Publié par Julien L., le Vendredi 11 Mai 2012

NFC : la CNIL vérifie la sûreté des paiements sans contact

La CNIL vient d'ouvrir une enquête sur l'utilisation de la technologie NFC sur les cartes bancaires afin de vérifier que les paiements sans contact sont sécurisés. Le mois dernier, les travaux d'un ingénieur ont mis en lumière des manquements dans ce domaine.

Les communications en champ proche sont-elles suffisamment sécurisées ? C'est à cette question que la CNIL entend répondre suite à la publication en avril d'un rapport révélant de sérieuses faiblesses dans la technologie NFC employée sur les cartes bancaires sans contact. Selon les travaux de Renaud Lipchitz, ingénieur chez British Telecom, certaines informations échangées ne sont pas protégées.

S'il est avéré, ce défaut de sécurisation pose un double problème. Non seulement il expose les données personnelles du porteur de la carte de paiement, mais en plus il expose les transactions bancaires lors d'un achat. Sans chiffrement adéquat, les éléments transitant par NFC peuvent être potentiellement captés par un tiers malveillant. D'où l'intervention de la CNIL.

"La CNIL réalise donc actuellement des investigations techniques afin d'identifier d'éventuels problèmes de sécurité et d'évaluer leurs conséquences en termes d'impact sur la vie privée des porteurs de carte" annonce l'autorité dans un communiqué. Et de rappeler que "les organismes mettant en œuvre des traitements informatiques doivent assurer la sécurité des données qu'ils traitent".

L'enquête conduite par la CNIL, si elle vise à mettre au jour les éventuelles défaillances de la technologie NFC au sein des cartes bancaires, ne devrait pas contribuer à rassurer les Français. En février, un sondage conduit par l'IFOP a montré que 64 % des sondés sont opposés aux communications en champ proche. Début 2011, ils n'étaient "que" 59 %.

Publié par Julien L., le 11 Mai 2012 à 10h59
 
7
Commentaires à propos de «NFC : la CNIL vérifie la sûreté des paiements sans contact»
Inscrit le 23/11/2011
168 messages publiés
Le problème ne vient pas vraiment du NFC qui propose des normes pour le chiffrages des communications.
Le problème vient que les fabricants de cartes bancaires sans contacte n'ont pas implémentés la partie sécurité du NFC dans leurs solutions et toutes les données sont échangé en claires.

Du coup forcément ce n'est sécurisé.
Inscrit le 31/03/2009
623 messages publiés
Déjà que les architectures câblées n'ont pas de sécurité à 100% alors les protocoles wireless...
Quand à leurs analyses de sécurité en ce qui me concerne je trouve que cela ne vaut rien. Ils pensent qu'un protocole est sécurisé (admettons qu'ils ont raison) qu'en sera il dans 10 ans?

Le wireless ça pue. (ouais je suis comme ca j'aime bien les opinions pondérés)
Inscrit le 23/11/2011
168 messages publiés
Non mais là le truc c'est qu'il n'est même pas sécurisé en faite. Tout passe en claire.
Inscrit le 11/05/2012
39 messages publiés
Des trucs aussi "sensibles" qui ne sont même pas chiffrés , c'est une blague... On ne demande pas du RSA 2048 mais au moins de l'AES avec une clé convenable
Inscrit le 09/02/2009
1798 messages publiés
Le problème n'est pas exactement là où on le pense . . .

Les données qui transitent en "clair" dans la liaison NFC sont plus ou moins les mêmes qui transitent en clair lorsqu'on utilise la bande magnétique.

La distance de lecture d'une bande magnétique étant inférieure au millimètre, difficile de récupérer les informations sans "accéder" physiquement à la carte . . .
En NFC, la distance de lecture est théoriquement de moins de 15 centimètres, ce qui pourrait expliquer pourquoi "ILS" se sont dit qu'il faudrait aussi un accès physique à la carte pour en lire le contenu "en clair", et qu'il n'était donc pas nécessaire de rajouter un couche de chiffrement pour les protéger . . . (Appât du gain, quand tu nous tiens )

Sauf que voilà, avec un lecteur NFC "débridé" on peut interroger une puce NFC à une distance de 1 à 3 mètres, et avec un dispositif d'écoute amplifié, on peut "sniffer" le signal d'une transaction à 15 mètres

Résultat : Quand on se balade dans la rue ou dans un magasin avec une CB à puce NFC, c'est comme si on mettait à disposition la bande magnétique de notre CB à n'importe-quel individu situé à moins de 3 mètres . . . Ou encore : Il suffirait de s'installer à la terrasse d'un café pour "sniffer" tous les paiements effectués en NFC au café d'en face . . .

Bref . . . EPIC FAIL . . . et ça risque collecter du numéro de CB à la pelle chez les Organisations Mafieuses
Inscrit le 09/02/2009
1798 messages publiés
Au passage : Article de Korben , avec les Slides en question
Inscrit le 11/05/2012
1 messages publiés
Déjà évoqué chez korben mais il n y a aucune faille ici
Le fait que les infos ne soient pas chiffrées ne signifient pas que vous pouvez les comprendre et les lire
Il y a des clés entre le terminal et les cartes et ça c'est très bien sécurisé
Bref quand vous parlerez de techno et,mécanismes dont vous connaissez les spécificités on vous appèlera mais les commentaires précédents sont assez risibles

Vous pensez que votre pass navigo chiffre les communications quand vous passez au portique métro ? Nan désolé
Répondre

Tous les champs doivent être remplis.

OU

Tous les champs doivent être remplis.

FORUMS DE NUMERAMA
Poser une question / Créer un sujet
vous pouvez aussi répondre ;-)
Numerama sur les réseaux sociaux
Mai 2012
 
Lu Ma Me Je Ve Sa Di
30 1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30 31 1 2 3
4 5 6 7 8 9 10