L’incroyable FAIL des cartes bancaires sans contact (NFC)

Magnifique publicité ayant pour thème les jeux olympiques 2012 à Londres dans laquelle on voit un arbitre de course et un sprinter s’affronter dans une course effrénée, et dans celle-ci, une démonstration de la carte bleue  sans contact qui va révolutionner notre vie et notre manière de payer, sauf que celle-ci est une passoire bien dangereuse qui va permettre à certains de vider votre compte de manière exceptionnelle!!! Attention danger!!!

L’incroyable FAIL des cartes bancaires sans contact (NFC)

L’ami Renaud Lifchitz, ingénieur sécurité chez BT (anciennement British Telecom) a mis au jour un gros problème de sécurité dans les nouvelles cartes bancaires utilisant la technologie NFC. Cette techno pour ceux qui ne connaissent pas encore, ça veut dire “Near Field Communication” et ça permet de faire tout un tas de choses sans contact… Donc avec une carte bancaire, de payer sans avoir à mettre sa carte dans une machine.

Génial hein ?

Mais bizarrement, alors que techniquement, il est parfaitement possible de faire des protocoles de communication sans contact et sécurisés comme c’est le cas sur le pass Navigo, ici Visa/Mastercard n’ont pas pris la peine de chiffrer le protocole utilisé sur ses cartes bancaires, ni même de mettre en place une authentification.

Concrètement, cela veut dire qu’avec un simple lecteur NFC, n’importe qui peut dérober toutes les informations du porteur comme la civilité, les nom et prénom, le numéro de carte, sa date d’expiration, et la liste des 20 dernières transactions sur la carte avec leur montant…etc

“MOUAHAHA” me direz-vous ? Et vous aurez raison. Et vu que c’est sans contact, ça devient facile par exemple d’aspirer ces infos, simplement en vous rapprochant d’un sac ou d’une poche avec le lecteur qui va bien. Il est même tout à fait faisable de dupliquer la carte (Yes!) puisque dans la puce NFC, on retrouve les infos de la bande magnétique. Du coup, dans certains pays étrangers, où sur les bornes qui se contente de la bande magnétique, ces copies de cartes peuvent parfaitement fonctionner.

D’après Renaud, cette négligence est due au fait que, je cite : “le protocole (EMV – celui des cartes traditionnelles) a été repris tel quel et utilisé ‘dans les airs’ sans se poser plus de questions”.

Quelle bande de sacrés rigolos au GIE !! D’ailleurs, la CNIL, le Ministère des Finances, le Ministère de l’Intérieur et toute la cavalerie sont sur le coup pour évaluer les risques et surtout demander des comptes au GIE. Petit détail amusant, sur le site de Visa, plus précisément dans la FAQ, on trouve la citation “Epic bullshit” suivante :

Au niveau technique, la fonctionnalité sans contact est basée sur une carte à puce développée à partir de la technologie EMV, qui protège les données du porteur par des cryptogrammes dynamiques très sécurisés.
D’ores et déjà déployée à grande échelle depuis plusieurs années dans le monde, la technologie sans contact s’est avérée, à l’usage, être un moyen de paiement très sécurisé.

Avec un simple dongle NFC USB à 40 €, et une application dont le code source a été mis en ligne ici, il est possible de récupérer toutes ces infos. Mais on peut très bien imaginer un portage sur Android qui fonctionnerait parfaitement avec des téléphones compatibles NFC comme le Samsung Nexus S. En fait, ce portage existe déjà et le code source devrait bientôt sortir…

Voici les slides que Renaud a présentées lors de la conférence Hackito Ergo Sum :
Hes2012 Bt Contact Less Payments In Security

Hes2012 Bt Contact Less Payments In Security

Et pour ceux qui voudraient voir une démo, la vidéo est par ici.

En attendant que le GIE corrige cette passoire qu’est la carte NFC, je crois que je vais rester avec ma bonne vieille carte bleue pas plus sécurisée sauf que pour me piquer mes infos, le mec ne pourra pas me coller un lecteur aux fesses et devra me péter la gueule avant

Merci à Renaud pour les explications et bon courage au GIE X-D

Source: korben.info

Benji

28 Commentaires

  1. Formidable!!! on arrête pas le progrès dites moi !! mdr… Encore un qui a pondu une belle merde…

  2. J’ai reçu un courrier de ma banque qui m’a annoncé que j’aurais droit à cette fonctionnalité sur les nouvelles cartes imprimées à partir de mai 2012. Ma carte expirant en 2014, je dois attendre encore 2 ans. Mais je dois faire une lettre d’opposition si je n’en veux pas. De plus on me précise que l’option est gratuite. Quand c’est gratuit ça veut dire qu’ils vont gagner des sous dessus, ils font pas ça pour nous faciliter la vie. Comme je sais qu’ils gagnent une petite commission sur chaque opération effectuée avec la CB. Cette option ne sert qu’à tout bonnement supprimer la monnaie fiduciaire. Quand j’irai acheter ma baguette demain une petite commission ira à ma banque, ca ne représentera rien pour moi, mais combien sur une année pour ma banque vu le nombre de personnes qui pourront faire ces petits achats avec leur carte???

