Une nouvelle faille de sécurité découverte dans les cartes bancaires sans contact
Il y a quelque temps maintenant, j’avais été contacté par Renaud Lifchitz qui avait soulevé un gros problème d’absence de chiffrement dans le protocole de communication des cartes bancaires sans contact (NFC).
Ses révélations ont fait peu de bruit et les banques rassurent les clients “paranos” en leur expliquant que même si ils se font voler, le montant maximum prélevé n’est que de 20 €. (Et qu’ils remboursent et que de toute façon, t’as pas le choix, toutes les cartes sont NFC maintenant).
Hé oui, n’importe quel tocard avec un lecteur NFC (comprenez : Un smartphone) et l’application qui va bien, peut percevoir de l’argent simplement en s’approchant de votre poche où se trouve votre carte bancaire Curve.
C’est magique, car il n’y a pas de contact et pas de code à taper ! On gagne genre 30 secondes à la caisse, mais on se balade avec toutes ses infos bancaires en clair sur soi.
Seulement, des chercheurs en sécurité de l’Université de Newcastle au Royaume-Uni viennent de trouver un moyen de détourner beaucoup plus d’argent via un paiement sans contact. Et vous allez voir, c’est très simple…
Une faille dans le protocole de paiement permet de lancer des paiements d’un montant maximum (et théorique) de 999 999,99 $, car la limite des 20 € (enfin, là c’est au Royaume-Uni donc c’est 20 £, mais ça fonctionne pareil chez nous) n’a aucun effet si le paiement est demandé dans une devise étrangère.
D’après Visa qui a été interrogée par la BBC, ce genre de fraude serait très difficile à réaliser sur le terrain, car il y a d’autres “sécurités” censées empêcher ça. Je veux bien croire qu’une banque n’autorisera jamais un transfert de 999 999 $ en NFC, mais passer de fraudes de 20 € par-ci, par-là, à des fraudes de 100 € voire 500 €, ça ne me semble pas délirant.
Après, ça doit dépendre des banques et des protocoles décidés avec le GIE des cartes bancaires…Maintenant pour vous protéger, 3 solutions possibles :
- Vous battre avec votre banque pour réclamer une carte qui ne soit pas NFC
- Acheter un portefeuille ou un étui qui vous protégera de ce genre d’attaques. Moi j’ai eu ça comme portefeuille à Noel dernier et j’en suis très content.
- “Customiser” votre carte pour retirer la fonctionnalité NFC.
Entièrement dédiée à la cybersécurité, l'école Guardia est accessible soit directement après le bac (post-bac), soit après un bac+2 ou bac+3. En rejoignant l'école Guardia, vous deviendrez développeur informatique option cybersécurité (Bac+3) ou expert en cybersécurité (Bac+5).