La sécurité des cartes sans contact remise en question
- Channel 4 a récemment exposé une faille majeure exploitable à partir d’un mobile pourvu d’un logiciel dédié et pouvant porter atteinte à l’intégrité des données contenues sur les cartes Visa sans contact Barclays : les clients courent donc le risque de se trouver dépourvus de leur informations cartes (numéro, date d’expiration, nom du titulaire).
- ViaForensics a illustré la faisabilité de ce type d’attaques ainsi que leur simplicité ; le spécialiste insiste aussi sur l’absence de chiffrement des informations présentes sur les puces sans contact.
- Les scans réalisés sur les cartes appartenant à d’autres réseaux et institutions se sont dans un premier temps avérés infructueux. Néanmoins, ViaForensics démontre à présent que l'ensemble des cartes Visa sans contact sont concernées (dont les cartes Lloyds TBS par exemple).
- Par ailleurs, PIN et le CVV, non présents sur la puce, ne peuvent être récupérés. Néanmoins, l’absence de ces données n’empêche pas l’utilisation des éléments recueillis dans des contextes d’achat en ligne : en effet, certains sites ne sollicitent pas ces informations.
- Dans un premier temps sceptique quant à l’utilité des données recueillies pour réaliser des achats, Barclays doit rapidement se pencher sur cette faille. Le gouvernement britannique demande des mesures palliatives rapides, voire, l’annulation ou le remplacement des cartes concernées.
- L’industrie du sans contact, particulièrement mature au Royaume-Uni, connait ici ses premières frasques sécuritaires. Sous la pression de l’imminence des jeux olympiques de Londres, des déploiements massifs ont été organisés à des fins de promotion et pour en accélérer l’adoption. Barclays, très tôt positionné sur ce domaine (dès 2007), fait partie des premières banques à avoir proposé ce type de cartes.
- Selon cette dernière, la possible exploitation en ligne de ces données témoigne davantage de faiblesses côté e-commerce : en effet, si le cryptogramme n’est pas systématiquement requis, seules les informations présentes au recto de la carte sont absolument nécessaires pour réaliser un achat en ligne. Les cartes MasterCard échappent quant à elles à ces polémiques car elles ne stockent pas les noms des titulaires sur leurs puces.
- Barclays, pour sa part, reste convaincue de la viabilité de ce modèle en devenir. Pour rappel, Barclaycard Global Commercial Payments planifie également depuis fin 2011 l’émission de cartes entreprises présentant des fonctionnalités sans contact, témoignant d’une stratégie de plus en plus ouverte (voir l’Observatoire de décembre 2011) aussi affirmée par ses offres plus anciennes, dont One Pulse qui allie paiement et billettique.