Paiement sans contact, le NFC m’a voler

Je viens de voir le premier spot publicitaire destiné à promouvoir les nouvelles cartes bleues intégrant une puce RFID. A ma connaissance (excessivement lacunaire sans doute) il s’agit de la première réclame française mettant en avant cette technologie… Je pense que ça a été répété assez souvent et à peu près partout, mais le RFID ne semble pas adapté à ce genre de transactions sensibles !

Pour la première génération de carte, c’était un peu comme si vous vous baladiez avec un T-Shirt sur lequel est affiché votre numéro de carte de crédit, date d’expiration et autres info bancaires en… disons en coréen tiens ! Certes, pour la grande majorité des passants cet objet d’apparat ne se traduira pour eux qu’à la simple expression de votre bon ou de votre mauvais goût. Mais pour les rares personnes capables de déchiffrer votre haut (disons que nous somme à Paris et non à Séoul), il s’agira là d’une preuve de témérité incroyable !

Sur les nouvelles cartes, une partie des informations transmissent en RFID, en plus d’être chiffrées, sont dynamiques et changent après chaque lecture. Mais même avec ces nouveaux modèles de smart cards, il est a priori possible de copier une carte pour réaliser de petites transactions sur le compte associé. Je dis petites car le mode de paiement sans contact est autorisé pour les paiements inférieur à 20€ et à quelques centaines d’euros par mois selon votre banque, un honteux aveu en quelque sorte…

Il existe d’ores et déjà un certain nombre d’applications, notamment sur Android et Linux qui permettent de récupérer les données de ces cartes bancaires ! Imaginez simplement une industrialisation de cette fraude. Il suffirait de tenir le mur d’un couloir de métro pour dérober plusieurs dizaines de numéros/token (appelez ça comme vous voulez) de cartes de crédits par minute (en sachant que d’ici deux ans toutes les cartes devraient être équipées de cette petite puce)… Quand au trojan qui s’installerait en douce sur les appareils mobiles que beaucoup rangent dans la même poche que le porte feuille, et qui jouerait le rôle d’Open NFC Proxy (voir la vidéo de la DefCon 20 ci-dessous), je vous dis pas le bordel !

linkSources