Publié le : 10 juin 202111 mins de lecture
« Ça fera 12,95 » dit la dame à la caisse du supermarché. Vous sortez votre portefeuille et vous tapez sur le terminal, vous attendez une seconde puis vous entendez le bip, le paiement est effectué ! Une carte de paiement sans contact est très pratique. Vous n’avez pas besoin de le passer dans une machine, de vous souvenir d’un code PIN, de le signer avec un vieux stylo à bille ou de chercher des pièces de monnaie dans votre portefeuille. Il suffit d’un léger coup de fil et vous avez payé. Les caissiers sont également enthousiasmés par les paiements sans contact. Le paiement est plus rapide et augmente la « bande passante » du caissier, le « goulot d’étranglement » dans le supermarché.
Cependant, aussi facile qu’il soit de payer avec de telles cartes, il pourrait être tout aussi facile de leur voler de l’argent. Des criminels pourraient-ils facilement s’approcher de votre poche avec un lecteur caché et voler l’argent de la carte ? Pour le savoir, des études de nombreux rapports de conférences de hackers ont été menées et les avis des représentants de banques ont été entendus. Les réactions ont été positives, mais avec quelques inconvénients mineurs.
Le fonctionnement des cartes sans contact
Les cartes sans contact fonctionnent avec la NFC (Near Field Communication, une sorte de technologie basée sur la RFID). La carte contient une puce et une antenne qui répondent aux demandes d’un terminal de point de vente sur la fréquence 13,56 MHz. Les différents systèmes de paiement utilisent leurs propres normes : Visa payWave, MasterCard PayPass, American ExpressPay, etc. Mais ils utilisent tous la même approche et la même base technologique.
La portée des transmissions NFC est courte, moins de deux centimètres. La meilleure protection est donc physique. Le lecteur doit être à proximité immédiate de la carte, et il est presque impossible de le faire en secret. Dans le même temps, cependant, vous pourriez utiliser un lecteur modifié qui offre une plus grande portée. Par exemple, des chercheurs de l’université du Surrey ont montré qu’un scanner compact peut lire les données NFC à une distance de 80 centimètres.
Un tel appareil pourrait envoyer des demandes de cartes sans contact dans le métro, dans les centres commerciaux, dans les aéroports et dans tout autre endroit où il y a beaucoup de monde. Dans de nombreux pays, on trouve déjà des cartes compatibles NFC dans un portefeuille sur deux, de sorte que les criminels pourraient trouver de nombreuses victimes.
Et on pourrait aller encore plus loin et travailler sans scanner personnalisé ni proximité physique. Une manière élégante d’éliminer la distance a été présentée par les pirates informatiques espagnols Ricardo Rodrigues et Jose Villa lors de la conférence Hack in the Box. La plupart des smartphones actuels sont équipés d’un module NFC. Et les smartphones sont souvent situés à proximité du portefeuille, par exemple dans un sac à main ou une poche de pantalon. Rodrigues et Villa ont donc présenté un concept de cheval de Troie Android qui transforme les smartphones infectés en une sorte de transpondeur NFC.
Dès qu’un smartphone compromis s’approche d’une carte d’argent sans contact, il signale aux criminels qu’il y a une possibilité de transaction. Les fraudeurs activent alors un terminal de point de vente ordinaire et placent leur smartphone compatible NFC juste à côté de ce terminal. Cela crée une sorte de « pont » sur Internet entre la carte NFC et le terminal NFC, quelle que soit la portée du terminal. Le cheval de Troie peut être diffusé à l’aide de méthodes standard, telles qu’un paquet de logiciels malveillants et une application payante piratée. La seule exigence pour ce scénario est Android 4.4 ou plus. Et il n’est même pas nécessaire que les criminels obtiennent un accès à la racine, même si cela serait pratique pour laisser le cheval de Troie fonctionner même lorsque le téléphone est verrouillé.
Le cryptage
Empêcher une carte de s’approcher d’un faux lecteur n’est que la moitié de la protection. L’autre partie, plus importante, est le cryptage. Les transactions sans contact sont protégées par la même norme EMV que celle qui protège les cartes normales contenant une puce EMV. Si une bande magnétique peut facilement être clonée, cela n’est pas possible avec une puce, car lorsqu’une demande est faite par un terminal de point de vente, ce dernier génère une clé unique. Cette clé pourrait être interceptée, mais n’est plus valable pour les transactions ultérieures. De nombreux chercheurs ont exprimé des inquiétudes quant à la sécurité de la technologie EMV. Mais jusqu’à présent, aucun cas de piratage EMV n’a été signalé. Il y a cependant un point, dans la version standard, le concept de sécurité des cartes EMV repose sur une combinaison de clés de cryptage et d’un code PIN que le propriétaire doit saisir. Dans le cas des transactions sans contact, le code PIN n’est pas demandé, la protection se limite donc aux clés de cryptage générées par la carte et le terminal.
