Sections

Le paiement sans contact n'est pas sans risque

Le paiement sans contact n'est pas sans risque

03.07.2015, par
Paiement sans contact par carte bancaire
Borne de paiement sans contact dans le métro de Londres.
Plus de 31,5 millions de cartes de paiement sans contact circulent déjà en France. Pourtant, les chercheurs en cryptographie mettent en garde contre un système de paiement qui comporte de graves lacunes de sécurité.

Depuis son invention en 1974, l’histoire de la carte bancaire à puce a toujours été celle d’une lutte permanente contre les tentatives de piratage. Code personnel, cryptogramme au dos de la carte, chiffrement des informations et des transactions, confirmation des achats effectués sur Internet par un code envoyé par SMS… En quarante ans, les moyens de prouver son identité se sont multipliés. Or, et c’est un paradoxe, le GIE Cartes bancaires, qui fédère les principales banques françaises afin de définir les normes de sécurité des cartes à puce, s’efforce désormais de diffuser un nouveau système de paiement… qui ne nécessite plus d’authentification : c’est le paiement sans contact.

Grâce à ce nouveau type de transaction, le client d’un commerce peut désormais régler ses achats sans avoir à insérer sa carte dans un terminal ni à s’identifier en tapant son code secret. Il suffit d’approcher sa carte bancaire à quelques centimètres d’un lecteur, et en quelques millisecondes, la transaction est faite. Les usagers, les associations de consommateurs et même la Commission nationale informatique et libertés (Cnil) ainsi que des chercheurs spécialistes en sécurité informatique s’inquiètent : et si ces cartes à puce de nouvelle génération, dites cartes NFC, étaient moins sûres que les anciennes ?

Le paiement sans contact, comment ça marche ?

Comme son nom l’indique, la technologie NFC (pour Near Field Communication, communication en champ proche) ne fonctionne qu’à une faible distance, inférieure à 10 centimètres. Contrairement à la RFID (Radio Frequency Identification, identification par radiofréquence) dont elle découle directement et qui permet, elle, d’interagir avec des systèmes sécurisés à plusieurs mètres de distance. Néanmoins, le principe reste le même : un lecteur (reader) communique par radio, sur la longueur d’ondes de 13,56 MHz, avec la puce (tag) contenue dans une carte bancaire via une minuscule antenne.

Les cartes de paiement ne sont d’ailleurs pas les seules à bénéficier des puces NFC : on les retrouve aussi dans les titres de transport, à l’image du pass Navigo de la RATP, ainsi que dans les cartes d’accès, les clés de voiture, les passeports et les nouveaux permis de conduire, sans oublier les tablettes et les téléphones portables. Dans ce dernier cas, l’appareil multimédia peut être utilisé autant de manière passive, comme s’il était une puce, que comme lecteur, dès lors qu’il est équipé d’une option « émulation de carte NFC » : avec un iPhone 6 ou un Nexus Android, il est ainsi possible de lire un tag NFC caché dans une étiquette, sous le tableau d’un musée, pour accéder à des informations supplémentaires sur l’œuvre ou l’artiste. Et même d’échanger des informations avec un autre téléphone équipé de la technologie NFC, par exemple pour virer de l’argent à un ami… Sans sortir son portefeuille.

Borne de Pass Navigo
Tourniquet réservé à la carte Navigo dans les transports parisiens.
Borne de Pass Navigo
Tourniquet réservé à la carte Navigo dans les transports parisiens.
 

