[MàJ] L’incroyable FAIL(le) des cartes bancaires sans contact (NFC)….

C’est une alerte info pour les possesseurs de cartes bancaires, nos chères banques ayant intégré l’option paiement  « sans contact », il est utile de savoir qu’il y a un gros risque avec cette option. Merci à Tutifruti.

Je rajoute le lien d’info pour désactiver les cartes NFC  Merci à Yan

Comment désactiver la fonction NFC de votre carte bancaire ?

 

Img/globalsecuritymag.fr

L’ami Renaud Lifchitz, ingénieur sécurité chez BT (anciennement British Telecom) a mis au jour un gros problème de sécurité dans les nouvelles cartes bancaires utilisant la technologie NFC. Cette techno pour ceux qui ne connaissent pas encore, ça veut dire « Near Field Communication » et ça permet de faire tout un tas de choses sans contact… Donc avec une carte bancaire, de payer sans avoir à mettre sa carte dans une machine.

Génial hein ?

Mais bizarrement, alors que techniquement, il est parfaitement possible de faire des protocoles de communication sans contact et sécurisés comme c’est le cas sur le pass Navigo, ici Visa/Mastercard n’ont pas pris la peine de chiffrer le protocole utilisé sur ses cartes bancaires, ni même de mettre en place une authentification.

Concrètement, cela veut dire qu’avec un simple lecteur NFC, n’importe qui peut dérober toutes les informations du porteur comme la civilité, les nom et prénom, le numéro de carte, sa date d’expiration, et la liste des 20 dernières transactions sur la carte avec leur montant…etc

« MOUAHAHA » me direz-vous ? Et vous aurez raison. Et vu que c’est sans contact, ça devient facile par exemple d’aspirer ces infos, simplement en vous rapprochant d’un sac ou d’une poche avec le lecteur qui va bien. Il est même tout à fait faisable de dupliquer la carte (Yes!) puisque dans la puce NFC, on retrouve les infos de la bande magnétique. Du coup, dans certains pays étrangers, où sur les bornes qui se contente de la bande magnétique, ces copies de cartes peuvent parfaitement fonctionner.

D’après Renaud, cette négligence est due au fait que, je cite : « le protocole (EMV – celui des cartes traditionnelles) a été repris tel quel et utilisé ‘dans les airs’ sans se poser plus de questions ».

Quelle bande de sacrés rigolos au GIE !! D’ailleurs, la CNIL, le Ministère des Finances, le Ministère de l’Intérieur et toute la cavalerie sont sur le coup pour évaluer les risques et surtout demander des comptes au GIE. Petit détail amusant, sur le site de Visa, plus précisément dans la FAQ, on trouve la citation « Epic bullshit » suivante :

Au niveau technique, la fonctionnalité sans contact est basée sur une carte à puce développée à partir de la technologie EMV, qui protège les données du porteur par des cryptogrammes dynamiques très sécurisés.
D’ores et déjà déployée à grande échelle depuis plusieurs années dans le monde, la technologie sans contact s’est avérée, à l’usage, être un moyen de paiement très sécurisé.

Avec un simple dongle NFC USB à 40 €, et une application dont le code source a été mis en ligne ici, il est possible de récupérer toutes ces infos. Mais on peut très bien imaginer un portage sur Android qui fonctionnerait parfaitement avec des téléphones compatibles NFC comme le Samsung Nexus S. En fait, ce portage existe déjà et le code source devrait bientôt sortir…

Voici les slides que Renaud a présentées lors de la conférence Hackito Ergo Sum :
Hes2012 Bt Contact Less Payments In Security

Source KORBEN

Une enquête avec vidéo est visible sur:

France4:On est plus des pigeons

15 Commentaires

  1. Voilà un moyen sécurisé qui a fait ses preuves.
    http://www.clossetcadeaux.com/SlideProduits/portemonnaie-sabot-cuir.htm
    Les système de paiement par carte des stations essences et autres DAB sont régulièrement piratés.
    http://www.protegez-vos-donnees.fr/skimming.php
    Alors un système sans contact ….MOUHAAAAAAA
    Il y a aussi ceux qui payent avec leurs portables
    http://www.youtube.com/watch?v=_DjY5rv6IXQ
    Faudra pas chialer après .

  2. Dommage que sur ce blog il y ait fréquemment des infos vieilles de plusieurs années qui soient publiées, regardez les dates de l’article avant de le partager ici https://lesmoutonsenrages.fr/wp-content/plugins/wp-monalisa/icons/wpml_good.gif
    bonne journée

    • Emission diffusée le 4 avril 2014 sur France4 (si ça c’est plusieurs années…)
      Et si j’ai mis l’article de Korben, c’est qu’il est autrement mieux
      placé que les journalistes, pour les explications.
      Et il est utile de revenir parfois sur les infos,
      car certains moutons ont la mémoire courte, et d’autres nouveaux
      ne sont pas forcément au courant 🙂
      Alors! faut pas penser qu’à son petit nombril..wink. ♥♥

  3. heu j’ai pas très bien compris l’article la sur un détail ..
    ce type de yescarding marche à distance par infrarouge ou wifi ?
    vous voulez dire que si je marche dans la rue avec un super capteur dans mon sac à dos dans une zone touristique , je dois chopper en gros les numéros et dates de fin les noms ? de centaines de personnes ??
    mais si c’est le cas c’est le braquage du siècle aux banques .. et surtout celles qui rentrent pas dans le rang

  4. très bon le diaporama.

    « Etonnant, non? »

    De toute façon, il éxiste une taille de marteau adaptée à chaque problème.

  5. De toute façon, tant que vous utiliseez tous une carte bancaire, NFC ou non, il ne faudra pas venir se plaindre de se faire pirater.

  6. Sinon il y’avait aussi ça :

    La menace qui nous guette : la généralisation et la banalisation de l’échange de données sans contact #RFID #NFC

    http://openews.eu/la-menace-rfid-nfc/

    Cdt ;p

Les commentaires sont clos.