Publié le 18/12/2014 à à 10h41
Visa, American Express, MasterCard... Les cartes bancaires de paiement sans contact distribuées depuis mars 2013 par les banques peuvent être piratées en quelques secondes.
Payer avec une carte bancaire sans contact, c’est d'une simplicité extrême, tout comme prendre le métro avec son pass navigo. En 2015, 70% de ces nouvelles générations de cartes sera invariablement dans votre porte-feuilles, d'après la société Betabrand.
Mais l'ennui est qu'il y a une faille de sécurité qui permet de la pirater en quelques millisecondes, et cette méthode est à la portée de tous !
Il suffit de se tenir à proximité, 5 centimètres environ, pour la pirater à partir d’une clef USB NFC connectée à un ordinateur ou bien d’un téléphone portable. Certains pirates ayant du matériel sophistiqué ont des amplificateurs permettant d'intercepter les données jusqu’à 15 mètres de distance ! Cela fonctionne à travers un porte-feuille ou un sac sans problème.
Le code source du logiciel permettant d'effectuer ce piratage est disponible gratuitement sur Internet, délivré par Google. La clé USB NFC coûte 40 €TTC environ.
Ce que nous révèle le logiciel pirate sur les cartes bancaires sans contact sont :
- le nom du porteur
- le numéro de carte
- la date d'expiration
- le détail des 20 dernières transactions
Aux dernières nouvelles, Norton et Betabrand ont imaginé une solution avec des vêtements qui bloquent les ondes radio émises par un smartphone ou une carte bancaire. Mais à 120 euros le pantalon contenant 2 poches doublées par un tissu bloquant les ondes émises par des puces RFID (qui équipent les appareils utilisant une technologie sans contact), cela fait très cher !
D'après Visa, il faudra attendre environ 2 ans pour qu'une "autre" nouvelle génération de cartes voit le jour avec un pare-feu intégré pour que les données ne soient pas piratées. Mais pour l'instant, la seule solution pas trop chère pour sécuriser sa carte de paiement est de la conserver dans un étui en aluminium. Un peu paradoxal pour une technologie sans contact !
Heureusement, il existe une solution bien plus pratique qui consiste à aller sur le site internet de votre banque afin de désactiver l'option « paiement sans contact ». Toutes les banques ne proposent pas cette solution, et si tel est le cas, le mieux est donc de vous adresser à votre conseiller bancaire en lui disant que vous refusez cette carte et que vous exigez une carte sans technologie NFC à la place.
Depuis juillet 2013, les banques sont obligées de répondre à votre demande depuis que la Commission nationale de l’informatique et des libertés (CNIL) les a rappelées à l’ordre à ce sujet.
Sources :
- Article de Micro Hebdo n°745 (6-12 septembre 2014).
- Les slides (PDF) présentées lors de la conférence Hackito Ergo Sum par Renaud Lifchitz, ingénieur sécurité chez BT (anciennement British Telecom) qui a mis au jour ce problème de sécurité dans les nouvelles cartes bancaires utilisant la technologie NFC.
Voir tous les autres articles du thème Piraterie informatique »
Plus besoin de chercher et de noter les informations, scannez ce QR code avec votre smartphone pour surfer sur ce site !
Qu'est-ce qu'un QR Code ?