Sécurité des cartes bancaires

Par admin le samedi 19 mai 2012, 09:57 - Lien permanent

Il y a quelques semaines, j'ai fait la découverte des cartes bancaires sans contacts, dites NFC. C'est un peu le même principe que les cartes de transports Navigo ou Carte Pastel ou les badges utilisés pour ouvrir les portes dans les entreprises. Vous approchez votre carte du lecteur et sans avoir à l’insérer ou à rentrer un code, une transaction se fait. Très utile, en théorie.

Le problème, c'est la sécurité. Si vous pouvez passer votre carte à proximité d'un lecteur pour échanger des informations, tout lecteur à proximité est en mesure de récupérer ces informations. Pour les pass Navigo, la sécurité à été prévue lors de la mise en place du système. L'absence de données personnelles sur le pass et la sécurisation des échanges font que les informations ne peuvent pas être récupérées ni utilisées par des personnes tierces. Par contre, pour les cartes Visa, c'est complétement différents. La carte contient de nombreuses données personnelles sur son propriétaire. Elle sont de plus très mal chiffrées, ce qui les rend facile à lire. De plus, les échanges entre la carte et les lecteurs brillent aux aussi par leur absence de chiffrage, donc de sécurité. Et ce n'est pas moi qui le dis. C'est la communauté des hackers blancs lors de leur rencontre du Hackito Ergo Sum ainsi que la CNIL.

Vous pouvez penser que ça reste limité, il faut avoir un lecteur et que limite donc beaucoup les risques. C'est faux. Ce genre de lecteur est utilisé à beaucoup d'endroits et peut être facilement acquis. Quand aux logiciels pour gérer ces lecteurs et leur faire lire tout ce qui passe à coté, ils existent déjà.

En résumé, il serait possible d'utiliser les données récupérés sur une carte bancaire pour faire des transactions avec, la bloquer, suivre les déplacements de son propriétaire, connaitre les habitudes via les achats, etc...

Ma carte devant être renouvelé, j'ai voulu en parler à mon banquier, je lui ai envoyé 2 mails qui sont restés lettres mortes. J'y suis passé et j'en ai discuté avec l'employée au guichet en essayant de lui expliquer le problème. Elle m'a expliqué que les paiements étaient limités et que la banque prenait tout en charge en cas de fraude. Bref, elle est resté sur le terrain de l'argent pur. J'ai essayé de lui parler données personnelles, mais ça lui est passé au-dessus de la tête. Elle m'a aussi signalé que peu de commerçants seraient équipés dans un premier temps. J'ai voulu lui faire comprendre que j'avais plutôt confiance dans les commerçants, mais que je craignais surtout l'informaticien bricoleur qui est a coté de moi dans le métro avec un lecteur trafiqué dans son sac.

Elle m'a quand même signalé que toutes les cartes Visa renouvelées entre juin 2012 et janvier 2013 auraient forcement la fonctionnalité NFC. C'est imposé par le groupe Visa. Les seuls autres choix sont les cartes Electron ou les cartes Mastercard. Il va falloir que je change de carte. (A moins que le groupement Visa ne change d'avis dans les 2 semaines à venir...) Dans l'absolu, je ne rejette pas la technologie NFC. Au contraire, je m'en sers pour prendre le métro ou entrer dans mon entreprise. Ce que je rejette, c'est l'utilisation qu'en fait Visa. Je n'ai juste pas envie que n'importe qui récupère des informations sur mes transactions bancaires (entre autres).

Si vous possédez une carte Visa, si votre banque vous envoie un courrier pour vous signaler la transformation de votre carte (ce qu'elle a obligation de faire), n’hésitez surtout pas à demander un rendez-vous avec votre conseiller afin d'en parler avec lui. Exposez lui mes arguments, parlez lui de l’enquête de la CNIL. S'il a des arguments sécurisants, tant mieux. Mais qu'au moins il soit au courant des problèmes et qu'il sache que vous n’êtes pas juste un client à qui il peut imposer ce qu'il veut.