Une technologie insuffisamment sécurisée

Mais, si pratique que soit ce nouveau mode de transaction, peut-on vraiment lui faire confiance ? Au sein de l’Institut de recherche en informatique et systèmes aléatoires (Irisa)1, à Rennes, le spécialiste de la cryptographie Pierre-Alain Fouque se méfie du paiement sans contact, au point qu’il a demandé à sa banque de désactiver la puce NFC sur sa propre carte bancaire. La raison de son inquiétude ? « Actuellement, aucun contrôle n’est présent » sur ce moyen de paiement, explique le chercheur, et comme « on ne demande rien à l’utilisateur, rien n’empêche le vendeur de faire plusieurs retraits sur la carte ». Car, contrairement à un règlement effectué à partir d’un téléphone portable, pour lequel « on demande confirmation, ce n’est pas le cas avec la carte bancaire ». Évidemment, ce ne serait pas très discret de la part d’un commerçant, dont on aurait vite fait de retrouver la trace au prochain relevé de banque…

Si vous vous
promenez dans
la rue avec
votre carte NFC,
un hacker passant
près de vous
peut intercepter
vos données.

Pierre-Alain Fouque reconnaît que « des mesures ont été prises pour éviter que quelqu’un vide votre compte bancaire, en limitant une transaction à 20 euros, et de telle manière qu’on ne puisse pas faire plus de trois ou quatre paiements sans contact par jour ». En revanche, « il n’y a pas de réelles mesures de sécurité à l’intérieur des cartes bancaires pour éviter ce type d’attaque ».

Pire, poursuit Pierre-Alain Fouque « si vous vous promenez dans la rue, avec votre carte NFC dans votre poche ou votre sac, il est tout à fait possible pour un hacker passant près de vous d’intercepter vos données » grâce à un faux lecteur, comme un téléphone portable ou un ordinateur, « pour les envoyer à un complice qui s’en sert au même moment pour régler un achat » ou déverrouiller la portière de votre voiture.

C’est le principe de l’attaque du man in the middle, ou « attaque par relais » : la carte NFC et le terminal de paiement, pensant dialoguer l’un avec l’autre, communiquent en fait avec un troisième intervenant, qui utilise les informations envoyées par la carte pour faire la preuve de son identité auprès du lecteur cible. « Le seul moyen de prévenir une telle attaque est de ne pas avoir assez d’argent sur sa carte bancaire ! », ironise Cristina Onete, chercheuse en post-doctorat à l’Irisa.

Le distance-bounding protocol, remède miracle contre le vol ?

La bataille entre hackers et spécialistes de la cybersécurité est-elle perdue d’avance ? Il existe en fait une mesure de sécurité, le Distance-Bounding Protocol (DBP). Grâce à ce protocole délimiteur de distance, un lecteur sans contact qui chronomètre le temps qu’il lui faut pour dialoguer avec une puce NFC, peut théoriquement s’assurer que la personne qui interagit avec lui se trouve bien à quelques centimètres. Une telle vérification permet de bloquer un usurpateur qui, à quelques mètres de là, se ferait passer pour la puce légitime.

« Pour l’instant, à ma connaissance, une seule carte, la Mifare Plus du fabricant NXP, offre ce genre de protection, explique Cristina Onete. Dans notre équipe Sécurité et cryptographie embarquées, à l’Irisa, nous faisons des tests pour savoir si le DBP résiste bien aux attaques par relais. Je ne peux pas encore donner de résultats officiels, mais ce dont on s’aperçoit, c’est qu’il y a un écart important entre ce que décrit la théorie dans la littérature scientifique du DBP et les contraintes en pratique. »

Attaque par relais
Attaque par relais : la fausse carte effectue le paiement auprès du lecteur en relayant des messages avec l'aide d'un faux lecteur (placé dans la proximité de la carte légitime)
Attaque par relais
Attaque par relais : la fausse carte effectue le paiement auprès du lecteur en relayant des messages avec l'aide d'un faux lecteur (placé dans la proximité de la carte légitime)

