Cartes bancaire et paiement sans contact

GENERALITES :

De plus en plus de carte bancaires (cartes bleues) proposent d’office le paiement sans contact, appelé aussi NFC (01).

Une carte bleu proposant ce mode de paiement se distingue assez facilement des autres cartes ; d’aspect, ces cartes disposent d’un symbole spécifique comme indiqué ici :

Elles disposent, en interne, d’une puce RFID (02) pour les données qui n’est pas visible à l’oeil nu, capable d’utiliser la technologie NFC.

Les commerçants qui utilisent cette technologie indiquent clairement, sur la porte de leur commerce, qu’ils autorisent le paiement sans contact par le logo suivant :

 


PRINCIPES DE FONCTIONNEMENT :

Le NFC permet d’échanger des données sans contact et à courte portée (maximum 10 cm) entre 2 appareils équipés d’une puce NFC (terminaux mobiles, ordinateurs, diffuseurs de musique). Concernant les cartes de paiement sans contact, cette technologie permet de stocker et de sécuriser des données.

Concrètement, la puce RFID transmet au terminal de paiement électronique des données concernant le compte de son propriétaire. On serait à même de s’interroger quelles sont précisément ces données transmises. A ce propos, la CNIL (03) reste très claire concernant l’impact sur la vie privée (04). Elle a donc établi un mode d’emploi pour le paiement sans contact (05)
Voici, ci-dessous, un schéma du fonctionnement du NFC :

UFC-Que Choisir (06) a écrit plusieurs articles là dessus ;

La technologie NFC peut être aussi utilisée avec d’autres ressources techniques telles que des Smart Phones. A ce propos, vous pouvez avoir des infos sur son fonctionnement sur le site du Centre National RFID (09)


RISQUES DE DETOURNEMENT DES INFORMATIONS :

Il y a des dangers à utiliser une telle technologie pour plusieurs raisons :

  • cette technologie utilisant des ondes de transmission radio basées sur une fréquence de 13.56 Mhz, il est possible, à l’aide d’un récepteur utilisant la même fréquence, de capter les données transmises par la puce (techniques proches de celle du Man-In-the-Middle (10)).
  • il est possible de perturber ces fréquences à l’aide d’ondes électro-magnétiques, générées par différents dispositifs
  • l’exploitation des données reste possible car aucun système n’est totalement inviolable (le système RFID a déjà été détourné)
  • il y a des risques de fraude (données en clair, logiciels de captation disponibles, reproduction des cartes…etc)

1- Techniques d’attaque du RFID :
Dès Juin 2009, Klauss Finkenzeller révellait des techniques d’attaque du RFID et comment s’en prémunir dans un manuel de confidences (11). Il était possible d’y trouver les techniques suivantes :

  • Eavesdropping : technique d’écoute et de surveillance des fréquences radio émises dans le but de déterminer les rapports de transmission et le protocoles de chiffrement utilisés
  • Skimming : technique permettant de récupérer les données puis de les lire
  • Cloning : technique permettant de dupliquer une carte à puce

2- Techniques de perturbation des fréquences :
Il existes plusieurs techniques pour perturber les fréquences utilisées par le RFID ; en voici quelques unes :

  • Jamming : technique matérielle (électronique) permettant d’émettre des signaux ou des bruits susceptibles de perturber les fréquences utilisées par le RFID : ondes électro-magnétiques…etc
  • Collisions : technique matérielle permettant d’émettre plusieurs tags dans le champ d’un même lecteur à partir de plusieurs méthodes (fréquentielle, spatiale, temporelle, systématique)

3- Techniques de fraude :
Il existes plusieurs techniques de fraude, utilisées dans le but s’approprier illégalement les données pour s’en servir ultérieurement. Un technique discrète pour s’approprier les données RFID émises via NFC consiste à utiliser un Smart Phone sous Android muni de l’application PayCardReader (qui a été retiré du market par Google et dont le code source reste toujours disponible sur le net). A ce propos, vous pouvez lire un article de Panoptinet (12)

A ce propos, plusieurs Vidéos ont été réalisées :

 


MESURES DE PROTECTION :

Plusieurs intervenant mettent en garde contre les techniques utilisées sur le RFID et le NFC :

Une vidéo un peu plus longue donne des explications complémentaires  : Les cartes bancaires NFC (sans contact), attention aux pickpockets numériques (18)

Les mesures de protection sont essentiellement axées sur des boitier ou des pochettes métalliques. Ce articles sont proposés par Protection Carte Bleu (19) ou Amazon (20)
Une autre mesure de protection :  refuser les cartes de paiement NFC auprès de la banque en demandant l’échange contre une carte sans cette puce, conformément à la législation en vigueur. Si la banque refuse, il y a encore la possibilité de porter plainte auprès de la CNIL

Numerama a également publié un article sur les cartes de paiement sans contact (21) dans lequel l’UFC-Que choisir réagit.

Il existe également des solutions physiques plus agressives, comme, par exemple la solution proposée par Korben (22)


SOURCES

(01) https://fr.wikipedia.org/wiki/Communication_en_champ_proche
(02) https://fr.wikipedia.org/wiki/Radio-identification
(03) http://www.cnil.fr/
(04) http://www.cnil.fr/linstitution/actualite/article/article/rfid-des-puces-aux-usages-multiples-et-aux-impacts-varies-en-termes-de-vie-privee/
(05) http://www.cnil.fr/documentation/fiches-pratiques/fiche/article/carte-de-paiement-sans-contact-mode-demploi/
(06) http://www.quechoisir.org/
(07) http://www.ufcquechoisir-dordogne.org/carte-de-paiement-sans-contact-2/
(08) http://image.quechoisir.org/var/ezflow_site/storage/original/application/83f4417e31338af6bb5499bf735ebb0d.pdf
(09) http://www.centrenational-rfid.com/comment-fonctionne-le-nfc-article-133-fr-ruid-17.html
(10) https://fr.wikipedia.org/wiki/Attaque_de_l’homme_du_milieu
(11) http://rfid-handbook.de/downloads/Finkenzeller_Systech-Bremen-2009_v1.0.pdf
(12) http://www.panoptinet.com/culture-cybersecurite/nfc-une-appli-android-qui-recolte-nos-donnees-bancaires-a-la-volee/
(13) https://www.youtube.com/watch?v=DrJac-LaraY
(14) http://www.planet.fr/conso-paiement-sans-contact-nimporte-qui-peut-lire-votre-carte-bancaire-avec-un-portable.564682.1404.html
(15) http://claris.over-blog.com/page-list/securite
(16) https://www.youtube.com/watch?v=qliH3gBGokY
(17) https://www.youtube.com/watch?v=hgKzwFm48kc
(18) https://www.youtube.com/watch?v=yk-N763DzWc
(19) http://protection-carte-bleue.fr/
(20) http://www.amazon.fr/Protège-ANTI-RFID-PAIEMENT-CONTACT-mastercard/dp/B00NWG0L44?tag=duckduckgo-ffsb-fr-21
(21) http://www.numerama.com/tech/138226-desactive-nfc-sur-une-carte-bancaire-ufc-que-choisir-accuse.html
(22) http://korben.info/comment-desactiver-le-nfc-sur-sa-carte-bancaire.html

Publicités
Cet article a été publié dans Documents Numériques, Informations numériques. Ajoutez ce permalien à vos favoris.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s