Cartes bancaires sans contact NFC – Les risques encourus sont réels, comment s’en protéger

13
347

En France, il y a déjà plus de 18 millions de cartes bancaires qui disposent de la fonction de paiement sans contact NFC, imposée le plus souvent par la banque à l’insu du porteur. « N’importe qui peut lire votre carte bancaire avec un portable », alerte la Cnil.

Le pire dans tout ça ? L’affirmation de la CNIL est totalement vraie et justifiée ! Discrètement, nos cartes bancaires sont en train d’être équipées de la fonction « sans contact », qui permet de régler jusqu’à 20 € sans avoir à taper son code, en posant simplement la carte sur le terminal de paiement du commerçant. Ces dernières sont reconnaissables par le petit logo “radar” apposé dessus.

Sans le consentement du titulaire, la plupart des nouvelles cartes Visa et MasterCard sont désormais dotées d’une fonction dite « NFC » (pour Near Field Communication) qui n’a pas fait la preuve de sa sécurité absolue, loin s’en faut. La grande majorité des banques ne donnent pas le choix de refuser, les CB en sont automatiquement équipées…

L’absurdité absolue d’une situation qui ne devrait pas exister

Actuellement, la fraude bancaire liée au piratage engorge et plombe littéralement les organismes bancaires et financiers, surtout à l’heure où les carders (pirates informatiques adeptes du carding, ndlr) s’affichent un peu partout sur Internet sans même se cacher. Les débits frauduleux en France et dans le monde ne cessent d’augmenter, comme le démontre l’étude réalisée par l’ONDRP (Observatoire national de la délinquance et des réponses pénales) en collaboration avec l’Insee : 718 000 ménages français on été victime d’une fraude bancaire au cours d’une année !

Pourquoi donc créer et diffuser massivement un système NFC non sécurisé qui est déjà largement connu pour ses faiblesses et ainsi amplifier le phénomène ? C’est la question que l’on peut à juste titre se poser… soit disant que cette technologie “c’est l’avenir” !

Une vulnérabilité touchant le NFC datant de 2012 toujours pas corrigée

En 2012, Renaud Lifchitz, un ingénieur sécurité de British Telecom, avait pu démontrer que les données entre la carte et le terminal pouvaient être interceptées, dans un rayon d’une quinzaine de mètres, par n’importe qui disposant du matériel et des compétences adéquates. L’Américaine Kristin Paget, une autre spécialiste en sécurité, avait quand à elle prouvé qu’avec un faible budget, il était possible de lire à distance les données de son voisin dans les transports en commun et de procéder immédiatement à un paiement électronique avec ces données.

Mais ce n’est pas tout, puisque tout cela avait été confirmé par la CNIL, , la fameuse Commission nationale de l’informatique et des libertés, dont les experts avaient pu prouver que l’interception était tout à fait réalisable. Suite à cela, la CNIL a exigé des banques qu’elles enlèvent des données précieuses telles que les noms des titulaires et les dates d’échéance des cartes. Il n’en reste pas moins que les pirates potentiels peuvent toujours obtenir le numéro complet à 16 chiffres et l’historique des opérations de paiement et de retrait (jusqu’à 150 lignes sur une Visa Premier).

Sachez qu’à ce jour, la CNIL est apte à recevoir des plaintes de clients…

Le parcours du combattant pour refuser le NFC

Si la faille de sécurité est toujours présente sur les cartes, c’est pour la bonne raison qu’il est impossible de la corriger à moins de changer l’architecture technique sous-jacente de chaque carte de paiement sans contact, ce qui serait beaucoup trop cher ! Tiens tiens, cela ne vous rappelle pas l’histoire des distributeurs automatiques de billets (DAB) sous Windows XP, dont le support a été stoppé par Microsoft et que les banques ne sont pas en mesure de mettre à jour afin de les sécuriser de futurs vulnérabilités “0-Day” qui pourraient les impacter ?

Il faut savoir que la Banque de France oblige tous les organismes bancaires français de disposer d’une procédure pour désactiver le NFC à la demande des clients. Mia svoila, comme vous pouvez vous en douter, cette option est à éviter absolument pour une banque : d’une part, cela reviendrait à faire baisser le parc d’utilisateurs NFC et donc les chances de voir ce marché décoller enfin et d’autre part, c’est assez coûteux. « Les agences ne disposent pas des outils nécessaires pour faire ce genre de manipulation. Elles seraient donc contraintes d’envoyer la carte du client dans des ateliers dits de personnalisation. Le coût de l’opération est autour de 10 euros par carte », explique Nicolas Kerschenbaum, expert en sécurité chez Lexsi.

