Cartes bancaires NFC : deux chercheurs pointent un risque d'attaques « par relais »

Deux chercheurs en cryptographie de l’Université de Rennes mettent en garde contre les « attaques par relais », qui exploitent une faille de sécurité des cartes bancaires sans contact. Explications.

« Si vous vous promenez dans la rue, avec votre carte NFC dans votre poche ou votre sac, il est tout à fait possible pour un hacker passant près de vous d’intercepter vos données [grâce à un faux lecteur, comme un téléphone portable ou un ordinateur] pour les envoyer à un complice qui s’en sert au même moment pour régler un achat », explique Pierre-Alain Fouque, spécialiste en cryptographie à l’Institut de recherche en informatique et systèmes aléatoires (Irisa), dans un article publié en ligne dans le Journal du CNRS (Centre national de la recherche scientifique).

Ce type de fraude, dit d’attaque par relais, est notamment rendu possible par l’absence, dans les actuelles générations de cartes et de terminaux de paiement, d’un protocole de sécurité baptisé DBP, pour Distance-Bounding Protocol (protocole de délimitation de distance). Celui-ci permet au terminal de chronométrer « le temps qu’il lui faut pour dialoguer avec une puce NFC ». Il peut donc « théoriquement s’assurer que la personne qui interagit avec lui se trouve bien à quelques centimètres ». Selon Cristina Onete, chercheuse à l’Irisa, un seul modèle de carte fournit actuellement ce « genre de protection ». Mais il n’est par ailleurs pas certain que le protocole soit compatible (notamment en matière de rapidité) avec le standard actuel de communication entre la carte et le terminal.

« La technologie sans contact porte beaucoup de promesses » conclut Cristina Onete, « je suis absolument certaine que, dans le futur, on aura des paiements sécurisés, même sans contact, mais avant, on doit augmenter la sécurité avant d’augmenter ses fonctionnalités ». En attendant, la chercheuse explique limiter « ses paiements électroniques à ceux qui prévoient un ou deux moyens d’authentification, par exemple le code de sécurité de ma carte et un code de confirmation envoyé par la banque sur [son] téléphone portable ».