Logo

Site non disponible sur ce navigateur

Afin de bénéficier d'une expérience optimale nous vous invitons à consulter le site sur Chrome, Edge, Safari ou Mozilla Firefox.

adnews

CNIL : des mesures pour sécuriser les échanges sans contact

Considérant les révélations faites l’an passé par les chercheurs quant à la sécurité du sans contact carte et leurs inquiétudes face aux risques liés à la récupération des données véhiculées par ce mode, la CNIL poursuit son enquête. La commission fait le point sur l’avancement de ses travaux.
En collaboration avec l’industrie bancaire et, notamment, avec la Banque de France, la CNIL mène depuis un an une enquête sur la protection de la vie privée des porteurs de cartes sans contact. Elle met aujourd’hui l’accent sur de nouvelles mesures visant à améliorer la sécurité des données échangées en mode sans contact.
Des avancées déjà actées :
  • empêcher l'accès au nom du porteur (pour les cartes émises depuis fin septembre 2012),
  • empêcher l'accès à l'historique des transactions (sur les cartes émises à partir de fin 2013).
La CNIL reste préoccupée par l’accès au numéro de carte ainsi qu’à sa date d'expiration. A ce titre, elle exhorte les acteurs concernés à se tenir informés et à s’adapter à l’évolution des menaces pour prendre les mesures nécessaires s’il s’avérait que des compromissions étaient démontrées. Parmi ses recommandations : chiffrer les échanges pour sécuriser ces données sensibles.
Source : Article de la CNIL
Une priorité : protéger les porteurs
La sécurité des porteurs reste la préoccupation principale de la CNIL qui insiste sur la nécessité de leur bonne information. La commission plébiscite les initiatives des établissements émettant des cartes dont la fonctionnalité sans contact n’est pas activée par défaut, pour garantir leur libre choix.
Privilégier des « pratiques vertueuses ». Unique sur le marché français, l’option d’activation et de désactivation du mode sans contact présentée en début de mois par Boursorama pour ses cartes peut ici être citée en exemple. (voir la brève dédiée : NFC à la carte chez Boursorama)
En 2012, des chercheurs en sécurité avaient montré qu’il était possible de récupérer diverses données critiques sans pour autant disposer d’équipement particulièrement sophistiqué (nom du porteur, liste de ses transactions, numéro et la date d'expiration de la carte). Une faille qui exposait les porteurs et poussait la CNIL à se pencher sur la question du sans contact en ouvrant, en mai 2012, une enquête officielle. Voir l’Observatoire d’avril 2012
Selon le GIE CB, plus de 10 millions de cartes compatibles NFC étaient en circulation en France en avril 2013 (environ 17 % du parc).