vendredi 13 avril 2012

HES 2012: les paiements NFC ne sont pas sûrs

Il est possible de lire à distance des données personnelles et financières sur une carte bancaire NFC (Near Field Communication) comme l'a montré lors du HES 2012 Renaud Lifchitz, consultant en sécurité pour BT. NFC est une technologie de paiement sans contact et sans code secret (PIN). La carte ou le téléphone est approché du terminal et le paiement est effectif.

Il existe des failles de sécurité qu'une simple mise à jour logicielle résout. Dans ce cas, le problème est si profond qu'il faudrait repenser le protocole et faire accepter la nouvelle version par de nombreux acteurs. Le problème selon Lifchitz, est que le protocole ne prévoit rien pour authentifier la carte ou le terminal ni chiffrer l'échange. Devant l'assistance, il a lu à distance le contenu de sa propre carte à l'aide un bricolage de son crû. On avait à l'écran le nom, le numéro de compte, l'historique des transactions, entre autres. Il affirme avoir réalisé l'expérience à 15 mètres de distance, avec une antenne et un récepteur radio. Comparé à la carte Navigo, dont les échanges avec les bornes RATP sont authentifiés, la résistance du NFC est proche de zéro.

Il nous a ensuite précisé pourquoi : "Le protocole de paiement NFC devait être rétro-compatible avec EMV, le standard de communication entre les cartes (à contact) et les terminaux. NFC utilise les mêmes commandes que EMV, elles sont simplement encapsulées. EMV est donc utilisé dans un cadre pour lequel il n'a pas été conçu. On aurait pu sécuriser le transport".

Une solution ? Le portefeuille blindé ou alors parlez-en à votre banquier.

6 commentaires:

  1. Ça impacte aussi le (futur) paiement mobile (via smartphone) ? Si c'est le cas, ça promet...

    RépondreSupprimer
  2. Jean-Michel Manat14 avril 2012 à 23:29

    Etonnant, le NFC étant censé avoir une portée de 15 ou 20 cm maximum. Il a utilisé une sorte d'amplificateur ? De plus, pour les paiements par smartphone NFC, il y a bien un code PIN à 4 chiffres à saisir, bien que l'on puisse désactiver cette saisie obligatoire.
    PS : je précise que je n'ai pas regardé la vidéo, un peu trop longue...

    RépondreSupprimer
    Réponses
    1. 15 ou 20cm suffit pour se faire voler son numéro de carte dans le métro parisien à partir d'un smartphone :)

      Pour aller plus loin, il faut effectivement du matériel plus conséquent (3000€ pour lire à 3m environ, mais tient dans un sac à dos).

      Supprimer
  3. Jean-Michel Manat15 avril 2012 à 00:09

    Pour Christophe : le paiement mobile via NFC existe déjà en France, plus précisément à Nice (projet pilote Cityzi).

    RépondreSupprimer
  4. @Commentaires ci-dessus :
    Il s'agit uniquement des cartes de paiement VISA et MASTERCARD qui sont compatibles NFC (les banques commencent seulement à les distribuer). Cette vulnérabilité n'impacte à priori pas les paiements par smartphones qui sont une toute autre technologie.

    RépondreSupprimer
  5. Une réponse de Visa ?
    http://www.net-security.org/secworld.php?id=13460

    RépondreSupprimer