Une belle faille dans le système de paiements sans contact

Par Ludovic Blin, secuobs.com
Le 18/04/2012

---

Résumé : Le système de paiement sans contact, utilisant la technologie NFC et en cours de déploiement chez certains fournisseurs de cartes de crédit, n’implémente pas de sécurité (probablement pour maximiser l’interopérabilité), comme l'a démontré une présentation lors de la conférence Hackito Ergo Sum. - Lire l'article



Le système de paiement par carte est plus rentable pour les acteurs financiers que l’argent liquide. En effet, d’une part des frais peuvent être facturés lors de chaque paiement (ou pour la location des terminaux), et d’autre part cela diminue la quantité d’argent liquide à gérer (et donc les risques associés). Cependant, les petits paiements ont toujours tendance à être réalisés en liquide. Pour augmenter le volume de transactions par carte, les établissements gérants les cartes de crédits ont donc inventé le paiement sans contact.

Ce système permet de payer de petites sommes (par exemple moins de 20 euros), pouvant être répétées quelques fois, sans avoir à composer le code ou à insérer la carte dans un terminal.

Le seul problème étant que la sécurité n'est pas prise en compte, comme l’a démontré Renaud Lifchitz, ingénieur sécurité chez BT, lors de la conférence Hackito Ergo Sum, qui a eu lieu à Paris du 12 au 14 avril.

Le système NFC, qui est d’ors et déjà déployé, 10 millions de cartes étant en circulation aux USA et 100 000 terminaux en France, fait usage des standards de l’industrie bancaire comme EMV et ISO 7816. Il s’agit d’une technologie RFID, tout comme Navigo de la RATP ou les passeports électroniques.

Cependant ces standards bancaires n’ont apparemment pas prévu une utilisation « sans fil » et aucun mécanisme d’authentification du terminal, ou de chiffrement des communications n’est utilisé. Il est donc possible d’extraire de la carte (ou d’intercepter) différentes informations, comme par exemple le numéro, le nom (sur certaines seulement), les dernières transactions, la date d’expiration ou encore les données de la bande magnétique. Il est également possible d’obtenir un CVV temporaire.

La sécurité de tout le système repose donc sur le fait qu’il faut approcher la carte a quelques centimètres du lecteur pour que celui-ci puisse la lire. Cependant, il est possible de concevoir des outils capables de lire une telle carte à une distance plus grande, éventuellement jusqu’à 15 m en utilisant une antenne appropriée. Par exemple, le groupe Trifinite avait réussi en 2004 à étendre la portée d’une clef bluetooth de 10 m à 1,7 km.

Ce fait pourrait rendre incompatible le système avec le standard PCI-DSS, ainsi qu’avec les réglementations sur la protection des données personnelles. Pour la France, les acteurs concernés ont été prévenus, et notamment la CNIL et le ministère des Finances lors d’une démonstration réalisée lors de la conférence GS Days 2012 qui a eu lieu à Paris début avril.

Pour se protéger d’un tel risque, la seule solution semble être d’utiliser un étui en métal, faisant office de cage de faraday.

Les cartes NFC sont en effet d’ors et déjà en cours de déploiement en France, et lors d’une démonstration, il a été possible d'extraire les informations de la carte de crédit d’un journaliste, qui avait été récemment renouvelée (et qui était donc doté de la technologie NFC, identifiée par un logo sur la carte). Il a fallu cependant approcher la carte à moins de 1 cm du lecteur (qui peut être un ordinateur ou un téléphone).

La présentation de Renaud Lifchitz : lien

La conférence Hackito Ergo Sum 2012 : lien

La conférence GSDays : lien