« N’importe qui peut lire votre carte bancaire avec un portable, alerte Stéphane Petitcolas, ingénieur à la CNIL. Nous demandons aux banques de respecter la loi Informatique et Libertés, à savoir d’informer leurs clients de cette fonction, et de ne l’activer qu’avec leur consentement. »

La plupart des établissements imposent au contraire cette fonction de paiement sans contact, et ceux qui donnent la possibilité de la désactiver facturent parfois l’opération.

Le plan secret de riposte des banques françaises en cas d’attaque

Alors qu’elles ont toujours minimisé le risque réel du piratage des cartes bancaires sans contact, les banques ont constitué discrètement un stock d’étuis anti-NFC, histoire d’être préparées en cas d’une vague de panique ou d’attaques de grande ampleur. Alors, parano ou juste bon sens ? Cela suffira t-il à protéger les utilisateurs ? « Poser, c’est payé ! » qu’ils disaient, aujourd’hui, on devrez plutôt traduire par « Poser, c’est piraté ! ».

Si les banques s’équipent ainsi, ce n’est pas par plaisir, mais par obligation : « Les banques doivent avoir un stock équivalent à 10% du nombre de cartes NFC en circulation. C’est une instruction de la Banque de France », explique Eric Granet, directeur général de DSD Image, un fabricant d’étuis anti-NFC qui a été approché par plusieurs responsables bancaires. En effet, les 10% sont un seuil arbitraire jugé suffisant pour parer à un afflux de demandes… suite à une cyberattaque massive, un vent de panique ou une brusque prise de conscience du danger par les utilisateurs.

Mais les étuis anti-NFC, permettent-ils de lutter réellement contre le piratage ? « C’est efficace. Cela revient à loger la carte bancaire dans une cage Faraday qui bloque les ondes. En revanche, on n’est pas protégé au moment du paiement, car il faut alors sortir la carte de l’étui », explique Nicolas Kerschenbaum. De 15 à 50 centimes l’unité, cela représente un moindre mal pour les banques afin de rassurer les clients sans avoir à entamer de procédure coûteuse de désactivation du NFC.

Le piratage à distance peut se faire en toute discrétion

Imaginez un pirate qui se serait procuré l’équipent électronique nécessaire. Ce dernier va alors se positionner à proximité d’une caisse(un parking souterrain à grand débit par exemple) et pourrait siphonner en toute impunité tous les clients qui passent. Par ailleurs, l’expert en sécurité chez Lexsi précise clairement que le budget pour se procurer ce type de matériel est ridicule : « Un investissement de 300 euros est suffisant pour fabriquer un dispositif permettant d’aspirer les données d’une carte à quelques mètres ».

Pour autant, force est de constater que pour l’instant, il y a peu d’histoires concernant le piratage NFC étant de notoriété publique à ce jour. « Il y a eu un cas avec un dispositif posé sur un distributeur de banques, et c’est à peu près tout. Il faut dire que le piratage par NFC ne laisse aucune trace. Il donc très difficile de prouver, à postériori, qu’une fraude trouve son origine dans un vol de données par NFC. Par ailleurs, pour les pirates, le fishing reste quand même une technique plus confortable et plus économique pour voler des numéros de carte : il suffit de lancer des emailing par des botnet, tout se fait à distance et de manière anonyme », poursuit Nicolas Kerschenbaum.

Et tout cela, c’est sans compter l’avènement du paiement NFC via smartphone, qui prend de plus en plus d’ampleur…

Comment neutraliser soit-même le NFC sur sa carte bancaire

Attention, cela comporte un risque important d’endommager sa carte de paiement. Faites-le donc en connaissance de cause. Afin de neutraliser vous-même la puce NFC intégrée, vous devrez être agile et un tant soit peu hardi de vos dix doigts. Attention, cette action n’est probablement pas encouragée par votre établissement bancaire et pourrait vous attirer des ennuis !

Munissez-vous tout d’abord d’une lampe torche puissante mais ne dégageant pas de chaleur excessive, cela endommagerait votre CB. La ou les puissantes LED composant le flash de votre smartphone peuvent en outre s’avérer être une bonne alternative.

Par transparence, avec la lampe de poche, repérer l’antenne NFC au verso de la carte : il s’agit de la piste qui fait plusieurs tours et qui sort de la puce :

nfc1

Au feutre, marquez sur la carte l’endroit où percer cette antenne, en évitant les zones de la puce et de la bande magnétique bien entendu !

nfc2

Calez bien la carte (dans un étau par exemple), et à l’aide d’un cutter ou d’un petit foret, creusez la carte jusqu’à ce que vous endommagiez l’antenne. Il n’est pas nécessaire de transpercer la carte. En option, vous pouvez reboucher ou recolorer le trou pour plus de discrétion.

