L'hebdomadaire MicroHebdo nous livre, dans son numéro 745, un article sur le sujet.
<< Le scandale des nouvelles cartes bancaires
Visa, MasterCard, American Express, Les cartes de paiement sans contact distribuées actuellement par les banques peuvent être piratées en quelques secondes.
Explications.
Ne le dites à personne, mais sachez-le : votre nouvelle carte bancaire est une véritable passoire. Plutôt gênant pour un système de paiement réputé sûr et fiable !
Moderne, la carte remise par votre banquier intègre dorénavant une puce « sans contact » [dite NFC pour Neer Field Communications). Elle permet de régler vos achats en quelques secondes... mais peut être piratée tout aussi rapidement. La faille est apparue dans les nouveaux usages. Pour régler avec une carte sans contact, il suffit de l'approcher à quelques centimètres d'un terminal de paiement électronique, également équipé d'une puce sans contact. En deçà d'un certain montant (10 ou 20 euros selon les cas], l'utilisateur n'a pas besoin de valider le paiement avec son code secret. L'opération est immédiate.
L'idée est séduisante, Il s'agit, par exemple, de fluidifier les passages en caisse, de réduire le volume de monnaie que les commerçants doivent conserver, puis déposer à leur banque voire, à plus long terme, de combiner en un seul support le paiement et la fidélisation.
Mais, en avril 2012, Renaud Lifchitz, expert en sécurité informatique chez BT Global Services, a mis en évidence la vulnérabilité de ce mode de paiement. Et expliqué pourquoi les cartes sans contact PayWave de Visa et PayPass de MasterCard sont faillibles. Depuis 1995, les données contenues sur les cartes bancaires sont protégées par le standard international UN (Turopay IViastereard Visa). Il a été conçu pour des modèles à puce, donc à contact, mais n'est pas adapté aux paiements sans contact. «Il faut revoir complètement cette norme. d'autant plus qu'en dehors des problèmes de fraude, elle n'est pas compatible avec les lois françaises relatives au traitement des données à caractère personnel, ni même avec les standards internationaux de sécurité tels que PCI-DSS», indique Renaud Lifchitz.
Pirater sans grande compétence technique.
Pour appuyer sa théorie. l'expert a démontré la simplicité de la fraude en se concentrant sur la lecture active des données, c'est-à-dire lorsque le malfaiteur a accès au contenu de la carte de sa victime (rangée dans sa poche au son sac), alors qu'elle n'est pas en cours d'utilisation. Un simple lecteur NFC, acheté quelques dizaines d'euros sur le Net. et connecté à un ordinateur portable ou à un smartphone NFC suffit. «Pirater une carte sans contact ne nécessite pas de compétences très pointues, puisque plusieurs applications commencent à être disponibles sur Internet et que l'investissement est minime», souligne Renaud Lifchitz. Une fois équipé, le voleur siphonne en quelques secondes les données confidentielles enregistrées sur la carte de sa victime: numéro complet, date et montant des paiements et des retraits, date d'expiration. Même le cryptogramme visuel, ce numéro à trois chiffres inscrit au dos de la carte, peut être récupéré. Selon l'expert de BT Global Services, les cartes sans contact disposent d'une fonction permettant de générer des cryptogrammes à usage unique. Il suffit donc au pillard de faire appel à cette fonctionnalité. Les données confidentielles soigneusement collectées sont ensuite commercialisées sur des forums spécialisés (le marché noir de revente des données personnelles) ou utilisées pour faire des achats frauduleux sur le Net. En effet, un simple numéro de carte bancaire et son cryptogramme (le code à trois chiffres inscrit au dos) suffisent amplement pour valider une transaction en ligne. En Europe toutefois, beaucoup de sites marchands utilisent le système BOSecure pour limiter les fraudes (vérification en ligne de l'identité du titulaire par le biais d'un sms, mail ou code à reproduire). Un autre mode de lecture, dit passif, permet à quelqu'un d'intercepter une transaction lors de l'utilisation de la carte sans contact. En effet, lorsque celle-ci et le lecteur communiquent, le signal rayonne à plusieurs mètres. Renaud Lifchitz a montré que les informations enregistrées dans la carte sont lisibles à au moins 15 mètres! Ce mode de piratage exige toutefois davantage de matériel que la lecture active: un récepteur radioamateur et un ordinateur portable. «Cette attaque est beaucoup plus complexe et nécessite cette fois de réelles compétences en analyse de signai radio et quelques centaines d'euros de matériel », souligne l'expert.
