Une nouvelle faille de sécurité découverte dans les cartes bancaires sans contact

@Korben — 5 novembre 2014

Il y a quelque temps maintenant, j’avais été contacté par Renaud Lifchitz qui avait soulevé un gros problème d’absence de chiffrement dans le protocole de communication des cartes bancaires sans contact (NFC).

Ses révélations ont fait peu de bruit et les banques rassurent les clients « paranos » en leur expliquant que même si ils se font voler, le montant maximum prélevé n’est que de 20 €. (Et qu’ils remboursent et que de toute façon, t’as pas le choix, toutes les cartes sont NFC maintenant).

Hé oui, n’importe quel tocard avec un lecteur NFC (comprenez : Un smartphone) et l’application qui va bien, peut percevoir de l’argent simplement en s’approchant de votre poche où se trouve votre carte bancaire Curve.

C’est magique, car il n’y a pas de contact et pas de code à taper ! On gagne genre 30 secondes à la caisse, mais on se balade avec toutes ses infos bancaires en clair sur soi.

Seulement, des chercheurs en sécurité de l’Université de Newcastle au Royaume-Uni viennent de trouver un moyen de détourner beaucoup plus d’argent via un paiement sans contact. Et vous allez voir, c’est très simple…

Une faille dans le protocole de paiement permet de lancer des paiements d’un montant maximum (et théorique) de 999 999,99 $, car la limite des 20 € (enfin, là c’est au Royaume-Uni donc c’est 20 £, mais ça fonctionne pareil chez nous) n’a aucun effet si le paiement est demandé dans une devise étrangère.

D’après Visa qui a été interrogée par la BBC, ce genre de fraude serait très difficile à réaliser sur le terrain, car il y a d’autres « sécurités » censées empêcher ça. Je veux bien croire qu’une banque n’autorisera jamais un transfert de 999 999 $ en NFC, mais passer de fraudes de 20 € par-ci, par-là, à des fraudes de 100 € voire 500 €, ça ne me semble pas délirant.

Après, ça doit dépendre des banques et des protocoles décidés avec le GIE des cartes bancaires…Maintenant pour vous protéger, 3 solutions possibles :

Vous battre avec votre banque pour réclamer une carte qui ne soit pas NFC
Acheter un portefeuille ou un étui qui vous protégera de ce genre d’attaques. Moi j’ai eu ça comme portefeuille à Noel dernier et j’en suis très content.
« Customiser » votre carte pour retirer la fonctionnalité NFC.

Photo CC Wikipedia et Source

Que faire après le bac quand on est passionné de cybersécurité ?

Entièrement dédiée à la cybersécurité, l’école Guardia est accessible soit directement après le bac (post-bac), soit après un bac+2 ou bac+3. En rejoignant l’école Guardia, vous deviendrez développeur informatique option cybersécurité (Bac+3) ou expert en cybersécurité (Bac+5).

Cliquez ici pour en savoir plus

Lien sponsorisé

Sécurité

Concevez des interfaces adaptatives comme un pro grâce aux CSS Grid Layout de Penpot

Vous en avez assez de galérer avec le positionnement de vos éléments et la création de designs responsives ?

Découvrez comment les CSS Grid Layout de Penpot révolutionnent la conception d’interfaces. Grâce à cet outil intuitif, créez facilement des mises en page complexes et adaptatives en quelques clics.

Définissez vos grilles, placez vos composants et laissez Penpot générer le code CSS pour vous.

Votre productivité va exploser !