Logo

Site non disponible sur ce navigateur

Afin de bénéficier d'une expérience optimale nous vous invitons à consulter le site sur Chrome, Edge, Safari ou Mozilla Firefox.

adnews

La sécurité des cartes sans contact de nouveau remise en question

  • Début avril 2012, Renaud Lifchitz, ingénieur chez BT et membre de l’Association des Réservistes du Chiffre et de la Sécurité de l’Information illustrait la vulnérabilité des cartes sans contact et la possible récupération des données qu’elles contiennent sans pour autant disposer d’équipements particulièrement sophistiqués : une simple clé USB NFC aura suffi aux besoins de sa démonstration.
  • Grâce à une application dédiée le chercheur aura pu récupérer par exemple les nom et prénom du titulaire, le PAN, la date d’expiration de la carte, les données piste et l’historique des vingt dernières transactions (dont pays, devise, montant et date). Une copie de la bande étant stockée dans la puce, la carte peut être dupliquée sans avoir recours à un lecteur compromis.
  • Le chercheur déplore l’absence d’authentification du porteur et de chiffrement des données. Il explique qu’une distance de trois centimètres est requise pour une récupération optimale. Cependant, sous réserve de disposer de moyens supplémentaires (un amplificateur et une antenne de 50 cm), cette distance peut atteindre 1,50 mètre, voire davantage avec une antenne passive (numéros de carte complets et dates d’expiration).
  • Les organismes publics ont été alertés de cette situation : ministère des Finances, ministère de l’Intérieur, CNIL. Cette dernière mène aujourd’hui sa propre enquête et peut déjà confirmer l’absence de chiffrement, le risque de compromission des transactions et la possible atteinte aux données personnelles. Elle note par ailleurs que la distance de 3 à 5 centimètres est « théorique » et peut varier selon le « protocole utilisé ».
Source : PC INpact
  • La limite de 20 euros (et le maximum de quatre transactions consécutives sans saisie du PIN) arguée par les banques ne s’applique pas si une copie de la bande magnétique a permis la duplication de la carte. Rappelons que la Loi Informatique et Libertés impose l’application de mesures dédiées à la sécurité des données personnelles et que PCI-DSS demande le chiffrement des transmissions liées aux paiements. A des fins de sécurisation le GIE CB préconise pour sa part la distribution de cages de Faraday portatives (solution également recommandée par Renaud Lifchitz). Aussi, certaines banques envisageraient la mise en place de clés cryptographiques permettant d’invalider la réutilisation de la piste.
  • Renaud Lifchitz insiste par ailleurs sur l’encadrement du pass Navigo, plus sûr selon ses explications bien qu’il ne s’agisse « que » d’un titre de transport.
  • La CNIL rappelle pour sa part pouvoir contrôler la conformité des établissements bancaires et demander le cas échéant « une mise en demeure de conformité », voire l’arrêt du traitement. Selon la commission, des mesures simples peuvent suffire à améliorer cette situation : saisie d’un code PIN, possibilité pour le porteur de désactiver la fonctionnalité sans contact.
  • Ces révélations portées à l’attention du public français évoquent les frasques autour du sans contact médiatisées en mars au Royaume-Uni, où le modèle sans contact poursuit son développement : l’adoption en France reste comparativement assez limitée (voir l’Observatoire de mars 2012).