L’ami Renaud Lifchitz, ingénieur sécurité chez BT (anciennement British Telecom) a mis au jour un gros problème de sécurité dans les nouvelles cartes bancaires utilisant la technologie NFC. Cette techno pour ceux qui ne connaissent pas encore, ça veut dire « Near Field Communication » et ça permet de faire tout un tas de choses sans contact… Donc avec une carte bancaire, de payer sans avoir à mettre sa carte dans une machine.
Génial hein ?
Mais bizarrement, alors que techniquement, il est parfaitement possible de faire des protocoles de communication sans contact et sécurisés comme c’est le cas sur le pass Navigo, ici Visa/Mastercard n’ont pas pris la peine de chiffrer le protocole utilisé sur ses cartes bancaires, ni même de mettre en place une authentification.
Concrètement, cela veut dire qu’avec un simple lecteur NFC, n’importe qui peut dérober toutes les informations du porteur comme la civilité, les nom et prénom, le numéro de carte, sa date d’expiration, et la liste des 20 dernières transactions sur la carte avec leur montant…etc
« MOUAHAHA » me direz-vous ? Et vous aurez raison. Et vu que c’est sans contact, ça devient facile par exemple d’aspirer ces infos, simplement en vous rapprochant d’un sac ou d’une poche avec le lecteur qui va bien. Il est même tout à fait faisable de dupliquer la carte (Yes!) puisque dans la puce NFC, on retrouve les infos de la bande magnétique. Du coup, dans certains pays étrangers, où sur les bornes qui se contente de la bande magnétique, ces copies de cartes peuvent parfaitement fonctionner.
D’après Renaud, cette négligence est due au fait que, je cite : « le protocole (EMV – celui des cartes traditionnelles) a été repris tel quel et utilisé ‘dans les airs’ sans se poser plus de questions ».
Quelle bande de sacrés rigolos au GIE !! D’ailleurs, la CNIL, le Ministère des Finances, le Ministère de l’Intérieur et toute la cavalerie sont sur le coup pour évaluer les risques et surtout demander des comptes au GIE. Petit détail amusant, sur le site de Visa, plus précisément dans la FAQ, on trouve la citation « Epic bullshit » suivante :
Au niveau technique, la fonctionnalité sans contact est basée sur une carte à puce développée à partir de la technologie EMV, qui protège les données du porteur par des cryptogrammes dynamiques très sécurisés.
D’ores et déjà déployée à grande échelle depuis plusieurs années dans le monde, la technologie sans contact s’est avérée, à l’usage, être un moyen de paiement très sécurisé.
Avec un simple dongle NFC USB à 40 €, et une application dont le code source a été mis en ligne ici, il est possible de récupérer toutes ces infos. Mais on peut très bien imaginer un portage sur Android qui fonctionnerait parfaitement avec des téléphones compatibles NFC comme le Samsung Nexus S. En fait, ce portage existe déjà et le code source devrait bientôt sortir…
Voici les slides que Renaud a présentées lors de la conférence Hackito Ergo Sum :
Hes2012 Bt Contact Less Payments In Security
Et pour ceux qui voudraient voir une démo, la vidéo est par ici.
En attendant que le GIE corrige cette passoire qu’est la carte NFC, je crois que je vais rester avec ma bonne vieille carte bleue pas plus sécurisée sauf que pour me piquer mes infos, le mec ne pourra pas me coller un lecteur aux fesses et devra me péter la gueule avant
Merci à Renaud pour les explications et bon courage au GIE X-D