En effet, « la transmission des informations entre la carte NFC et le lecteur se fait selon un standard qui n’est pas compatible avec le temps de transmission exigé pour le DBP », explique la chercheuse néerlandaise. Et pour cause : pour vérifier si la puce se situe bien à proximité immédiate du lecteur, tous deux doivent échanger une information de manière très rapide, théoriquement sous la forme d’un seul bit (0 ou 1). Or le standard de communication ne permet de transmettre que plusieurs octets, soit 8 bits à chaque fois. De ce fait, « le temps de transmission est plus long, et comprend un plus grand risque d’erreur. Alors certes, cela reste très rapide, quelques millisecondes, mais c’est déjà trop pour pouvoir déterminer si vous êtes à côté du terminal ou bien en Chine !, note Cristina Onete. Les expérimentations que nous menons semblent toutefois montrer que, dans la pratique, les échanges d’octets peuvent dans certains cas fonctionner. »

Il reste encore
du travail à faire
pour augmenter
la sécurité contre
les attaques par
relais.

Aussi, pour Pierre-Alain Fouque et Cristina Onete, « il est très encourageant pour la sécurité que la carte Mifare Plus implante ces contre-mesures. De ce point de vue, c’est la seule carte qui évite partiellement ces attaques. Pourtant, il reste encore du travail à faire pour mieux comprendre et augmenter la sécurité pratique contre les attaques par relais. »

Alors, que faire ? Cristina Onete avoue « limiter ses paiements électroniques à ceux qui prévoient un ou deux moyens d’authentification, par exemple le code de sécurité de ma carte et un code de confirmation envoyé par la banque sur mon téléphone portable ». Pourtant, souligne-t-elle, « la technologie sans contact porte beaucoup de promesses : je suis absolument certaine que, dans le futur, on aura des paiements sécurisés, même sans contact, mais avant, on doit augmenter la sécurité avant d’augmenter ses fonctionnalités ». Car aujourd’hui, la tendance « à pouvoir dépenser son argent de manière plus libre, plus confortable, encourage les fabricants de cartes à ignorer les aspects de sécurité et de vie privée pour offrir plus d’options que leurs concurrents ».

Notes
  • 1. Unité CNRS/ENS Rennes/Inria/Insa de Rennes/Institut Mines-Télécom/UBS/Univ.de Rennes 1/Supélec.
Aller plus loin

Auteur

Simon Castéran

Simon Castéran, né en 1982, est journaliste et passionné de sciences. Depuis plusieurs années, il se consacre à la vulgarisation scientifique, notamment dans le domaine de l’astronomie, de la conquête spatiale et de l’exobiologie.

 

Commentaires

9 commentaires

J'ai entendu parlé pour la première fois de cette faille lors de la nuit du hack à Paris il y a 3 ans (présenté par Julien HATIN). Elle est réelle mais il est possible de s'en protéger très simplement. Premièrement, on peut acheter un porte carte métallique qui enferme la carte dans une cage de Faraday. Bien souvent ces porte-carte sont vendus bien trop cher à mon goût et empêchent d'utiliser le porte-carte présent dans notre portefeuille. Une autre solution, que j'ai personnellement testé, est de placer une feuille de papier alu dans la poche à billet de son porte feuille. Ma carte personnelle n'est pas nfc mais j'ai testé avec un pass navigo.

Le paiement sans contact est un danger énorme. Il faut absolument que la population le rejette tant que la sécurité n'est pas présente, c'est à dire un appui sur une touche pour activer l'émission de la carte OU un cryptage des données émises par la carte, par exemple. Oui il y a une limite de 20€ en paiement sans contact mais le fait que le numéro de carte bleue ET la date de validité soient émis en permanence et en clair, un simple lecteur passant à proximité permet ensuite de faire des achats sur internet sur des sites (Amazon par exemple) ne demandant pas le CCV (le code derrière la carte), sans la limite des 20€ !!! Le temps que la victime se rende compte de l'utilisation de sa carte, le colis est déjà récupéré par le voleur et si il n'est pas bête il saura ne pas laisser de traces pour remonter à lui.

