Visa, MasterCard, American Express... Les cartes de paiement sans contact distribuées actuellement par les banques peuvent être piratées en quelques secondes. Démonstration...
Payer avec une carte bancaire sans contact, c’est devenu une habitude. Cette année, question d'innover, plusieurs institutions bancaires proposent une nouvelle génération de cartes lors d’un renouvellement. Le hic, c’est que ces cartes ont une faille de sécurité. Apparemment, on peut pirater une de ces carte en un quart de seconde, et cela est à la portée de tous.
Une opération possible en se tenant à 5 centimètres maximum de la carte, qu’elle soit active ou non, à partir d’une clef USB NFC connectée à un ordinateur, ou encore, à l'aide d'un téléphone portable. (Le logiciel est téléchargeable gratuitement sur internet). Mais aussi, avec du matériel plus sophistiqué comme des amplificateurs et des antennes, les données peuvent être interceptées jusqu’à 15 mètres de distance.
Aucun chiffrement ni authentification dans ces cartes. Des paiements frauduleux peuvent donc être effectués sur Internet en récupérant le numéro de compte, la date d'expiration et d'autres informations précieuses.
La Cnil a ouvert une enquête et réalise actuellement des tests sur ces cartes pour vérifier si leur niveau de sécurité est suffisant. Du côté de chez Visa, on relativise le problème. Pour la société, les données qui peuvent être récupérées sont de toutes façons visibles à l’œil nu et n’ont pas besoin d’être cryptées. Visa concède toutefois que d’ici un ou deux ans, une nouvelle génération de cartes sera équipée d’un pare-feu pour que les données ne soient pas accessibles via un outil sans contact et recommandent dès maintenant aux banques de supprimer le nom des titulaires dans les cartes. En attendant cette nouvelle génération, la seule solution pour sécuriser sa carte de paiement est de la conserver dans un étui en aluminium. Un peu paradoxal pour une technologie sans contact.
Démonstration avec Renaud Lifchitz, consultant sécurité chez British Telecom.
Aucun commentaire:
Enregistrer un commentaire