Moyens de paiement

La sécurité des cartes sans contact est-elle assurée ?

À l’heure où le paiement NFC commence enfin à se déployer en France, il semblerait que le standard EMV ne soit pas pensé pour le sans contact et laisse des failles dans la confidentialité des transactions. Qu’en est-il exactement ?

La sécurité des cartes sans contact est-elle assurée ?

Les paiements sans contact sont-ils sécurisés ? À cette question, Renaud Lifchitz, ingénieur sécurité chez BT, répond par la négative. Lorsqu’il reçoit en décembre dernier une carte « duale » en renouvellement de sa carte, sa curiosité s’éveille et il s’intéresse aux mécanismes de sécurité : « J’ai vu qu’il n’y avait absolument aucun mécanisme de protection. Je ne dis pas qu’il y a une sécurité faible, je dis qu’il n’y a absolument aucun mécanisme de sécurité, c’est-à-dire que toutes les informations qui sont contenues dans la carte sont accessibles sans authentification, sans autorisation, sans aucun chiffrement. Autrement dit, dès qu’on sait parler à la carte, on peut lui demander quel est le nom du porteur, quel est le numéro de carte, quelle est la date d’expiration ou quelles sont les dernières dépenses faites sur la carte. » Plus précisément, pour les dépenses, le logiciel développé par Renaud Lifchitz permet de distinguer une transaction commerciale d'un retrait d’argent, mais il ne va pas au-delà. Pour arriver à ce résultat, il suffit d’avoir un lecteur sans contact, soit un smartphone NFC tel que ceux qui se commercialisent actuellement ou un petit lecteur en forme de clé USB. « Il y a des lecteurs accessibles au grand public qui coûtent entre 30 et 40 euros, précise Renaud Lifchitz. Il existe aussi des lecteurs à plat. C’est le seul matériel nécessaire, avec un PC. Le reste, c’est un peu de travail de développement, mais assez léger. Ce dont je me suis aperçu, c’est qu’on peut discuter avec une carte sans contact de la même façon que l’on discute avec une carte bancaire standard, il suffit juste de préfixer les commandes qu’on envoie par un en-tête pour le sans contact. Et d’envoyer ça dans les airs, plutôt qu’envoyer directement à la puce. »

Aucun chiffrement prévu

Le protocole EMV ne prévoit aucun chiffrement dans la façon dont la carte discute avec le lecteur. Si cet élément ne pose aucun problème dans un environnement où la carte s’insère dans le terminal de paiement et où il y a un contact physique protégé et volontaire entre les deux, dans un système où les informations transitent par ondes radio (les fréquences NFC sont à 13,56 MHz), il devient possible de les intercepter sans action volontaire du porteur. Pour Renaud Lifchitz, il est donc désormais possible d’interroger à distance une carte pour connaître l’identité du porteur, voler ses coordonnées de paiement (sans le cryptogramme visuel néanmoins) ou lui faire régler des achats. Il va même plus loin et envisage plusieurs méthodes possibles de fraude : à distance, un commerçant pourrait rejouer la transaction qui a eu lieu dans sa boutique ; c'est la variante moderne de la vieille arnaque « au sabot » des cartes à piste. Une personne équipée d’un lecteur pourrait aussi « aspirer » de façon passive les informations contenues dans la carte et les réutiliser pour faire une fausse carte ou effectuer des achats sur Internet, ou une personne équipée d’une antenne et d’un lecteur serait à même d'écouter à distance les échanges entre cartes et lecteurs (jusqu'à 15 mètres sans amplificateur, 40 avec).

Une vulnérabilité connue, mais qui dérange

Faut-il s’en inquiéter ? Pour Chris Kangas, chef du département Paypass pour MasterCard, « en près de dix ans de déploiement mondial du sans contact PayPass, nos clients ne nous ont fait part d'aucune attaque frauduleuse importante liée à l'interface sans contact. Cette vulnérabilité n’est en l'occurrence pas une nouveauté, elle est connue depuis quelques années. » Pour autant, elle agite tellement le secteur que ni les fabricants de cartes à puces, ni ceux de terminaux n’ont voulu répondre à nos questions. À chaque fois, ils se défaussent en affirmant ne pas être habilités à en parler et renvoient vers leurs clients ou vers les grands émetteurs de cartes… À la Banque de France, Geoffroy Goffinet, chef du service de la surveillance des moyens de paiement, confirme suivre ce sujet depuis 2007 : « Cette attaque permet notamment, à faible distance, de lire trois données sensibles de la carte: son numéro, sa date d’expiration et le nom du porteur. Le risque réel d'exploitation de ces données pour effectuer des paiements frauduleux est limité pour l’essentiel aux paiements sur Internet. Aujourd’hui, en France et en Europe, ce risque est inexistant, car nous avons imposé l’utilisation du cryptogramme visuel (CVx2), seulement présent au dos de la carte et qui n’est pas lu par cette écoute. » Cette première protection est efficace seulement en partie, car tous les sites marchands, en particulier hors de France, ne demandent ni ne vérifient ce cryptogramme au moment de l’achat. D’autre part, celui-ci n’est composé que de trois chiffres, ce qui fait mille combinaisons possibles. Trouver le bon CVx2 correspondant à une carte avec un logiciel spécialisé ne prend que quelques minutes.