Beaucoup de désinformations dans cet article. Il suffit de prendre le premier paragraphe pour comprendre que le journaliste caricature à l'extrême, quitte à raconter des salades.. "s’efforce désormais de diffuser un nouveau système de paiement… qui ne nécessite plus d’authentification : c’est le paiement sans contact." Bel effet mais je suis désolé de vous l'apprendre, cette phrase est fausse. Il n'y a certes pas d'authentification client (seulement pour les cartes) mais la carte doit être authentifié pour réaliser une transaction. Ce n'est pas "open bar" en cas de perte ou vol par exemple (sans compter les différents seuils de sécurité : transaction par jour, seuil cumulé...) Ces risques sont bien souvent assumés par les banques (remboursement en cas de fraude) Par ailleurs, cet article occulte en grande partie le paiement mobile sans contact (qui est probablement le futur du sans contact). Dans ce cadre, l'authentification du client est régulièrement requise (paiement > 20€, risk management suivant le nombre de paiement effectué sans code PIN...) Encore une fois, en contradiction avec la phrase caricaturale du premier paragraphe. @Goshi Le CVV est demandé pour Amazon. Il ne l'ai pas seulement si la carte a été déjà enregistrée...

@Gael Gerard... Mouais, scepticisme pour scepticisme, je ne vois pas trop l'intérêt qu'aurait le CNRS à faire de la désinformation sur ce sujet. Par contre je comprends très bien l'énervement que peut susciter un article clair et argumenté sur les risques réels de la technologie NFC ... chez ceux qui ont intérêt à nous la vendre.

@Gael Gerard Je suis au regret de vous apprendre que cet article est vrai. En effet, nous pourrions même ajouter que les limites dont vous parlez 20€ 5 fois par jour sont effectives avec un paiement en € si vous simulez un paiement en devise étrangère ($ par ex) toutes les sécurité sautent et votre compte peut être vidé en un coup. (Voir l'article de la BBC. http://www.bbc.com/news/business-29861514 De plus des vidéos circulent (ex: http://protection-carte-bleue.fr ) qui démontrent l'extrême simplicité de collecte des données.

Je suis assez surpris et déçu de trouver sur CNRS Le Journal, ce genre d'article qui fait habituellement les choux gras des journaux gratuits. Pitié, ne nous ressortez pas le coup du pickpocketing sans contact avec-une-appli-téléchargée-sur-un-mobile-NFC... Oui ça marche en labo et en théorie, mais non en pratique !! Regardez quand vous payez sans contact : ça marche à 3cm, 4 maxi. Et encore avec un "bon" TPE chez un commerçant. Mais avec un smartphone Android en mode lecteur, le champ NFC émis est plus faible donc plutôt 2cm et il faut "bien viser". Donc à moins de porter sa carte visible dans la poche arrière de son jean et d'être "collé-serré" dans le métro, c'est plutôt compliqué (et risqué!) de scanner le carte à l'insu du porteur. Et tout ça pour récupérer des infos incomplètes pour payer sur internet (pas de CVV notamment)... Donc "retour sur investissement" et ratio risque/bénéfice de la fraude super faible... (et non, ça ne marche pas avec les iPhone 6 qui n'utilisent le NFC "que" pour Apple Pay et pas en mode lecteur...)

