Le paiement sans contact et sans… sécurité

Sur le papier, le paiement sans contact présente des atouts séduisants : en quelques secondes un client peut payer sa baguette ou son journal en passant sa carte bancaire devant un lecteur ad hoc. Plus besoin de taper son mot de passe. Les banques incitent les consommateurs à utiliser cette solution reposant sur la technologie NFC (pour Near Field Communication, communication en champ proche) qui ne fonctionne qu’à une faible distance, inférieure à 10 centimètres.

Résultat environ 31,5 millions de cartes de paiement sans contact circulent en France. Mais combien de personnes savent qu’ils disposent de ce moyen de paiement ? Et combien en connaissent les risques ?

Très peu, certainement. Après avoir lu cet article, ils seront certainement plus méfiants. Outre-Rhin des experts en sécurité informatique du célèbre Chaos Computing Club ont présenté récemment les failles de deux protocoles de communication exploités par les lecteurs de cartes : ZVT (Zahlungverkehrsterminal) et Poseidon. Le premier est utilisé, majoritairement en Allemagne, en jonction avec les systèmes de caisses en point de vente. Le second fait le lien avec les banques, en tant qu’implémentation du standard ISO 8583 (spécifications d’échange de messages dans le cadre de transactions financières).

Le premier n’embarque pas de mécanisme d’authentification. Une personne mal intentionnée qui se trouve à quelques centimètres de vous (dans le métro par exemple) peut récupérer à votre insu des informations sur votre carte et notamment son code PIN.  Une simple application téléchargeable gratuitement sur internet permet de capter, via un smartphone compatible MSC, les informations confidentielles contenues sur une carte bancaire équipée de la technologie NFC. « En posant le téléphone sur la carte, on obtient des informations de la personne. On a la civilité, le numéro de carte, la date d’expiration, donc les deux informations qui servent à payer », explique à l’émission de la RTS Nicolas Chauveau, étudiant au laboratoire de cryptologie et de virologie opérationnelle de l’ESIEA, en France.

La cause ? Une mauvaise implémentation du MAC (le code d’authentification de message) destiné à prouver que les données proviennent d’un tiers de confiance et qu’elles n’ont subi aucune modification.

Concernant Poseidon, le piratage est plus délicat, car il faut disposer d’un lecteur de cartes qui sera configuré à l’identique de celui de la victime. Lors des échanges d’informations avec l’organisme qui traite les paiements, le terminal du marchand envoie son identifiant. Cette connexion est chiffrée, mais elle est aussi lisible sur chaque reçu imprimé… Autre grave erreur, le mot de passe de la liaison chiffrée est généralement le même pour tous les marchands associés à un même organisme de gestion des paiements. En quelques secondes, un hacker peut le découvrir avec un logiciel spécial ou en cherchant un peu sur le web les mots de passe de tel ou tel organisme.

Ces révélations ne font que confirmer les craintes de plusieurs experts dont Renaud Lifchitz, ingénieur sécurité chez BT (anciennement British Telecom) qui avait mis au jour un gros problème de sécurité dans les nouvelles cartes bancaires utilisant la technologie NFC en 2012.

De son côté, Pierre-Alain Fouque. Ce spécialiste de la cryptographie au sein de l’Institut de recherche en informatique et systèmes aléatoires (Irisa), à Rennes, reconnaît que « des mesures ont été prises pour éviter que quelqu’un vide votre compte bancaire, en limitant une transaction à 20 euros, et de telle manière qu’on ne puisse pas faire plus de trois ou quatre paiements sans contact par jour ». En revanche, « il n’y a pas de réelles mesures de sécurité à l’intérieur des cartes bancaires pour éviter ce type d’attaque ».

Par Philippe Richard