 

5 novembre 2014 3 05 /11 /novembre /2014 02:15
Le paiement par NFC se fait à faible distance avec le lecteur
Le paiement par NFC se fait à faible distance avec le lecteur
Poser, c’est payé ! », tel est le slogan diffusé il y a quelques mois par le Groupement des Cartes Bancaires CB pour faire décoller l’usage du paiement sans contact. Une alternative aurait pu être : « Poser, c’est piraté ! », car la faille de sécurité découverte en 2012 par l’expert en sécurité Renaud Lifchitz n’est toujours pas comblée (lire encadré ci-dessous). Et cela, pour une bonne raison : c’est impossible à moins de changer l’architecture technique sous-jacente, ce qui serait beaucoup trop cher.  

Alors qu’elles ont toujours minimisé le risque réel du piratage des cartes bancaires sans contact, les banques ont constitué un stock d’étuis anti-NFC, histoire d’être préparées en cas d’une vague de panique ou d’attaques de grande ampleur.

Officiellement, les banques ont toujours nié un risque réel lié à cette faille de sécurité qui permet à une personne mal intentionnée de capter à distance le numéro de carte et sa date de validité (voire même le nom et l’historique des transactions si la carte n’est pas très récente). Pourtant, depuis environ un an, tous les établissements français ont constitué un stock d’étuis anti-NFC, à disposition de leurs clients qui en font la demande, et cela gratuitement.
S’ils s’équipent ainsi, ce n’est pas par plaisir, mais par obligation. « Les banques doivent avoir un stock équivalent à 10% du nombre de cartes NFC en circulation. C’est une instruction de la Banque de France », explique Eric Granet, directeur général de DSD Image, un fabricant d’étuis anti-NFC qui a été approché par plusieurs responsables bancaires.
Le nombre de cartes bancaires sans contact ( NFC) en circulation augmente rapidement, mais moins que celui des lecteurs chez les commerçants (160.000 en avril 2014, soit 12% du parc installé) .
Le nombre de cartes bancaires sans contact ( NFC) en circulation augmente rapidement, mais moins que celui des lecteurs chez les commerçants (160.000 en avril 2014, soit 12% du parc installé) .
agrandir la photo
Auprès de la Banque de la France, on minimise l’information. « Ce n’est pas une obligation formelle. Cela fait partie de la politique de gestion des risques que chaque banque doit mettre en place et justifier », explique le service de presse de l’institution financière. Mais alors pourquoi ce seuil de 10 % ? Faut-il comprendre par là qu’un utilisateur a une chance sur dix de se faire pirater ? « Absolument pas. C’est simplement un niveau qui apparaît acceptable pour faire face aux demandes éventuelles et amorcer la pompe », ajoute le service de presse.
Les responsables bancaires qui ont contacté les fabricants d’étuis ne s’expriment pas d’une manière aussi feutrée que la Banque de France. Selon Eric Granet, ce stock vise à pallier une éventuelle vague de panique chez les utilisateurs. Cela pourrait se produire, par exemple, par des actions de piratage à grande échelle ou par une surmédiatisation de ce problème. Pour l’instant, ni l’un ni l’autre ne s’est produit.
D’ailleurs, ce n’est pas la seule contre-mesure que les banques ont mise en œuvre. La Banque de France les oblige également à disposer d’une procédure pour désactiver le NFC à la demande des clients. Pour une banque, cette option est à éviter absolument.
D’une part, cela reviendrait à faire baisser le parc d’utilisateurs NFC et donc les chances de voir ce marché décoller enfin. D’autre part, c’est assez coûteux. « Les agences ne disposent pas des outils nécessaires pour faire ce genre de manipulation. Elles seraient donc contraintes d’envoyer la carte du client dans des ateliers dits de personnalisation. Le coût de l’opération est autour de 10 euros par carte », explique Nicolas Kerschenbaum, expert en sécurité chez Lexsi.
Fournir gratuitement un étui anti-NFC en cas de problème apparait donc comme le moindre mal. L’usage du NFC reste toujours possible, et c’est beaucoup moins cher que la désactivation. Le prix d’un étui anti-NFC  varie de 15 à 50 centimes l’unité. Le calcul est donc vite fait.
Un exemple d\'étui anti-NFC délivré par une banque française. L\'intérieur est pourvu d\'un film autocollant qui bloque les ondes.
Un exemple d'étui anti-NFC délivré par une banque française. L'intérieur est pourvu d'un film autocollant qui bloque les ondes.
agrandir la photo
Mais les étuis anti-NFC, permettent-ils de lutter réellement contre le piratage ? « C’est efficace. Cela revient à loger la carte bancaire dans une cage Faraday qui bloque les ondes. En revanche, on n’est pas protégé au moment du paiement, car il faut alors sortir la carte de l’étui », explique Nicolas Kerschenbaum.
En se positionnant à proximité d’une caisse, un pirate bien outillé pourrait par exemple siphonner tous les clients qui passent. « Un investissement de 300 euros est suffisant pour fabriquer un dispositif permettant d’aspirer les données d’une carte à quelques mètres », précise l’expert en sécurité. Contrairement à ce qu’affirme le Groupement des Cartes Bancaires CB, un tel piratage ne serait donc pas très difficile à réaliser.
Pour autant, force est de constater que - pour l’instant - peu d’histoires de piratage NFC sont connues à ce jour. « Il y a eu un cas avec un dispositif posé sur un distributeur de banques, et c’est à peu près tout. Il faut dire que le piratage par NFC ne laisse aucune trace. Il donc très difficile de prouver, à postériori, qu’une fraude trouve son origine dans un vol de données par NFC. Par ailleurs, pour les pirates, le fishing reste quand même une technique plus confortable et plus économique pour voler des numéros de carte : il suffit de lancer des emailing par des botnet, tout se fait à distance et de manière anonyme », poursuit Nicolas Kerschenbaum.
Conclusion : il faut être conscient des risques liés au paiement sans contact, mais ce n’est pas la peine de paniquer pour autant. Les personnes très sensibles à la sécurité sont invitées à faire désactiver cette fonction, ou alors de se procurer un étui ou un portefeuille anti-NFC, ce qui permet quand même de limiter l’exposition au risque.

La faille NFC des cartes bancaires, c’est quoi ?

Depuis quelques années, les cartes bancaires disposent, par défaut, d’une fonction de paiement sans contact par NFC. Malheureusement, le standard technique retenu par les banques fait que la communication entre la carte et le lecteur se fait de manière non chiffrée et non authentifiée. Il est donc relativement simple, pour un pirate, d’interroger la carte et de récupérer le numéro de carte et sa date de validité. Dans certains pays, ces informations sont suffisantes pour effectuer des achats par Internet.

Dans une première version de cette technologie, le pirate pouvait également récupérer le nom de la personne, ainsi qu'un historique des transactions. Dans les nouvelles cartes, ces données ne sont plus accessibles, suite à la plainte de la CNIL.

 

Lire aussi:
La Cnil enquête sur la sécurité des cartes sans contact NFC, le 22/05/2012
vu sur : http://www.01net.com/editorial/621956/piratage-des-cartes-nfc-le-plan-de-crise-secret-des-banques-francaises/

Partager cet article

Publié par : CITOYENS ET FRANCAIS - dans Economie