La buzzosphère bancaire en émoi
Editorial du Smart Webzine du n°181 du 3 mai 2012 http://www.smart-webzine.com/la-buzzosphere-bancaire-en-emoi-753 Bonjour à tous, Au cours de la conférence Hackito Ergo Sum à Paris, Renaud Lifchitz, ingénieur sécurité chez BT, a fait sensation avec sa présentation « Hacking the NFC credit cards for fun and debit 😉 ». De la théorie indiquant qu’il était possible d’intercepter des informations sensibles sur une carte bancaire sans contact au standard EMV (Visa/Mastercard), il est passé à la pratique en extrayant quelques informations de la carte d’un journaliste… Selon Renaud Lifchitz, il serait possible à un hacker d’obtenir avec des matériels peu couteux : le numéro de la carte bancaire, le nom du porteur, les dernières transactions, la date d’expiration etc. De quoi donner des sueurs froides aux banques émettrices et aux utilisateurs ! Dans la mesure où ces informations sensibles ne seraient pas cryptées, la seule parade pour le porteur consisterait à enfermer la carte dans un étui métallique, comme cage de Faraday. Cela risque d’être compliqué à expliquer aux clients qui, pour la plupart, n’avaient pas demandé à bénéficier du paiement sans contact. Et quand on sait que, selon la prévision du groupement Cartes Bancaires, d’ici 2015, la quasi-totalité des cartes bancaires EMV incluront la fonction sans contact… Au secours ? N’étant pas expert de la sécurité des cartes bancaires, je laisse le soin aux spécialistes de faire la part des choses et d’améliorer leurs systèmes et leurs standards, s’il y a lieu. Rêve ou réalité, la démonstration de Renaud Lifchitz visait surtout à sensibiliser sur le fait que ce n’est pas parce que la technologie « sans contact » NFC repose sur une transaction à courte portée (2 à 3 centimètre) qu’il faut se dispenser de crypter les données et les échanges.
Pour ce qui est de la sécurité des cartes sans contact, moi consommateur je dirais : « même pas peur ! ». Le paiement sans contact est limité à 20 €, et c’est la banque qui est responsable en cas de fraude lors du paiement sans contact, mais aussi des paiements usurpés sur internet.
Quant à mes données personnelles, vous en trouverez plus sur moi avec LinkedIn ou Facebook que sur ma carte. Les banquiers vont confirmeront qu’ils peuvent agir aussi au niveau acquisition (le terminal de paiement) pour bloquer la fonctionnalité sans contact, en cas d’attaque – moyen radical mais imparable – et que, sur internet, les fraudeurs à la carte sans contact seront vite repérés. Enfin, les spécialistes radios resteront dubitatifs sur les possibilités réelles d’extraire des données d’une carte sans contact NFC à moyenne distance, même avec une grosse antenne… En matière de sécurité, la prudence est de mise, mais de là à jeter le bébé avec l’eau du bain – selon le fameux « principe de précaution » qui torpille souvent l’innovation – il y a un monde !
Je terminerai avec 3 observations :
1. Les émetteurs de cartes bancaires EMV ne sont pas des apprentis sorciers, et nous pouvons leur faire confiance pour améliorer sans cesse la sécurité des données et des transactions financières. C’est leur devoir, leur responsabilité… et leur intérêt.
2. Le consommateur a besoin d’avoir confiance dans ses moyens de paiement. Il est crucial de lui expliquer les bénéfices des services, tels que le paiement sans contact, et de le rassurer sur les garanties offertes, et les moyens d’assurer la protection de ses informations sensibles. Les banques et les commerces en sont bien conscients.
3. Enfin et surtout, le mobile NFC ouvrira de nouvelles voies en matière de sans contact, puisque le clavier et l’écran permettent, à loisir, d’activer ou désactiver le paiement sans contact, d’une part, et la communication en NFC, d’autre part. De quoi accélérer le passage de la carte sans contact au mobile NFC ? Bonne lecture de votre Webzine, François Lecomte-Vagniez Directeur associé de Lobary Président du comité de programme du NFC World Congress