Aujourd'hui, nous sommes à la croisée des chemins à cause des élections présidentielles et nos médias ne semblent pas faire correctement leur travail. Qui parlera des conséquences si un Président trop proche des banques comme Mr Macron venait à être élu? comment utilisera-t-il les paiements sans contact pour privilégier ses amis banquiers? En effet , Nos députés sont sollicités par nos Banques pour voter une loi "sécuritaire": il s'agit d'interdire définitivement l'usage de la monnaie et des chèques afin de protéger soi-disant les populations contre les fraudes et le terrorisme. Les Banques ont leur propre motivation et elle n’est pas la protection des citoyens. Elles comptent instaurer pour seul et unique moyen de paiement les paiements virtuels (sans contact, via smartphone, puce rfid, etc _ moyens de paiement pourtant hautement piratables) ce qui leur permettra d’avoir le monopole TOTAL de l’économie d’un pays. Une fois généralisée dans de nombreux pays de l’Union Européenne, leur monopole sera tel qu’il est déjà prévu de mettre en place un système de taxes aberrantes qui toucheront directement nos concitoyens et ruinera les petits commerces. Tout d’abord il s’agira de taxer l’argent sur les comptes (vu qu’il n’y aura pas d’autres moyens d’avoir accès à son argent : chaque centime sera taxé). Ensuite, il s’agira de taxer chaque transaction : aussi bien pour recevoir son argent (comme par ex Paypal qui le fait déjà) que pour un achat. Forcément, cela finira par impacter notre pouvoir d’achat puisque cela se répercutera sur notre pouvoir d’achat et les petits commerces ne pourront pas suivre. Ces taxes commenceront par un taux assez bas mais n’en finira pas d’augmenter au fur et à mesure des années… quand on a le monopole d’une chose, rien de nous empêche d’en profiter. L’état ne pourra pas faire contrepoids face à cette situation car « quiconque contrôle 100% de l’argent... contrôle l’Etat, l’économie du dit Etat et par conséquent les populations ». Actuellement, les plus grandes industries, en prévision de cela, se mettent à créer leur propre banque afin de rester indépendantes. Malheureusement, cela va permettre à ces grandes entreprises de créer leur propre loi du marché. Nous subissons déjà tant le pouvoir des lobbystes tout puissant grâce à leur argent… Conférer un tel pouvoir aux banquiers est aberrant, surtout quand les Banques ne deviendront plus que virtuelles, sans guichet, donc sans aucun moyen de pression sur elles. Aussi par cette pétition, nous le peuple français dont le leitmotiv est la « liberté » ne saurions tomber sous le monopole d’une telle puissance monétaire. Nous exigeons qu’une loi soit votée afin d’empêcher tout député, tout président de faire voter cette loi qui ferait tomber notre économie entre les mains des banquiers. Nous exigeons une loi qui promulguerait notre monnaie liquide comme intouchable, comme étant un élément indispensable à notre liberté qu’on ne saurait interdire et que cela soit marqué dans le marbre dans la constitution Française et Européenne.

Je travaille en banque et je me fous de vendre ou ne pas vendre le sans contact... Ce que je constate c'est qu'à ce jour, aucune fraude au sans contact n'a été constatée malgré les millions de transactions quotidiennes. En revanche les fraudes sur internet avec utilisation des données de la carte (cryptogramme) sont légion. les fraudes aux faux chèques ou même chèques de banque sont en forte augmentation... En comparaison, le sans-contact est vraiment le mode de paiement le plus sécurisé à ce jour. De plus, pas de risque qu'un petit malin vous surveille en train de taper votre code secret et vous vole ensuite la carte. Les paiements sont remboursés par la banque en cas de contestation. La puce NFC reste muette si trop éloignée du lecteur (+ de 15mm) donc illisible "à distance". Je parie que ceux qui sont horrifiés par le sans-contact sont les mêmes qui laissent le cryptogramme sur leur carte alors que là se trouve à mon sens la vraie faille de la CB : en cas de perte ou de vol du support, et opposition tardive, la personne mal intentionnée aura tôt fait de dépenser à concurrence du plafond de la carte (que soit dit en passant les clients veulent le plus élevé possible pour ne jamais avoir à être bloqué. !..) Et voilà comment 3000€ disparaissent rapidement du compte... Avouez qu'on est loin des 60€ du sans-contact. Mon conseil du jour : allez tout de suite gratter votre cryptogramme avec un cutter après l'avoir soigneusement noté en lieu sûr ou gravé... dans votre mémoire !
Pour laisser votre avis sur cet article
Connectez-vous, rejoignez la communauté
du journal CNRS