Je vous invite à lire les articles liés plus haut dans ce billet ainsi que celui de Numerama sur le sujet des paiements sans contact.

Commentaires

1. Le dimanche 20 mai 2012, 09:43 par Dimitri
Très bon article, je le partage sur mon blog en ajoutant l'info que chez moi à Strasbourg la ville met ça en place sur les horodateurs. Ce qui est dingue c'est de lire ce genre d'articles : http://www.lemondeinformatique.fr/actualites/lire-le-credit-agricole-et-gemalto-vont-tester-des-cartes-de-paiement-sans-contact-47643.html Ou on te dit qu'un expert de la sécurité informatique travaille là dessus ... il faut vraiment que le PP passe !
2. Le dimanche 20 mai 2012, 10:26 par Aurélien
Et ça fait aussi déjà plusieurs années que l'industrie du téléphone mobile et les banques travaillent ensemble pour intégrer le NFC en tant que mode de paiement aux téléphones... J'ai un ami qui travaillais dessus à Motorola bien avant l'avènement des smartphone type iPhone et Android, (c'était en 2006) et l'api fournie pas la banque partenaire c'était du J2ME, mais elle était extrêmement dure à implanter en raison de très nombreuses restrictions liés à la sécurité... J'imagine que sur un téléphone, les données récupérables en terme de vie privée sont encore plus nombreuse, surtout sur un smartphone avec lequel on fait quasiment tout (sauf le café, mais comme on pourra le payer avec...) Mais si on va dans se sens, le bluetooth est aussi une porte ouverte sur nos vies privées... Un jour j'ai pris le train au milieu d'un groupe d'étudiant un peu geek (beaucoup) et forcément en on a discuté, et l'un d'entre eux a parié avec moi qu'il pouvait prendre le contrôle de mon téléphone par le bluetooth, et ce alors même que je l'avais désactivé... Et ben il l'a fait, en même pas une minute, il passait des appels avec mon téléphone, à distance... Et c'était à une époque ou chaque constructeur avait son propre OS fermé sur les téléphones, comme quoi ils peuvent cacher autant qu'ils veulent leur code, les failles n'en sont pas moins là, mais je me dis que maintenant avec l'harmonisation des OS autour de 3 gros iOS, Android et Windows Phone, et avec la possibilité pour les 3 d'installer une appli en trois battement de doigts, il suffit de trouver 3 failles, un petit programme bien pensé , et hop on controle les mobiles des gens, via bluetooth, wifi, et maintenant NFC... Mais quelle serait la solution ? Aucun cryptage n'est infaillible, et combien même serait il difficilement cassable aujourd'hui, d'ici quelques mois la puissance de calcul des ordinateurs suivant la lois de moore, aura certainement atteint le seuil permettant de casser la clef de cryptage en quelques minutes... (cf la clé de protection anticopie des blurays, qui devait être incassable, et finalement, cassée avant même la mise en vente des premiers bluray protégés ^^ ) Pour les cartes de crédit, l'exercice est encore plus difficile, car une fois la clé cassée, comment mettre à jour rapidement toutes les cartes concernées? Je ne suis pas expert en sécurité, je suppose donc que c'est loin d'être le seul problème... En tout cas la solution que semble avoir adoptée Visa n'est pas viable au niveau de la protection de la vie privée, la logique (au niveau sécurité) aurait voulu que la carte ne contienne qu'un UUID et que ce soit la borne du commerçant qui fasse la demande des données nécessaires aux serveurs de chez Visa, pour autoriser ou non le paiement, comme maintenant avec les cartes à puce... Ca ne résoud pas tout, mais au moins, le risque de se faire piquer nos données privées en marchant dans la rue restera limité au bon vieux risque d'agression directe avec poing dans la face et vol de portefeuille ^^

Ajouter un commentaire

Le code HTML est affiché comme du texte et les adresses web sont automatiquement transformées.

Fil des commentaires de ce billet