« En théorie, il est possible de produire un terminal qui lit les données NFC de la carte alors que la carte est dans votre poche », explique Alexander Taratorin, directeur du support des applications à la Raiffeisenbank. « Ce terminal particulier devrait utiliser les clés de cryptage de la banque acquéreuse et un système de paiement. Les clés sont émises par la banque acquéreuse, ce qui signifie que la fraude serait très facile à détecter et à suivre. »
La valeur de la transaction
Il existe une autre ligne de défense. Limiter le montant des paiements sans contact. Cette limite est programmée dans les paramètres d’un terminal de point de vente, fixés par la banque acquéreuse, sur la base des recommandations du système de paiement. En Russie, le montant maximum d’un paiement sans contact est de 1 000 roubles, alors que la limite est fixée à 25 dollars aux États-Unis, à 20 livres au Royaume-Uni (bientôt portée à 30 livres).
Si la valeur de la transaction dépasse cette limite, la transaction est soit rejetée, soit une autre preuve de validité est requise, comme un code PIN ou une signature, selon les réglages effectués par la banque. Il existe un autre mécanisme de protection pour empêcher les transferts multiples de petites sommes d’argent.
Mais il y a un autre problème. Il y a presque un an, une autre équipe de recherche de l’Université de Newcastle a signalé une faille de sécurité dans les cartes sans contact de Visa. Dès que vous effectuez un paiement dans une devise étrangère (pas en livres sterling), vous pouvez contourner la limite. Si un terminal de point de vente est hors ligne, la valeur maximale d’une transaction peut également atteindre 1 million d’euros. Les porte-parole de Visa affirment que ce type d’attaque n’est toutefois pas réalisable, car des transactions aussi élevées seraient bloquées par les systèmes de sécurité de la banque. Selon Taratorin, un terminal de point de vente contrôle également le montant maximum d’une transaction quelle que soit la devise.
Nous choisissons une autre voie
Tout se résume donc à l’improbabilité pratique qu’un système de paiement ne puisse pas empêcher un faux paiement sans contact ? La réponse probable est oui, à condition que les fraudeurs ne travaillent pas pour la banque en question.
En même temps, il y a autre chose de désagréable. La NFC peut aider à voler les données secrètes des cartes de paiement si le paiement lui-même ne peut être piraté. La norme EMV exige que certaines données soient stockées non cryptées dans la mémoire de la puce. Il peut s’agir du numéro de la carte, des transactions récentes et d’autres données, en fonction des politiques de la banque émettrice ou du système de paiement. Les données peuvent être lues avec un smartphone compatible NFC et une application correspondante (telle que le lecteur de carte bancaire NFC), vous pouvez l’essayer vous-même.
Jusqu’à présent, les données correspondantes étaient considérées comme publiques et ne suffisaient pas à compromettre la sécurité d’une carte. Cependant, le célèbre site britannique Which ? a publié un article qui dissipe ce vieux mythe.
Les experts de Which ? ont testé une poignée de cartes sans contact différentes provenant de banques britanniques. En utilisant un lecteur NFC bon marché et un logiciel gratuit, ils ont réussi à décoder le numéro de carte et la date d’expiration de toutes les cartes testées. Mais n’avez-vous pas également besoin du numéro du CVV pour les achats en ligne ? Malheureusement, de nombreux commerçants en ligne n’ont pas besoin de ce numéro. Les testeurs ont donc pu commander avec succès un téléviseur de 3 000 £ auprès d’un grand détaillant en ligne.
Les mesures à prendre
Même si la technologie de paiement sans contact offre en soi plusieurs niveaux de protection, cela ne signifie pas que votre argent est protégé à 100 %. De nombreux éléments des cartes de paiement sont basés sur des technologies obsolètes telles que les bandes magnétiques, le paiement en ligne sans authentification supplémentaire, etc.
À bien des égards, la sécurité dépend des paramètres de la banque et du commerçant. Et ce sont précisément les commerçants qui sacrifient souvent la sécurité des paiements au nom de l’accélération des achats afin de réaliser davantage de ventes. Par conséquent, les conseils de base en matière de sécurité des cartes s’appliquent également aux paiements sans contact. Empêchez les autres de voir votre code PIN et les détails de votre carte, soyez prudent lorsque vous téléchargez de nouvelles applications sur votre smartphone, installez une solution de sécurité, activez les notifications par SMS de votre banque et avertissez immédiatement votre banque si vous remarquez une activité suspecte.
Si vous voulez être absolument sûr que personne ne peut lire votre carte NFC, vous devez acheter un portefeuille convenablement protégé. Parce que les lois de la physique ne sont pas dupes.