La technique présentée ci-dessus a été publiée par Korben.

Conclusion

Pour conclure cet article, retenez qu’il faut être conscient des risques liés au paiement sans contact, mais ce n’est pas la peine de paniquer pour autant. Les personnes très sensibles à la sécurité sont invitées à faire désactiver cette fonction, ou alors de se procurer un étui ou un portefeuille anti-NFC, ce qui permet quand même de limiter l’exposition au risque.

Après, sachez que lorsqu’une fraude est détectée, il faut encore réussir à la prouver : si vous vous faites voler votre carte bancaire sans contact, la personne malveillante pourra alors l’utiliser pour de multiples achats ne dépassant pas les 20 €, et ce, jusqu’à ce que votre plafond configuré soit atteint. 

13 Commentaires

  1. bonjour on ma donné 2 cartes avec chacun un logo radar sans me prévenir je leur est demandé l’annulation des deux cartes y mon dit qui j’allais faire le faire mais cas des qui me donneront la nouvelle carte j’aurais officiellement le logo radar donc pour obtenir le droit de faire valoir ces droits au lois de l’informatique il yen a que un qui peut faire pression sur les banque privée c’est le gouvernement on va pas dans les banques pour qui nous donnent des produis ou on va ce faire piraté sinon il faudra retourner a régler nos produit e chèque
    cordialement
    Antoine

    • Bonjour,

      Notez que même les CB avec le paiement sans contact désactivé conserve le logo radar dessus (elles sont toutes imprimées comme ça sans exception !).

      Donc ensuite, vous n’avez qu’à demander la désactivation “informatique” logiquement sur la nouvelle CB. Pensez à vérifier en tentant un paiement sans contact chez un commerçant ensuite. S’il passe pas, bingo.

  2. C’est un début technologique pour un monde à la big Brother, il y a un danger pour les libertés à utiliser une puce NFC RFID comme moyen d’identification et de paiement cela correspond exactement au futur système économique mondial annoncé dans la bible ; l’apocalypse chapitre 13 verset 16 il y a plus de 2000 ans :

    “Et elle fit que tous, petits et grands, riches et pauvres, libres et esclaves, reçoivent une marque sur leur main droite ou sur leur front et que personne ne puisse acheter et vendre sans avoir la marque le nombre de la bête ou le nombre de son nom, c’est ici la sagesse! Que celui qui a de l’intelligence compte le nombre de la bête ; car c’est un nombre d’homme et ce nombre est six-six-six.”

    Regardez comment fonctionne un code barre, le 6 6 6 est déjà caché partout sur tous les produits de consommation que nous achetons, même sur votre nouvelle carte d’électeur (pour les Français) ! Ce sont les 2 petits traits (barre de garde ou guard bar en Anglais) à gauche du code-barres, du milieu, et à droite qui en langage code-barres donne le 6, les chiffres de la partie droite du code barre ne sont pas cryptés, si vous avez un 6 au-dessus vous avez systématiquement les 2 petits traits (pour quelle raison occulte cette norme a été validé dans le monde entier?). Je n’invente rien, encore simple à vérifier sous Google avec des dessins pour mieux comprendre (en tapant : barre code et 666, puce verychip ) …

    après le futur krach économique à cause de la dette on va passer au mode d’argent électronique (plus de billets et de liquide) puis à la nano puce RFID implantée sur la main droite ou le front au nom de la sécurité et de la santé pour les épidémies (avec une modification faustienne de notre ADN en bonus) il faudra faire le bon choix …
    on n’arrête pas le progrès, science sans conscience n’est que ruine de l’âme.
    «Le monde est dangereux à vivre ! Non pas tant à cause de ceux qui font le mal, mais à cause de ceux qui regardent et laissent faire.» Albert Einstein

  3. Pour ma part j’ai testé de nombreuses applications Android pour tester les informations recueillies par les pirates. (NFCProxy, Cardreader, …)

    J’ai testé une protection pour CB

    Ma carte semble à présent bien protégée car aucune de ces applications ne fonctionnent avec cet étui.

    Mais existe t’il d’autres applications pour lire les cartes NFC / RFID?

  4. On peut régler le plafond maximum pour la paiement NFC ?
    Parce que dans ce cas, je le mets à zéro, ça va être radical.
    A noter que le piratage et vol d’argent n’est pas le seul souci : avec un smartphone NFC, je mets le smartphone près d’un sac à main et hop je lis la liste des dernières transactions d’une CB NFC.
    Sympa la confidentialité des données…

Les commentaires sont fermés.