Sécurité du paiement sans contact : cartes bancaires et smartphones en danger

Par :
Thomas Livet

ven, 28/11/2014 - 12:16

Récemment, la marque à la pomme a encore une fois « révolutionné » le marché en dévoilant la nouvelle version de son smartphone vedette, qui propose notamment la fonction de paiement sans contact. Le mot « révolution » est pourtant loin d’être approprié puisque cette fonctionnalité n’est pas nouvelle. Mais au-delà des querelles de paternité, quid de la sécurité de ce système qui équipe également nos cartes bancaires ? La question a déjà été soulevée par la CNIL, mais le système NFC continue de se répandre sans que toutes les précautions nécessaires soient prises.

Une technologie de plus en plus répandue

Le NFC, pour Near Field Communication, est un système de communication sans fil à courte distance. Il permet à un périphérique d’échanger des informations avec un terminal grâce à une antenne et un protocole dédiés. Cette technologie est au cœur du paiement sans fil disponible via les nouveaux smartphones équipés, et elle est également présente sur nos cartes bancaires depuis près de deux ans. 27 500 000 cartes de paiement, soit 43% des cartes en circulation, et 6 600 000 smartphones sont d’ores et déjà équipés du NFC *. Et ces chiffres augmentent de manière exponentielle.

La France connaît bien cette technologie, puisque la société française Inside Secure, l’un des précurseurs du NFC, a déposé ses premiers brevets dédiés dès 1999. Un des exemples de l’application du NFC est le Pass Navigo, une carte permettant d’emprunter les transports en commun parisiens sans sortir de ticket, mise en circulation en 2001.

Le Pass Navigo plus sûr qu’une carte bancaire

Les échanges entre le Pass Navigo et son lecteur sont authentifiés et chiffrés. En revanche, les cartes bancaires NFC ne bénéficient pas de toutes ces protections. Une simple application pour smartphone permet de lire à distance les informations contenues dans la CB : type de carte, nom de la banque, numéro de carte, date d’expiration, 15 dernières transactions en détails (date, heure, montant, etc.). Ces données peuvent être récupérées et copiées sur de fausses cartes, ou être utilisées par des escrocs sur des sites de vente en ligne par exemple. Il est également possible de mettre en œuvre un système de relai grâce à deux terminaux distants reliés via Wifi ou 3G, et ainsi créer un pont d’échange entre une CB victime et le point de paiement, afin d’utiliser frauduleusement, à distance et en direct, la fonction de paiement sans contact de cette carte.

Certes, des efforts de sécurisation ont été faits sur les CB les plus récentes (le chiffrement des données concernant les 15 dernières transactions a été corrigé sur celles émises à partir de fin 2013), et la limite de paiement avec ce système est fixée à 20€ par transaction. L’argument principal des banques est que le consommateur reste couvert par une assurance en cas de fraude. Mais qui paye cette assurance si ce n’est le consommateur lui-même ? Sans compter que la gêne occasionnée le cas échéant (dépôt de plainte, risque de découvert, etc.) n’est évidemment pas remboursable.

Les smartphones encore plus faciles à pirater

Les smartphones, déjà sensibles aux risques de piratage, ne sont pas en reste. En effet, le NFC constitue ici un nouveau vecteur d’attaque et complexifie encore la sécurisation des données. Elles sont de plus en plus nombreuses sur nos téléphones mobiles, et leur pillage peut être particulièrement dommageable.

De plus, les fabricants de téléphones créent chacune leur propre système de paiement sans contact utilisant la technologie NFC. Et il est difficile de savoir s’ils prennent les précautions nécessaires alors qu’ils sont entraînés dans une course à la concurrence. Certaines de ces marques tentent cependant d’améliorer la sécurité de ces systèmes. Lors d’un paiement sans contact, l’iPhone 6 propose par exemple une authentification par empreinte.

Comment sécuriser les objets équipés du NFC ?

Il existe pourtant bien un principe permettant de sécuriser les équipements intégrant le NFC. Il est simple et tient en trois mots : authentification, chiffrement et signature. Mais ces trois principes sont indissociables si l’on veut véritablement sécuriser cette technologie, et la plupart des CB et smartphones ne les appliquent pas tous.

Pour préserver sa carte bancaire, plusieurs solutions existent. La plus radicale : percer la carte au niveau de l’antenne NFC. Mais attention : la CB reste propriété de la banque, et il n’est donc pas certain que cette manipulation soit légale. Plus simple, demander à sa banque de désactiver la fonction de paiement sans contact. Mais toutes n’acceptent pas de le faire. Dernière possibilité, plus coûteuse mais moins hasardeuse : acheter un étui ou un portefeuille protégé, créant une sorte de cage de Faraday qui empêchera toute communication non désirée tout en conservant la fonction. Quant aux smartphones, l’unique solution réellement efficace de ce point de vue réside dans la désactivation pure et simple de la fonction NFC.

Cette technologie, si elle n’est pas sécurisée, permet donc d’aller très loin dans la récupération de données. Quand on sait que le Pass Navigo est plus sécurisé qu’une carte bancaire, on se demande bien pourquoi. Les solutions existent, mais les banques vont-elles faire l’effort de les mettre en œuvre et d’investir pour remplacer l’ensemble des CB présentes sur le marché ?

* Source : chiffres Juillet 2014 de l’Observatoire du NFC et du sans contact (www.observatoirenfcsanscontact.fr), fournis par l’Association Française du Sans Contact Mobile (www.afscm.org) et le GIE Cartes Bancaires (www.cartes-bancaires.com).

*http://2012.hackitoergosum.org/blog/wp-content/uploads/2012/04/HES-2012-rlifchitz-contactless-payments-insecurity.pdf

A propos de l'auteur

Thomas Livet
Consultant Sécurité de SIFARIS