Le NFC, c’est la même technologie RFID que celle que vous trouvez dans le pass navigo, si vous êtes parisien, et ça ne sert pas qu’à faire biper et ouvrir les portes dans les couloirs du métro, ça enregistre aussi tout un tas d’informations. Cette technologie équipe, dès aujourd’hui, les cartes de paiement dites "sans contact" qu’on vous envoie sans vous demander votre avis au renouvellement de votre carte. Or, cette technologie n’est pas vraiment sécurisée et le GIE cartes bancaires est au courant.
Renaud Lifchitz travaille depuis plusieurs mois à prouver que le système présent dans ces cartes n’est pas du tout sécurisé. Il a d’ailleurs fait plusieurs conférences sur ce thème à PSES (en français) [1] et à HES (en anglais)[2]. Renaud n’a eu qu’à poser une carte de paiement sans contact sur son capteur usb et via un petit programme dont il a publié ici le code source [3], toutes les informations utiles à une personne malveillante s’affichent sans problème. Il a aussi créé une variante mobile, même système, ce qui pourrait transformer un tour dans le métro à l’heure de pointe en vraie chasse au trésor !
Son constat est assez surprenant, avec un simple lecteur RFID et un programme dont il a mis le code source sous licence libre, Renaud Lifchitz arrive à lire les 10 derniers paiements de la carte, le nom de son détenteur et la date de validité. De quoi faire quelques achats sur Internet sans être inquiété.
Qu’il s’agisse de médias spécialisés en sécurité informatique[4], en technologiques ou de journaux généralistes [5], l’information est passée un peu partout et il est presque impossible aujourd’hui pour le GIE cartes bancaires de ne pas être au courant. Dans le même temps, on essaie de nous les vendre, ces cartes sans contact, à grands coups de sponsoring des JO londoniens [6]. La période semble pourtant propice aux arnaques à la carte bancaire via Internet, d’après Les Echos et la BCE [7].
Renaud n’est pourtant pas le seul à s’y intéresser [8], mais les représentants du GIE, interrogés à plusieurs reprises [5], ne s’en font pas des masses alors que la CNIL s’intéresse à ce problème [9], sans trop avoir les moyens, notamment financiers, d’agir.
Au GIE, ils ont vu un peu de partout que ce qu’ils nous vendent, c’est hyper mal sécurisé mais ça ne les embête pas le moins du monde... comme s’ils voulaient nous vendre tout bientôt et plus cher une quelconque protection ou une carte sans contact seconde génération à partir de laquelle on ne pourra pas récupérer tes données.
Même à 15 mètres
En bref, on peut lire à livre ouvert, moyennant un lecteur NFC USB qui coûte quelques dizaines d’euros et un programme. Le tout tournant dans un téléphone portable. Il faute juste être proche de la victime, dans la version low cost de son hack. Par exemple dans une queue à la boulangerie. Il est ainsi très aisé de récupérer le contenu de la bande magnétique et sa tripotée de données personnelles pour faire un double de la carte : nom, prénom, âge, numéro complet de la carte bancaire, historique des transactions, etc.
Mieux, équipé de capteurs plus puissants, pas besoin d’être collé à la puce RFID. Avec un récepteur radio éloigné d’à peu près cinq mètres et relié au programme Audacity sur un ordinateur, on voit qu’au moment du bip de la puce RFID, le signal capté se dessine sur ordinateur... Selon Renaud Lifchitz, le signal est capté jusqu’à 15 mètres. La personne qui trouve un capteur bien puissant n’aura qu’à récolter vos données bancaires sagement assise à la terrasse d’un café.
En d’autres termes, le GIE cartes bancaires prend le consommateur pour une buse et qu’on lui vende un produit dont il sait que les données privées fuitent.
[1] http://lacantine.ubicast.eu/videos/permalink/518/
[2] http://www.ustream.tv/recorded/21805507
[3] https://code.google.com/p/readnfccc/source/browse/#svn%2Ftrunk%2FNFCCreditCardTool
[4] https://webcache.googleusercontent.com/search?q=cache:RM8E2I-y00cJ:actualitedu.net/2012/04/24/la-technologie-nfc-des-cartes-bancaires-pas-du-tout-securisee-dapres-un-article-de-pc-inpact/+&cd=1&hl=fr&ct=clnk&gl=fr&client=ubuntu
[5] http://www.dna.fr/edition-de-strasbourg/2012/07/25/plus-de-peur-que-de-piratage
[6] http://www.galaxy-siii.fr/galaxy-siii-paiment-nfc-paywave-visa/
[7] http://www.lesechos.fr/26/07/2012/LesEchos/21235-129-ECH_la-fraude-a-la-carte-bancaire-via-internet-se-repand--selon-la-bce.htm
[8] http://money.cnn.com/2012/07/26/technology/nfc-hack/index.htm
[9] http://www.pcinpact.com/news/70807-carte-paiement-nfc-cnil-enquete-securisation.htm
Le GIE des banques : https://fr.wikipedia.org/wiki/Groupement_des_Cartes_Bancaires_CB