Au GIE Cartes Bancaires, structure chargée d'organiser un système de paiement commun entre les banques, on tente de dédramatiser. «Il y a un écart entre la sécurité réelle et la sécurité perçue. Une analyse objective du risque montre que celui-ci est négligeable. Les fraudeurs ne s'intéressent pas aux scénarios qui ne leur rapportent pas beaucoup d'argent», estime Jean-Marc Bornet, administrateur au GIE. Cet été, une précaution a quand même été prise: le nom et le prénom du porteur de la carte sans contact ne sont plus accessibles. Mais les informations relatives au moyen de paiement ne sont toujours pas protégées, ni par authentification du porteur, ni par chiffrement des données.
Un lancement précipité.
Selon ce même GIE Cartes Bancaires, il y aurait plus de 2,5 millions de cartes sans contact en circulation en France [4,2% du parc) et, aux États-Unis, elles se chiffreraient à plus de 100 millions. Ce marché est donc en pleine expansion. Visa, MasterCard, mais aussi American Express et toutes les autres cartes sans contact sont concernées, puisqu'elles embarquent la même norme de paiement EMV En attendant que celle-ci soit adaptée aux cartes sans contact, pas avant trois ans selon Renaud Lifchitz, le seul moyen pour les porteurs de se protéger est de glisser leur carte dans un étui, sorte de cage de Faraday, ou un portefeuille bloquant les communications avec un lecteur. Conscientes du danger, certaines banques distribuent déjà ces étuis à leurs clients. D'autres. comme le Crédit Mutuel et la Caisse d'Épargne, proposent carrément à leurs clients de désactiver la fonction «sans contact». La diffusion de cartes NFC souffrant d'une telle faille de sécurité est une négligence assumée, sous la pression des importants enjeux financiers du paiement sans contact. Rien qu'en France, le parc des cartes de paiement atteint 60 millions d'unités. À l'échelle mondiale, il s'élève à plusieurs centaines de millions. «Selon certaines études américaines, les consommateurs utiliseraient 25% plus souvent leurs cartes de paiement lorsqu'elles sont sans contact», indique Renaud Lifchitz. Outre les banques, ce juteux marché attise les convoitises de nombreux acteurs de l'écosystème de la téléphonie mobile [opérateurs, constructeurs de téléphones, éditeurs de systèmes d'exploitation, développeurs). Ainsi à l'image des cartes sans contact, les mobiles NEC prolifèrent, les applications de paiement aussi. Les banques ne voudraient pas être coiffées au poteau par des Orange, Apple ou Google qui pourraient devenir les stars de ce mode de règlement et développer de nouveaux services, reléguant ces dernières à un second plan. Pour éviter une telle situation, les établissements bancaires ont donc précipité le lancement de leurs cartes sans contact, quitte à mettre la confidentialité et la sécurité des données personnelles de leurs clients en danger. Si le marché leur échappe, les banques ne pourront s'en prendre qu'a elles-mêmes. De nombreuses études montrent, en effet, que la sécurité est la principale crainte des utilisateurs qui adoptent ce type de règlement. Une stratégie qui pourrait donc bien se retourner contre les banques. >>
-----------------------
Il ne faut pas refuser le progrès mais il ne faut non plus gober béatement tout ce que l'économie numérique et la technologie apporte car c'est avant tout dans une optique de profits au détriment des moutons tondus en permanence que nous sommes.
Au fond, avons nous vraiment besoin de tout cela pour mieux vivre ? Si c'est pour se prendre la tête avec des problèmes de protection de données d'un côté ou de piratage de compte de l'autre, non, pas besoin.
Ce qui me défrise dans cette problématique, c'est que ces cartes peuvent être piratées sans grande compétence technique. Même la hackage à distance avec matériel radio cité dans l'article n'est pas difficile : tous les professionnels installant des portes de garage ou des bornes d'accès savent que sans cryptage, il ne faut pas beaucoup de temps et de savoir pour récupérer tout ce que contient un matériel de ce type. C'est pour cette raison que les "bips" des portes de garage d'immeuble peuvent non seulement comporter des cryptages complexes mais les codes émis pour déclencher l'ouverture peuvent changer plusieurs fois par secondes (seuls l'émetteur et le récepteur correspondant peuvent se "parler").
Irrationnelles les craintes soulevées ?
Portail 
Accueil 
Dernières images 
S'enregistrer 
Connexion 
Lun 10 Sep 2012 - 7:47