Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Les nouvelles cartes de paiement sans contact contraires à la législation française ?

octobre 2012 par Emmanuelle Lamandé

Les nouveaux modèles de cartes bancaires sans contact doivent remplacer définitivement nos anciennes cartes de paiement d’ici 2015/2016. Si elles se veulent plus rapides et plus simples d’utilisation, ces nouvelles cartes présentent de sérieux manquements en termes de sécurité. Après une démonstration aux GS Days et une présentation technique lors d’Hackito Ergo Sum en avril dernier, Renaud Lifchitz, Consultant sécurité senior chez BT France, aborde le sujet sous l’angle « analyse de risques » à l’occasion des Assises de la Sécurité. Force est de constater que les risques s’avèrent multiples, que ce soient pour l’établissement bancaire, le commerçant ou le porteur de la carte.

Renaud Lifchitz, Consultant sécurité senior chez BT France

Le paiement sans contact (aussi appelé NFC ou RFID) signifie qu’une transaction peut être effectuée juste en passant la carte devant le terminal, sans avoir à l’insérer, ni frapper de code confidentiel. VISA payWave et MasterCard PayPass sont à ce jour les deux systèmes les plus couramment utilisés pour effectuer ce type de paiement. Ils ont été conçus pour permettre aux clients d’effectuer de petites transactions et régler tous les achats allant jusqu’à 20/25 euros. La majorité des cartes sans contact sont reconnaissables grâce au logo présent sur la carte ci-dessous ; toutefois soyez vigilants car certaines cartes sans contact n’arborent pas de logo.

Selon Eurosmart, 225 millions de cartes NFC seraient aujourd’hui utilisées dans le monde. En France, on recense près de 2,5 millions de cartes sans contact, soit 4,2% du parc global des Cartes Bancaires. Leur développement s’est, pour l’instant, essentiellement concentré dans les régions de Nice et de Strasbourg, ces zones étant pilotes. Le renouvellement naturel des cartes devrait toutefois généraliser cette tendance, pour atteindre un taux d’adoption de 100% en 2015/2016.

Les objectifs du paiement sans contact sont multiples. Outre des transactions plus rapides et plus simples, les cartes sans contact ont, avant tout, été démocratisées pour des raisons marketing et financières. Certaines études ont, en effet, montré que les utilisateurs consomment davantage avec le paiement sans contact. Selon Mastercard Canada, les utilisateurs de PayPass dépenseraient environ 25% plus que des consommateurs « classiques ».

Toutefois, dans une volonté de réduire le « Time-to-Market », et d’être interopérable avec les équipements en place, les industriels ont choisi de réutiliser le protocole EMV (le protocole des cartes bancaires classiques), et de simplement le transposer sur un protocole radio, en clair, et sans authentification, comme le démontre Renaud Lifchitz.

Rassurez-vous, votre pass Navigo est mieux sécurisé que votre carte bancaire !

A titre comparatif, il explique pourtant que d’autres types de cartes RFID sont d’ores et déjà utilisées, mais reposant sur de véritables systèmes de sécurité. C’est le cas, par exemple, des cartes de transport Navigo utilisées en Ile-de-France. Ces cartes ne contiennent pas de données à caractère personnel. Le numéro de série de la carte est différent de l’identifiant utilisateur. Elles reposent sur un système utilisant un chiffrement fort, une authentification solide, ainsi que des messages signés. C’est donc une sécurité de caractère militaire qui a été utilisée pour nos cartes de transport.

Les passeports RFID utilisent, quant à eux, du chiffrement, ainsi qu’une lecture combinée pour éviter les accès sauvages (optique + RFID). De plus, la clé est spécifique à chaque passeport.

Les cartes bancaires devraient, en principe, être au moins aussi bien sécurisées que des cartes de transport. Toutefois, force est de constater qu’aucune authentification, ni aucun chiffrement n’ont été prévus.

Outre une ségrégation plutôt faible des interfaces avec et sans contact observée sur ces cartes, Renaud constate qu’un certain nombre de données sont assurément accessibles à distance. A l’aide d’un lecteur NFC USB (de type clé USB SCM SCL3711), obtenu pour une quarantaine d’euros, ou de certains smartphones, il obtient en quelques secondes les informations suivantes :
 La civilité, le nom et le prénom du porteur de la carte ;
 Le numéro de carte (PAN - Primary Account Number) ;
 La date d’expiration ;
 Les données de la piste magnétique ;
 L’historique des dernières opérations.

Si beaucoup (émetteurs de cartes…) minimisent aujourd’hui les risques et les impacts de tels manquements de sécurité, c’est notamment en raison de la distance nécessaire (quelques centimètres) pour réaliser ce type d’attaque. Toutefois, il suffit d’imaginer un attaquant dans une rame de métro aux heures de pointe à Paris pour lever cette « soi-disant barrière ».

De plus, Renaud arrive à prouver qu’en modifiant quelque peu le matériel la lecture active peut aller jusqu’à 1,5m. La lecture passive, quant à elle, peut même aller jusqu’à 15m en utilisant un récepteur radio avec une antenne télescopique. Il faut cependant noter qu’en situation passive, seuls le numéro de carte et la date expiration apparaissent, pas le nom ni le prénom.

De l’atteinte à la vie privée à la non-conformité PCI-DSS, les risques sont multiples...

