Korben, roi d’internet, logo bébé avec des lunettes en mode thug life Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Korben Upgrade your mind

L’incroyable FAIL des cartes bancaires sans contact (NFC)

L’ami Renaud Lifchitz, ingénieur sécurité chez BT (anciennement British Telecom) a mis au jour un gros problème de sécurité dans les nouvelles cartes bancaires utilisant la technologie NFC. Cette techno pour ceux qui ne connaissent pas encore, ça veut dire « Near Field Communication » et ça permet de faire tout un tas de choses sans contact… Donc avec une carte bancaire, de payer sans avoir à mettre sa carte dans une machine.

Génial hein ?

Mais bizarrement, alors que techniquement, il est parfaitement possible de faire des protocoles de communication sans contact et sécurisés comme c’est le cas sur le pass Navigo, ici Visa/Mastercard n’ont pas pris la peine de chiffrer le protocole utilisé sur ses cartes bancaires, ni même de mettre en place une authentification.

Concrètement, cela veut dire qu’avec un simple lecteur NFC, n’importe qui peut dérober toutes les informations du porteur comme la civilité, les nom et prénom, le numéro de carte, sa date d’expiration, et la liste des 20 dernières transactions sur la carte avec leur montant…etc

« MOUAHAHA » me direz-vous ? Et vous aurez raison. Et vu que c’est sans contact, ça devient facile par exemple d’aspirer ces infos, simplement en vous rapprochant d’un sac ou d’une poche avec le lecteur qui va bien. Il est même tout à fait faisable de dupliquer la carte (Yes!) puisque dans la puce NFC, on retrouve les infos de la bande magnétique. Du coup, dans certains pays étrangers, où sur les bornes qui se contente de la bande magnétique, ces copies de cartes peuvent parfaitement fonctionner.

D’après Renaud, cette négligence est due au fait que, je cite : « le protocole (EMV – celui des cartes traditionnelles) a été repris tel quel et utilisé ‘dans les airs’ sans se poser plus de questions ».

Quelle bande de sacrés rigolos au GIE !! D’ailleurs, la CNIL, le Ministère des Finances, le Ministère de l’Intérieur et toute la cavalerie sont sur le coup pour évaluer les risques et surtout demander des comptes au GIE. Petit détail amusant, sur le site de Visa, plus précisément dans la FAQ, on trouve la citation « Epic bullshit » suivante :

Au niveau technique, la fonctionnalité sans contact est basée sur une carte à puce développée à partir de la technologie EMV, qui protège les données du porteur par des cryptogrammes dynamiques très sécurisés.
D’ores et déjà déployée à grande échelle depuis plusieurs années dans le monde, la technologie sans contact s’est avérée, à l’usage, être un moyen de paiement très sécurisé.

Avec un simple dongle NFC USB à 40 €, et une application dont le code source a été mis en ligne ici, il est possible de récupérer toutes ces infos. Mais on peut très bien imaginer un portage sur Android qui fonctionnerait parfaitement avec des téléphones compatibles NFC comme le Samsung Nexus S. En fait, ce portage existe déjà et le code source devrait bientôt sortir…

Voici les slides que Renaud a présentées lors de la conférence Hackito Ergo Sum :
Hes2012 Bt Contact Less Payments In Security

Et pour ceux qui voudraient voir une démo, la vidéo est par ici.

En attendant que le GIE corrige cette passoire qu’est la carte NFC, je crois que je vais rester avec ma bonne vieille carte bleue pas plus sécurisée sauf que pour me piquer mes infos, le mec ne pourra pas me coller un lecteur aux fesses et devra me péter la gueule avant

Merci à Renaud pour les explications et bon courage au GIE X-D


SQLI recrute un Directeur de Projets Informatique Senior

Nous favorisons la mobilité au sein du Groupe afin de répondre au mieux aux souhaits de chacun

Nous recrutons des férus de technologies, des talents créatifs, de jeunes consultants ainsi des jeunes diplômés, issus d’écoles d’ingénieurs, de commerce ou d’universités, en développement, consulting, UX/UI, mais aussi des experts en agilité, architecture et management de projet.

Sous la responsabilité du Delivery Manager, vous aurez en charge le pilotage de grands projets et/ou de projets stratégiques en nouvelles technologies, d’équipes multi-compétences et de partenaires.

Vous aurez pour principale mission :

Assurer le pilotage de ces projets et mobiliser les énergies pour en garantir l’aboutissement dans le respect des engagements et des enjeux stratégiques
Assumer la responsabilité globale du projet et la coordination des différents acteurs (au sein de SQLI mais aussi différents départements chez le client, éditeurs, sous-traitants)
Conseiller et assurer le soutien aux Chefs de projet

Et bien d’autres fonctions qui vous assurerons des responsabilités riches et variées, bref l’ennui est impossible.

Découvrir le job