Contact

Poser une question en ligne Contacter nos équipes

Besoin d'aide ?

Assistant IA Aide et tutos FAQ
Attaques et parades
Sécurité du paiement mobile NFC
H3580 v1 Article de référence

Attaques et parades
Sécurité du paiement mobile NFC

Auteur(s) : Bertrand PLADEAU, Ahmad SAIF

Date de publication : 10 avr. 2013 | Read in English

Logo Techniques de l'Ingenieur Cet article est réservé aux abonnés
Pour explorer cet article plus en profondeur Consulter l'extrait gratuit

Déjà abonné ?

Présentation

1 - Contexte des usages

2 - Besoins de sécurité des différents acteurs

  • 2.1 - Émetteur du moyen de paiement
  • 2.2 - Distributeur
  • 2.3 - Accepteur
  • 2.4 - Acquéreur
  • 2.5 - Utilisateur

3 - Typologies du paiement sans contact

4 - Transaction et composants de l'architecture mobile

5 - Attaques et parades

  • 5.1 - Cas du Google Wallet
  • 5.2 - Incident GIE CB sur carte sans contact

6 - Conclusion

Sommaire

Présentation

RÉSUMÉ

L’arrivée de nouveaux moyens de paiement électronique bouleverse les habitudes des consommateurs et des commerçants. Le paiement grâce au téléphone équipé de la technologie NFC, pour Near Field Communication semble le plus prometteur et introduit une vraie rupture d’usage en élargissant le champ des possibilités lors de l’acte d’achat. De nouveaux schémas techniques de paiement sont ainsi mis en place. Mais quel niveau de sécurité offrent-ils ? Comment les responsabilités sont-elles réparties ? Quels sont les points sensibles de la solution de paiement mobile NFC ?

Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.

Lire l’article

Auteur(s)

  • Bertrand PLADEAU : Ingénieur en télécommunications – ESIEE/université de Marne La Vallée

  • Ahmad SAIF : Ingénieur ENSEEIHT – Georgia Institute of Technology

INTRODUCTION

Une 3e révolution d'usages s'installe progressivement dans le marché européen des Telecom, grâce aux téléphones mobiles intégrant la technologie NFC (Near Field Communication). Parmi les nombreux services envisageables, le mobile dit « sans contact » devrait s'imposer grâce au ticketing et au paiement de proximité.

De son côté, le projet SEPA (Single Euro Payments Area) identifie la sécurité comme un facteur déterminant pour réussir un espace intégré et unique de paiement en euros. La sécurité de l'e-paiement et du m(obile)-paiement demeure une préoccupation majeure. Le contraire serait un obstacle à la croissance future du commerce, à l'égard notamment des clients qui doivent « avoir confiance ».

Le volume des paiements effectués par téléphone mobile est celui qui connaît actuellement la croissance la plus rapide, en partie grâce à l'essor des smartphones et leurs possibilités d'installer des applications.

Les dernières études estiment que la valeur des m-paiements dépassera les 100 milliards USD dès 2015, soit près de 10 fois plus qu'aujourd'hui .

Les consommateurs sont fréquemment avertis par la presse, de fraudes et d'incidents à partir de détournement de données liées aux paiements électroniques.

Aujourd'hui, les exigences de sécurité concernent surtout la prévention des fraudes. La protection des données personnelles constitue un second aspect important, aussi bien pour les clients, que pour le législateur qui garde un œil attentif à toutes ces évolutions. Il est important que les nouveaux usages apportant flexibilité et ergonomie aux clients ne remettent pas en cause la protection de leur vie privée – condition sine qua non pour leur adoption.

Logo Techniques de l'Ingenieur

Cet article est réservé aux abonnés.
Il vous reste 92 % à découvrir.

Pour explorer cet article Consulter l'extrait gratuit

Déjà abonné ?

DOI (Digital Object Identifier)

https://doi.org/10.51257/a-v1-h3580

Lecture en cours
Présentation

Article inclus dans l'offre

"Réseaux Télécommunications"

(141 articles)

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques.

Des contenus enrichis

Quiz, médias, tableaux, formules, vidéos, etc.

Des modules pratiques

Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses.

Des avantages inclus

Un ensemble de services exclusifs en complément des ressources.

Voir l'offre

5. Attaques et parades

5.1 Cas du Google Wallet

L'analyse de deux attaques fin 2011 sur l'Application android Google Wallet embarquant des moyens de paiement est intéressante.

La première consistait à récupérer le code personnel de protection de l'utilisateur par « brute forcing », afin d'accéder à toutes les cartes enregistrées dans le Google Wallet.

La seconde consistait à réinitialiser l'application Google Wallet pour récupérer la main sur un moyen de paiement.

