Payer avec une carte bancaire sans contact, c’est aussi simple que de prendre le métro avec son pass navigo.
Micro-Hebdo en fait la preuve dans son numéro 745. Depuis le mois de mars, tous les Français sont susceptibles de recevoir cette nouvelle génération de cartes lors d’un renouvellement. Le hic, c’est qu’il y a une faille de sécurité. Et que pirater une carte en un quart de seconde est à la portée de tous. Démonstration avec Renaud Lifchitz, consultant sécurité chez British Telecom.
Une opération possible en se tenant à 5 centimètres maximum de la carte, qu’elle soit active ou non, à partir d’une clef USB NFC connectée à un ordinateur ou bien d’un téléphone portable. Le logiciel est téléchargeable gratuitement sur internet. Mais avec du matériel plus sophistiqué comme des amplificateurs et des antennes, les données peuvent être interceptées jusqu’à 15 mètres de distance. Aucun chiffrement ni authentification dans ces cartes.
Des paiements frauduleux peuvent donc être effectués sur Internet en récupérant le numéro et de la date d'expiration. La Cnil a ouvert une enquête et réalise actuellement des tests sur ces cartes pour vérifier si leur niveau de sécurité est suffisant. Du côté de chez Visa, on relativise le problème. Pour la société, les données qui peuvent être récupérées sont de toutes façons visibles à l’œil nu et n’ont pas besoin d’être cryptées. Visa concède toutefois que d’ici un ou deux ans, une nouvelle génération de cartes sera équipée d’un pare-feu pour que les données ne soient pas accessibles via un outil sans contact et recommandent dès maintenant aux banques de supprimer le nom des titulaires dans les cartes.
En attendant cette nouvelle génération, la seule solution pour sécuriser sa carte de paiement est de la conserver dans un étui en aluminium. Un peu paradoxal pour une technologie sans contact.
Micro-Hebdo en fait la preuve dans son numéro 745. Depuis le mois de mars, tous les Français sont susceptibles de recevoir cette nouvelle génération de cartes lors d’un renouvellement. Le hic, c’est qu’il y a une faille de sécurité. Et que pirater une carte en un quart de seconde est à la portée de tous. Démonstration avec Renaud Lifchitz, consultant sécurité chez British Telecom.
Une opération possible en se tenant à 5 centimètres maximum de la carte, qu’elle soit active ou non, à partir d’une clef USB NFC connectée à un ordinateur ou bien d’un téléphone portable. Le logiciel est téléchargeable gratuitement sur internet. Mais avec du matériel plus sophistiqué comme des amplificateurs et des antennes, les données peuvent être interceptées jusqu’à 15 mètres de distance. Aucun chiffrement ni authentification dans ces cartes.
Des paiements frauduleux peuvent donc être effectués sur Internet en récupérant le numéro et de la date d'expiration. La Cnil a ouvert une enquête et réalise actuellement des tests sur ces cartes pour vérifier si leur niveau de sécurité est suffisant. Du côté de chez Visa, on relativise le problème. Pour la société, les données qui peuvent être récupérées sont de toutes façons visibles à l’œil nu et n’ont pas besoin d’être cryptées. Visa concède toutefois que d’ici un ou deux ans, une nouvelle génération de cartes sera équipée d’un pare-feu pour que les données ne soient pas accessibles via un outil sans contact et recommandent dès maintenant aux banques de supprimer le nom des titulaires dans les cartes.
En attendant cette nouvelle génération, la seule solution pour sécuriser sa carte de paiement est de la conserver dans un étui en aluminium. Un peu paradoxal pour une technologie sans contact.
Tous les détails dans l'article de Micro Hebdo n°745 (6-12 septembre)
N.D.L.R
Le moins qu'on puisse dire est que sur ce coup là les banques sont allées beaucoup trop vite, avec une technologie absolument pas sécurisée, ce qui est un peu fort de café pour des banques. Surtout que, si je ne m'abuse, ce sont les banques qui payent les dégâts (de mauvaise grâce) lorsqu'on a utilisé à votre votre carte de crédit à votre insu. Ce qui signifie, soit que les banques sont naïves (ce qui m'étonnerait fort) soit qu'elles ont trop d'argent pour s'arrêter à ce genre de détails.
En fait, elles ont tellement peur de la concurrence des Smartphones qu'elles ont un peu perdu les pédales. En effet, avec les nouveaux Smartphones disposant de la technologie NFC on peut effectuer des paiements depuis déjà un bon moment. Mais dans ce cas les trois compères ne gagnent rien, ce qui ne leur plaît pas du tout.
En attendant que les cartes bancaire sans contact soient véritablement sécurisées je vous suggère fortement de demander à votre banque de la changer contre une carte avec contact. Les cartes sans contact se reconnaissent au logo NFC qui apparaît en haut de cette page.
Vous pouvez aussi acheter un étui en aluminium pour y enfermer votre carte sans contact... si vous n'avez pas peur du ridicule.
Le moins qu'on puisse dire est que sur ce coup là les banques sont allées beaucoup trop vite, avec une technologie absolument pas sécurisée, ce qui est un peu fort de café pour des banques. Surtout que, si je ne m'abuse, ce sont les banques qui payent les dégâts (de mauvaise grâce) lorsqu'on a utilisé à votre votre carte de crédit à votre insu. Ce qui signifie, soit que les banques sont naïves (ce qui m'étonnerait fort) soit qu'elles ont trop d'argent pour s'arrêter à ce genre de détails.
En fait, elles ont tellement peur de la concurrence des Smartphones qu'elles ont un peu perdu les pédales. En effet, avec les nouveaux Smartphones disposant de la technologie NFC on peut effectuer des paiements depuis déjà un bon moment. Mais dans ce cas les trois compères ne gagnent rien, ce qui ne leur plaît pas du tout.
En attendant que les cartes bancaire sans contact soient véritablement sécurisées je vous suggère fortement de demander à votre banque de la changer contre une carte avec contact. Les cartes sans contact se reconnaissent au logo NFC qui apparaît en haut de cette page.
Vous pouvez aussi acheter un étui en aluminium pour y enfermer votre carte sans contact... si vous n'avez pas peur du ridicule.
Comment passer d’Intel à AMD et ne pas le regretter,