    • Quand c’est gratuit, ce n’est pas pour nos beaux yeux. C’est pour (entre autres):
      1 ) éviter qu’on les accuse de vente forcée. Ce qui n’empêchera pas d’augmenter le prix de l’abonnement global … (notamment l’assurance vendue avec la carte)
      2 ) endormir la réticence éventuelle des clients face à ce nouveau “service”.
      3 ) gratter de l’argent de façon “invisible”, que ce soit sur les commissions que vous évoquez, ou sur les commerçants (certains n’acceptent pas la CB à cause du coût de l’abonnement pour le terminal), ou sur la logistique qui va avec les transports et la “manutention” de cash, le traitement des chèques, etc.
      L’objectif est clairement de supprimer les chèques et l’argent liquide. Et bientôt, ça sera la CB en RFID sous la peau, au niveau du poignet, par exemple. C’est d’ailleurs pour ça que le système a une sécurité aussi pourrie. La RFID sera mieux sécurisée… Et ça deviendra plus compliqué de changer de banque, si ça veut aussi dire changer la puce en environnement médicalisé (extraction/implantation de la puce). Et puis dans les magasins, la sécurité pourra se concentrer sur les gens qui n’ont pas de CB/RFID, voire même ceux dont le compte bancaire est dans le rouge (voleurs potentiels ?)

  3. Il y a quand même une parade, ranger votre carte dans un étui blindé quand vous ne l’utilisez pas. Comme la fréquence de communication est connue, le blindage peut éventuellement être un circuit résonnant.

  4. Et combien ils ont paye ce systeme de m..de.
    Tous pleins de diplomes ces (ingenieursinformaticiens) ca sonne comme ingenieuseinformalite.

  5. Rien n’est du au hasard !

    Et, les ingénieurs informaticiens ne sont pas des cons.

    • T’as déjà bossé en SSII ? Les commerciaux promettent n’importent quoi au client, et après c’est aux collab’s de pousser les wagons au fond de la mine. Quand “ça” marche pas, c’est toujours nous. Et quand “ça” marche, les commissions et les primes, c’est pour les bimbos et les playmobils …

  6. salut les moutons

    juste un moyen supplémentaire
    très pervers
    pour déstabiliser le mouton lambda,
    le fragiliser au maximum
    matériellement
    donc socialement et intellectuellement.

    donc
    un petit pas pour la technologie
    mais un grand pas vers la dictature
    (aurait pu dire Armstrong):-(((((

    la technologie est l’arme fatale et essentielle du NOM.

    la dictature qui vient
    aur

  7. oupsss

    ….aura les moyens d’être globale
    et efficace
    grâce à la technologie.

    • La Technologie est leur atout mais aussi leur point faible. C’est pour cela qu’il est important de protéger les hackers. Parce que sans eux, on est foutus. Pas besoin d’être un kador en informatique, c’est l’attitude qui compte, et que chacun aide comme il peut. Je suis Anonymous. Nous sommes Légion. 🙂

      • Haaaaaaaaaaaan !!!! T’es Anonymous !
        Tu va aller en prison !

        Et toute ta légion avec ! A moins, bien sûr, que tu nous dises qui est ta légion, en ce cas, tu ne les suivras pas…

        😀

      • salut Maverick

        en effet
        une arme à double tranchant
        pour nous et…eux.
        et ça ne se limite pas à l’informatique.

  8. A part l’étui blindé, il y a un autre moyen de protéger sa carte du piratage?

  9. HS ?

    Après l’or de la France en caution, l’épargne des français pour alléger la dette (les intérêts surtout).

    Sauve qui pue !!

    http://www.20minutes.fr/politique/920015-hollande-souhaite-epargne-francais-puisse-davantage-financer-dette

  10. HS sur http://echelledejacob.blogspot.fr/ :DNS changer, dites bienvenue au FBI dans votre PC et ou autres articles intéressants

    • http://echelledejacob.blogspot.fr/2012/04/dnschanger-dites-bienvenue-au-fbi-dans.html

      Le sujet sur le DNSchanger est intéressant, mais c’est typiquement de la hotline MicroSoft (techniquement correct, mais d’aucune utilité pratique pour l’utilisateur en détresse MDR ) :
      1 ) Il faudrait indiquer comment on peut vérifier et éventuellement modifier le paramétrage en question;
      2 ) Ce n’est pas clair si il donne des plages d’adresses IP, ou seulement une liste de 12 adresses;
      3 ) Quelle confiance accorder aux DNS de nos Fournisseurs d’accès ?
      Etc.

  11. Sans surprise, ils connaissent les dangers mais ils vont le mettre en application pour gratter de l’argent et en plus on devra payer une assurance supplémentaire pour être protégé sous conditions de respecter une utilisation précise du produit avec une indemnité limitée à une valeur annuelle de remboursement en cas de vol, etc etc… c’est cela le progrès de l’arnaque mafieuse organisée en douceur à nos dépend sans une concertation publique.

Les commentaires sont clos.