HAUT DE PAGE

5.1.1 Piratage du code personnel

L'accès au Wallet Google est protégé par un code personnel choisi par l'utilisateur lors de l'initialisation de l'application.

Ce code personnel est stocké dans une base de données SQLite dans un répertoire appartenant à l'application Wallet, et limité en lecture/écriture à cette dernière et à l'utilisateur root/system (mécanisme standard Android qui s'appuie sur les permissions Linux).

Le code personnel est encodé sous forme binaire avec d'autres informations (UUIDs, SE status...) dans un format open source Google (protobuf).

Ce n'est pas le code personnel qui est directement stocké mais un hash (SHA-256) du code personnel.

Le code personnel à 4 chiffres donne au maximum 10 000 hashes à calculer, ce qui est très rapide, même sur un smartphone.

Une fois le code personnel récupéré, il est possible de faire des paiements avec la carte bancaire préenregistrée.

Pour mener à bien cette attaque contre un utilisateur, il faut avoir volé le téléphone mobile avec l'application Wallet, car une attaque en ligne n'est pas possible du fait qu'il faille « rooter » le terminal pour donner l'accès aux fichiers du Wallet.

Il pourrait être envisageable de pousser un code malveillant pour « rooter » un mobile à distance, si le système est à jour, ce qui peut être imposé pour faire fonctionner le Google Wallet, mais il n'y a pas de faille root public.

HAUT DE PAGE

5.1.2 Réinitialisation du code personnel

L'accès...

Logo Techniques de l'Ingenieur

Cet article est réservé aux abonnés.
Il vous reste 95 % à découvrir.

Pour explorer cet article Consulter l'extrait gratuit

Déjà abonné ?

Lecture en cours
Attaques et parades

Article inclus dans l'offre

"Réseaux Télécommunications"

(141 articles)

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques.

Des contenus enrichis

Quiz, médias, tableaux, formules, vidéos, etc.

Des modules pratiques

Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses.

Des avantages inclus

Un ensemble de services exclusifs en complément des ressources.

Voir l'offre

Sommaire
Sommaire

BIBLIOGRAPHIE

  • (1) - Commission Européenne -   Livre vert :  -  Vers un marché européen intégré des paiements par carte, par internet et par téléphone mobile (2012).

  • (2) - Cabinet d'étude Juniper Research -   Mobile Payments Strategies Report.  -  Août 2012.

DANS NOS BASES DOCUMENTAIRES

ANNEXES

  1. 1 Sites Internet
    1. 2 Événements
      1. 3 Normes et standards
        1. 4 Annuaire
          1. 4.1 Organismes – Fédérations – Associations (liste non exhaustive)

        1 Sites Internet

        • Vulnérabilité du code PIN Google Wallet https://zvelo.com/blog/entry/google-wallet-security-pin-exposure-vulnerability

        • Vulnérabilité du code PIN Google Wallet http://forum.xda-developers.com

        • Vulnérabilité des cartes de paiement sans contact http://2012.hackitoergosum.org/blog

        • Sécurité des cartes bancaires sans contact http://www.cnil.fr

        HAUT DE PAGE

        2 Événements

        • Salon : Mobile World Congress, a lieu tous les ans à Barcelone http://www.mobileworldcongress.com

        • Salon NFC World Congress, a lieu tous les ans à Nice http://www.nfcworldcongress.com/

        HAUT...
        Logo Techniques de l'Ingenieur

        Cet article est réservé aux abonnés.
        Il vous reste 93 % à découvrir.

        Pour explorer cet article Consulter l'extrait gratuit

        Déjà abonné ?

        Article inclus dans l'offre

        "Réseaux Télécommunications"

        (141 articles)

        Une base complète d’articles

        Actualisée et enrichie d’articles validés par nos comités scientifiques.

        Des contenus enrichis

        Quiz, médias, tableaux, formules, vidéos, etc.

        Des modules pratiques

        Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses.

        Des avantages inclus

        Un ensemble de services exclusifs en complément des ressources.

        Voir l'offre

        S'inscrire à la Veille Personnalisée

        Ressources documentaires

        La technologie NFC - Principes de fonctionnement et applications

        Les technologies sans contact sont, depuis des dizaines d’années, largement déployées dans le monde et ...

        Standard pour réseaux sans fil : IEEE 802.11

        Introduction d'IPv6 dans les réseaux mobiles - Impacts sur la sécurité

        Cet article présente les options permettant d’introduire IPv6 dans les infrastructures mobiles, tout en ...

        Suite de protocoles IPsec au service des VPN et de la mobilité

        Dès que des communications d'une entreprise sont effectuées au travers d'un réseau public, il est ...

        Tous les livres blancs
        Toutes les actualités
        Toutes les conférences en ligne