Les risques que Renaud Lifchitz identifie sont nombreux :
 Risque de fraude bancaire contre l’utilisateur ;
 Atteinte à la vie privée : identification à distance de l’utilisateur, suivi de ses faits et gestes, ciblage terroriste… ;
 Risque de déni de service (le blocage radio permet de bloquer la carte ; l’attaquant a la possibilité de taper à plusieurs reprises un code PIN erroné, sauf que la carte bancaire n’a pas de code PUK…) ;
 Risque de conformité pour les établissements bancaires ;
 Enfin, le risque de conformité pour les commerçants, notamment vis-à-vis du standard PCI-DSS.

Le risque de fraude bancaire est lui-même multiple :

 Il peut s’agir de la lecture des informations bancaires du porteur et de leur réutilisation sur des sites de e-commerce : le CVV n’est pas demandé sur tous les sites, et même si c’est le cas il n’est pas toujours obligatoire ; il s’avère, en outre, bruteforçable ; le système de sécurité 3D-Secure semble, de son côté, de moins en moins adopté.

 Il serait également possible de cloner la piste magnétique à distance et de la réencoder sur une carte vierge, selon un reportage diffusé sur la chaîne de télévision américaine WTHR.

 Pour ce qui est du remboursement des transactions frauduleuses, le contexte légal s’avère plus que complexe, au regard des articles L.133-15 à 24 du Code Monétaire et Financier. La banque ne semble pas tenue de rembourser en cas de contestation (article L.133-18), et sa responsabilité peut ne pas être engagée en cas d’utilisation douteuse (I, II et IV de l’article L. 133-19 et l’article L. 133-23). Sans compter que le cadre peut également dépendre de l’établissement bancaire.

Concernant les risques de conformité, deux problèmes majeurs se posent :

 La conformité PCI DSS pour les commerçants : le commerçant qui utilise la carte de paiement sans contact s’expose à une non-conformité PCI DSS.
Selon l’exigence n°4 du standard, il est obligatoire de « Crypter la transmission des données de titulaire de carte sur les réseaux publics ouverts ». Les données étant accessibles en clair, ce système ne répond en aucun cas aux différentes exigences de sécurité (chiffrement, authentification…) imposées par le standard.

L’ironie dans cette histoire est que les acteurs qui distribuent les cartes bancaires NFC (Visa, MasterCard...) sont les mêmes que ceux qui sont à l’origine de PCI DSS… standard, faut-il le rappeler, créé afin de limiter les risques de fraude… sans doute une versatilité bercée par un appât de gains toujours plus juteux...

 La protection des données à caractère personnel (pour les banques propriétaires des cartes) : l’établissement bancaire étant propriétaire des cartes émises (mention au dos), il est soumis à une obligation de moyens de protection des informations à caractère personnel qui sont traitées (Réglementation CNIL + article 226-16 du code pénal). Toutefois, comme aucun moyen de protection des informations n’est actuellement mis en place (accessibilité par des tiers non autorisés), ces cartes ne sont, en l’état, pas conformes à la règlementation française !

Depuis la découverte des vulnérabilités protocolaires en décembre 2011 et les différentes présentations effectuées aux GS Days et à Hackito Ergo Sum en avril dernier, Renaud Lifchitz a travaillé en collaboration avec les autorités. Une enquête a, d’ailleurs, été ouverte par la CNIL le 10 mai 2012.

Quelques recommandations de bon sens, en attendant la prochaine génération de cartes sans contact

A l’heure actuelle, et du moins en attendant les résultats et suites de cette enquête, il reste difficile pour l’utilisateur final de se protéger efficacement. Toutefois, quelques recommandations de bon sens sont tout de même à noter :
 Quelques semaines avant le renouvellement de sa carte bancaire, l’utilisateur doit faire savoir à sa banque sa préférence pour une carte bancaire « classique » (expliquer les risques de fraude et conformité, donner des pointeurs vers les études, évoquer le principe de précaution). Quelques établissements bancaires laissent d’ailleurs le choix à l’utilisateur ;
 Demander à sa banque la désactivation de la fonctionnalité de paiement sans contact (mêmes arguments) ;
 Toujours transporter sa carte bancaire sans contact dans un étui protecteur (de type enveloppe ou étui en aluminium), afin d’éviter les lectures actives « sauvages » de la carte. Toutefois, cela ne protège pas contre les lectures passives lors de l’utilisation...
 Toujours préférer le paiement traditionnel par insertion de la carte dans le terminal des commerçants ;
 Surveiller son historique de transaction et signaler toute transaction frauduleuse ;
 Mais surtout, attendre les prochaines générations de cartes sans contact.

Les futurs protocoles de paiement sans contact devraient être authentifiés, chiffrés et signés pour apporter une sécurité correcte au paiement. Les accès sans contact devraient être authentifiés pour éviter les accès sauvages. Le protocole sans contact devrait être chiffré pour éviter les écoutes/interceptions. Les sessions devraient, quant à elles, être signées (HMAC…) pour éviter l’injection. « Cela existe déjà pourtant ; c’est d’ailleurs le cas pour le protocole Calypso des cartes Navigo, qui est même un brevet français ! Car force est de constater que le standard EMV n’est pas fait pour le sans contact et nécessite d’être complètement réécrit pour cet usage… », conclut-il.


Voir les articles précédents

    

Voir les articles suivants