Paiement sans contact, le NFC m’a voler

Je viens de voir le premier spot publicitaire destiné à promouvoir les nouvelles cartes bleues intégrant une puce RFID. A ma connaissance (excessivement lacunaire sans doute) il s’agit de la première réclame française mettant en avant cette technologie… Je pense que ça a été répété assez souvent et à peu près partout, mais le RFID ne semble pas adapté à ce genre de transactions sensibles !

Pour la première génération de carte, c’était un peu comme si vous vous baladiez avec un T-Shirt sur lequel est affiché votre numéro de carte de crédit, date d’expiration et autres info bancaires en… disons en coréen tiens ! Certes, pour la grande majorité des passants cet objet d’apparat ne se traduira pour eux qu’à la simple expression de votre bon ou de votre mauvais goût. Mais pour les rares personnes capables de déchiffrer votre haut (disons que nous somme à Paris et non à Séoul), il s’agira là d’une preuve de témérité incroyable !

Sur les nouvelles cartes, une partie des informations transmissent en RFID, en plus d’être chiffrées, sont dynamiques et changent après chaque lecture. Mais même avec ces nouveaux modèles de smart cards, il est a priori possible de copier une carte pour réaliser de petites transactions sur le compte associé. Je dis petites car le mode de paiement sans contact est autorisé pour les paiements inférieur à 20€ et à quelques centaines d’euros par mois selon votre banque, un honteux aveu en quelque sorte…

Il existe d’ores et déjà un certain nombre d’applications, notamment sur Android et Linux qui permettent de récupérer les données de ces cartes bancaires ! Imaginez simplement une industrialisation de cette fraude. Il suffirait de tenir le mur d’un couloir de métro pour dérober plusieurs dizaines de numéros/token (appelez ça comme vous voulez) de cartes de crédits par minute (en sachant que d’ici deux ans toutes les cartes devraient être équipées de cette petite puce)… Quand au trojan qui s’installerait en douce sur les appareils mobiles que beaucoup rangent dans la même poche que le porte feuille, et qui jouerait le rôle d’Open NFC Proxy (voir la vidéo de la DefCon 20 ci-dessous), je vous dis pas le bordel !

linkSources

Spread The luvz..Share on FacebookTweet about this on TwitterShare on Google+Share on TumblrShare on LinkedInPin on PinterestShare on Reddit
  • Oxma

    A ma connaissance, depuis quelques mois ou années, toutes les CB visa sont livrée avec une puce RFID dont la présence est signifiée par un logo. La question est : cette puce délivre-t-elle des infos même si le client de la banque n’a pas opté pour activer ce système de paiement ? Comment vérifier ?

  • Je pense qu’aucune banque livre des cartes équipés de Tag RFID “vides” mais je peux me tromper… Aujourd’hui non, toutes cartes ne sont pas encore équipées de ce système. Preuve en est, la carte sans puce NFC que j’ai reçu dans le cadre d’un renouvellement. :)

    • Oxma

      Je ne parle pas des cartes de retrait ;-) Les miennes de VISA ont le ptit sigle wifi signifiant la possibilité d’un paiement sans contact… Ça doit dépendre des banques.

  • workerfree

    Pour ma part j’ai testé de nombreuses applications Android pour tester les informations recueillies par les pirates. (NFCProxy, Cardreader, …)

    J’ai testé une protection achetée sur http://www.protection-carte-bleue.fr

    Ma carte semble à présent bien protégée car aucune de ces applications ne fonctionnent avec cet étui.

    Mais existe t’il d’autres applications pour lire les cartes NFC / RFID?

    • Ce genre détui empêche l’interraction entre le lecteur (actif) et la carte (passive). Quelque soit l’application, il est à priori impossible de bypasser cette protection. ;)