Si elles peuvent devenir pratiques au quotidien, avec de nouveaux services et usages à la clé, les cartes bancaires sans contact NFC (Near Field Communication) sont encore clairement dangereuses quant à leur sécurité. Et si des améliorations sont à constater depuis 2012, il reste vraisemblablement des risques énormes pour les utilisateurs.
Le NFC est une technologie d’avenir. Ce midi, l’AFSCM (Association Française du Sans Contact Mobile) faisait un point d’étape avec des chiffres qui laissent rêveur : 500 millions de clients équipés en 2014, 100 millions de mobiles NFC « sim based », 200 millions de mobiles NFC à travers le monde en juin 2013… Tous les clignotants sont au vert et l’adoption du sans contact est en bonne voie.
Toutefois, vous l’aurez remarqué si vous avez renouvelé votre carte bancaire (CB) récemment, votre banque vous a probablement proposé une carte sans contact, ornée d’un signe reconnaissable situé à côté de la puce. Si c’est le cas : méfiez-vous !
http://www.youtube.com/watch?v=0t8Gksf3_I8
En avril 2012, nous rendions compte des travaux d’un chercheur (Renaud Lifchitz) qui avait découvert une faille béante dans le protocole de sécurité des CB NFC. Celle-ci permettait facilement de récupérer des informations comme le nom du porteur, la liste des transactions réalisées, ainsi que le numéro de la carte et de sa date d’expiration. Depuis, des travaux ont été engagés pour régler ces problèmes. Depuis fin septembre 2012, le nom du porteur n’est plus accessible. L’historique des transactions ne sera quant à lui plus accessible pour toutes les CB qui seront déployées à partir de fin 2013.
Des données encore accessibles
« Ces évolutions permettent de réduire les risques pour la vie privée des porteurs », indique la CNIL. Mais qui dit réduire ne dit pas supprimer : certaines données, comme le numéro de carte et la date d’expiration, peuvent encore être potentiellement accessibles. Ce qui « préoccupe » la CNIL… Pour l’Observatoire de la Sécurité des Cartes de Paiement, « les risques liés à l’écoute passive de transactions sans contact (…) demeurent faibles en raison de modalités techniques de mise en œuvre particulièrement difficiles en pratique ». Il indique aussi que les émetteurs se sont engagés (ah bon ?) « à mettre à la disposition de leurs porteurs des dispositifs visant à empêcher l’utilisation du mode sans contact à l’aide d’étuis de protection ou à désactiver le mode sans contact par l’envoi de scripts de désactivation à distance, voire à émettre des cartes dépourvues de cette fonction à la demande des porteurs ».
En conclusion : la CNIL est frileuse, des données bancaires peuvent être compromises, l’observatoire de la sécurité des CB semble recommander l’utilisation d’étui. En conséquence, on peut raisonnablement dire qu’il vaut mieux se passer, pour l’instant, des cartes sans contact.
