Sécurité des cartes bancaires
Par admin le samedi 19 mai 2012, 09:57 - Lien permanent
Il y a quelques semaines, j'ai fait la découverte des cartes bancaires sans contacts, dites NFC. C'est un peu le même principe que les cartes de transports Navigo ou Carte Pastel ou les badges utilisés pour ouvrir les portes dans les entreprises. Vous approchez votre carte du lecteur et sans avoir à linsérer ou à rentrer un code, une transaction se fait. Très utile, en théorie.
Le problème, c'est la sécurité. Si vous pouvez passer votre carte à proximité d'un lecteur pour échanger des informations, tout lecteur à proximité est en mesure de récupérer ces informations. Pour les pass Navigo, la sécurité à été prévue lors de la mise en place du système. L'absence de données personnelles sur le pass et la sécurisation des échanges font que les informations ne peuvent pas être récupérées ni utilisées par des personnes tierces. Par contre, pour les cartes Visa, c'est complétement différents. La carte contient de nombreuses données personnelles sur son propriétaire. Elle sont de plus très mal chiffrées, ce qui les rend facile à lire. De plus, les échanges entre la carte et les lecteurs brillent aux aussi par leur absence de chiffrage, donc de sécurité. Et ce n'est pas moi qui le dis. C'est la communauté des hackers blancs lors de leur rencontre du Hackito Ergo Sum ainsi que la CNIL.
Vous pouvez penser que ça reste limité, il faut avoir un lecteur et que limite donc beaucoup les risques. C'est faux. Ce genre de lecteur est utilisé à beaucoup d'endroits et peut être facilement acquis. Quand aux logiciels pour gérer ces lecteurs et leur faire lire tout ce qui passe à coté, ils existent déjà.
En résumé, il serait possible d'utiliser les données récupérés sur une carte bancaire pour faire des transactions avec, la bloquer, suivre les déplacements de son propriétaire, connaitre les habitudes via les achats, etc...
Ma carte devant être renouvelé, j'ai voulu en parler à mon banquier, je lui ai envoyé 2 mails qui sont restés lettres mortes. J'y suis passé et j'en ai discuté avec l'employée au guichet en essayant de lui expliquer le problème. Elle m'a expliqué que les paiements étaient limités et que la banque prenait tout en charge en cas de fraude. Bref, elle est resté sur le terrain de l'argent pur. J'ai essayé de lui parler données personnelles, mais ça lui est passé au-dessus de la tête. Elle m'a aussi signalé que peu de commerçants seraient équipés dans un premier temps. J'ai voulu lui faire comprendre que j'avais plutôt confiance dans les commerçants, mais que je craignais surtout l'informaticien bricoleur qui est a coté de moi dans le métro avec un lecteur trafiqué dans son sac.
Elle m'a quand même signalé que toutes les cartes Visa renouvelées entre juin 2012 et janvier 2013 auraient forcement la fonctionnalité NFC. C'est imposé par le groupe Visa. Les seuls autres choix sont les cartes Electron ou les cartes Mastercard. Il va falloir que je change de carte. (A moins que le groupement Visa ne change d'avis dans les 2 semaines à venir...) Dans l'absolu, je ne rejette pas la technologie NFC. Au contraire, je m'en sers pour prendre le métro ou entrer dans mon entreprise. Ce que je rejette, c'est l'utilisation qu'en fait Visa. Je n'ai juste pas envie que n'importe qui récupère des informations sur mes transactions bancaires (entre autres).
Si vous possédez une carte Visa, si votre banque vous envoie un courrier pour vous signaler la transformation de votre carte (ce qu'elle a obligation de faire), nhésitez surtout pas à demander un rendez-vous avec votre conseiller afin d'en parler avec lui. Exposez lui mes arguments, parlez lui de lenquête de la CNIL. S'il a des arguments sécurisants, tant mieux. Mais qu'au moins il soit au courant des problèmes et qu'il sache que vous nêtes pas juste un client à qui il peut imposer ce qu'il veut.
Je vous invite à lire les articles liés plus haut dans ce billet ainsi que celui de Numerama sur le sujet des paiements sans contact.
Commentaires