La Commission nationale Informatique et Libertés (CNIL) vient d’annoncer qu’elle lançait une enquête officielle sur les cartes bancaires équipées de la technologie NFC, permettant de régler des achats sans contact. En cause : une faille de sécurité, récemment mise en évidence par un ingénieur spécialisé.
Les puces NFC créent-elles une brèche dans la sécurité des cartes bancaires ? De plus en plus souvent embarquée dans les nouvelles cartes des banques françaises, cette technologie s’annonce comme la prochaine grande avancée dans l’écosystème des moyens de paiements. Déjà utilisée avec succès dans le secteur des transports publics (à l’image du pass Navigo en Ile-de-France), expérimentée par les banques dans plusieurs villes françaises (Nice, Strasbourg, Caen, etc.), elle permet en effet de régler des achats de petit montant (inférieurs à 20 euros), sans insérer sa carte bleue dans un terminal, ni composer de code, mais simplement en l’approchant d’un terminal adapté. Une alternative aux espèces donc, voire au chèque, dans laquelle les opérateurs de cartes bancaires (Visa avec payWave et Mastercard avec PayPass notamment) et les banques ont déjà commencé à investir massivement.
Pas de chiffrement, pas d’authentification
Las, le 13 avril dernier à Paris, à l’occasion d’une conférence de hackers (informaticiens spécialisés dans la mise à l'épreuve des systèmes de sécurité informatique), un ingénieur français, Renaud Lifchitz, dévoilait une faille dans le dispositif. Selon lui, dans l’état actuel des choses, les données transférées sans contact entre la carte et le terminal ne sont pas chiffrées et ne nécessitent pas d’authentification. Elles peuvent donc être interceptées, dans un rayon d’une quinzaine de mètres, par toute personne disposant du matériel adéquat (un amplificateur et une antenne, pour quelques milliers d’euros) et de compétences en radio-électronique.
Quelles informations peuvent ainsi être récupérées ? Selon Renaud Lifchitz, il s’agit de l’état-civil du porteur de la carte (nom, prénom), de son numéro de compte primaire (celui qui est visible sur la carte), de la date d’expiration de la carte, mais aussi des données contenues sur la bande magnétique et de l’historique des transactions. Par contre, l’opération ne permet pas de récupérer le cryptogramme de sécurité situé au dos de la carte.
Achat frauduleux et surveillance
Les exploitations potentielles restent malgré tout nombreuses : paiements frauduleux sur internet, en contournant l’absence du cryptogramme ; mise hors service d’une carte à distance en générant trois faux codes ; création d’un clone de la carte grâce aux données de la bande magnétique… La faille permet également de repérer et de suivre à distance un individu, y compris dans une foule.
Pour Renaud Lifchitz, la conséquence est claire : le système NFC embarqué sur les cartes de paiements doit être entièrement revu et ne pas être utilisé en l’état. Dans l’immédiat, les opérateurs de cartes bancaires n’ont pas encore communiqué sur la question (1). D’après Lifchitz, le GIE Cartes Bancaires, qui gère le système interbancaire de paiement par carte en France, a de son côté reconnu le problème, en le minimisant. Interrogé par le site internet L’informaticien le 26 avril dernier, un porte-parole du groupement parle ainsi de « risque théorique », expliquant que le client sera remboursé en cas de fraude et évoquant la possibilité de distribuer des étuis de carte métalliques, qui préviennent les usages frauduleux. La prochaine étape dépendra donc des résultats de l’enquête de la CNIL, et de ses recommandations.
(1) Contacté, Visa Europe n'a pas souhaité apporter de commentaires. Mastercard, de son côté, n’a pas donné suite à nos sollicitations.