Un code dédié à l’usage en sans contact ?

« Il existe à ce jour des mesures pour éviter la réutilisation des données qui ont été captées, précise Geoffroy Goffinet. Sur la partie paiement à distance, la Banque de France en préconise plusieurs: l'utilisation du CVx2, déjà acquise en France, et la mise en œuvre de 3DSecure conjointement à l’équipement des porteurs en authentification forte. Cette dernière mesure permet plus généralement de renforcer la sécurité des transactions par carte sur Internet. » Une autre solution pourrait être de disposer d’un code PIN séparé sur la fonction sans contact par rapport à la fonction contact et d’interdire la possibilité d’utiliser le PIN des sans contact sur Internet. En pratique, le paiement sans contact se fait sans identification par code PIN jusqu’à une certaine somme dépensée (entre 80 et 120 euros suivant la carte) ou jusqu’à un certain nombre de transactions (entre 6 et 8). Ensuite, il faut se réauthentifier. À l’heure actuelle, comme la carte bancaire n’a qu’un seul code PIN, un achat avec contact ou un retrait au DAB réinitialise le processus. Avec cette demande de la Banque de France, il faudrait deux codes PIN, le second ne servant qu’à valider à intervalles réguliers l’identité du porteur en mode sans contact. Reste à déterminer comment cacher cette information dans la puce pour que les deux codes PIN ne soient pas transmis à travers les airs. « Nous avons recommandé aux émetteurs d'être prêts à équiper, si nécessaire, les porteurs de cartes sans contact d’étuis de protection qui agissent un peu comme des cages de Faraday et empêchent le fonctionnement sans contact lorsque la carte y est rangée. Ou encore d’avoir la possibilité de désactiver la fonction sans contact sur une carte ou un téléphone mobile par d'autres moyens techniques. »

Cloisonner les risques

Pour MasterCard, la norme Paypass impose que le nom du porteur n’apparaisse pas en clair en mode sans contact. Son homologue Visa Europe se limite à un communiqué laconique : « Les pratiques frauduleuses sont en constante évolution et Visa s'efforce sans cesse d'anticiper et de prévenir ces fraudes afin d'assurer la protection des porteurs de cartes. Le sans contact est un système de paiement sécurisé et les consommateurs peuvent l'utiliser en toute confiance. » Le GIE Carte bancaire (GIE-CB) veut également un système similaire : « Dès aujourd’hui, sur plus de 70% des cartes CB sans contact déjà en circulation, le nom et le prénom ne sont pas accessibles via l'interface sans contact. Dès cet été, toutes les cartes nouvellement émises respecteront ce protocole de non-divulgation du nom du porteur en sans contact. » affirme Jean-Marc Bornet, administrateur du GIE-CB. Il explique également qu’il est impossible de faire une copie de carte en utilisant les informations volées sans contact pour créer une nouvelle piste magnétique : « La puce contient des informations équivalentes à une piste magnétique réelle, mais qui en diffère volontairement par un détail. L'un des secrets de la lutte contre la fraude, c'est le cloisonnement des risques. » En revanche, le GIE-CB n’envisage pas de chiffrement ou d’authentification au-dessus du protocole EMV dans un avenir proche, similaire à celui que la STIF (Société des transports d’Ile de France) a installé sur le passe de transport Navigo (authentification mutuelle du passe et du valideur, puis chiffrement des échanges). « Il ne faut pas comparer ce qui n’est pas comparable. Le paiement fait partie d’accords mondiaux où la carte doit être utilisée partout. Le terminal de paiement ne peut donc pas être un coffre-fort à toute épreuve. Le système CB s’inscrit dans quelque chose qui doit rester interopérable. » Pour sécuriser les transactions avec et sans contact, Jean-Marc Bornet compte sur l’ensemble des procédures déjà mises en place pour détecter les transactions frauduleuses, réfutant au passage la réalité d'écoutes à distance effectuées lors d’une transaction sans contact. Faudra-t-il attendre une attaque réelle, et non simplement une démonstration de faisabilité, pour sécuriser un peu plus les cartes bancaires ?

 

Articles du(des) même(s) auteur(s)

Sur le même sujet