Eric HANSEN - La carte bancaire sans contact pas securisée
1. Page 1 sur 4
La carte bancaire sans contact n’est pas sécurisée
14 mai, 2012
En avril 2012, un consultant en sécurité informatique a découvert une incroyable faille dans les
cartes bancaires équipées d’une puce de paiement sans contact. Erreur de conception ou contrôle
qualité hasardeux… nos données bancaires confidentielles peuvent facilement être piratées et
réutilisées sur internet…
Retour sur les faits
Récemment deux grands rendez-vous de la sécurité informatique se sont déroulés à Paris : les “GS
Days 2012″ qui est le colloque des “journées francophones de la sécurité” le 3 avril 2012 ainsi que
la conférence “Hackito Ergo Sum” qui a regroupé du 12 au 14 avril quatre cents hackers
informatiques de 40 nationalités différentes, venus faire le point sur les dernières découvertes dans
le domaine de la sécurité informatique. En ces deux occasions, Renaud Lifchitz, Consultant en
sécurité de l’information au sien de BT Global Services (Société informatique internationale de 37
000 collaborateurs présente dans 173 pays qui propose ses services aux grandes entreprises) a
pointé du doigt une faille logicielle dans le système des cartes bancaires de paiement sans contact
VISA payWave & MasterCard PayPass (utilisant la technologie NFC).
Cette technologie NFC (Near Field Communication) permet de réaliser des achats sans contact
entre le moyen de paiement et une machine réceptrice d’informations. Ce type de solution permet
donc en principe de faciliter et fluidifier les petites transactions du quotidien (inférieures à 20 euros)
en réglant ses achats depuis un périphérique comme une carte bancaire, un Smartphone, une
tablette…
Renaud Lifchitz a démontré, à titre personnel comme “défi technique”, comme il est simple de
pirater une carte de paiement “sans contact” durant une opération bancaire ou simplement en
aspirant ses informations alors qu’elle se trouve dans la poche de son propriétaire.
Il a utilisé une simple clé USB NFC (environ 40 euros) connectée à un ordinateur portable ou bien
à un Smartphone afin de capter les communications. À l’aide d’une petite application développée
pour l’occasion, la clé USB se comporte alors comme un terminal de paiement et permet de capter
et d’interpréter le signal émis par la carte placée juste à côté. Ce dispositif a permis de récupérer à
distance et d’afficher le nom du porteur, le numéro de la carte (16 chiffres du code PAN), la date
d’expiration, ainsi que le détail des 20 dernières transactions sur l’écran de son ordinateur. En outre,
les données contenues dans la bande magnétique de la carte bancaire peuvent être également
consultées par un éventuel pirate. En effet, une copie numérique de cette bande est stockée dans
la puce qui devient de fait interrogeable par NFC. Ainsi il devient possible de cloner la carte bancaire
sans même un lecteur de carte à puce…
Cela sonne mal alors que le marché des NFC est actuellement en pleine expansion
Dans un communiqué de presse du 22 mars 2012, la Fédération Française des Telecom indiquait
2. Page 2 sur 4
que les opérateurs investissent dans le déploiement harmonieux des services mobiles sans contact,
en France. Le sans contact mobile apparait comme une innovation majeure pour les
consommateurs français. “Cette technologie permet d’offrir aux consommateurs une nouvelle
génération de services à portée de main. Le principe de ces services mobiles sans contact est simple
: d’un geste de la main, en passant son téléphone mobile sur un lecteur adapté, l’utilisateur peut
interagir avec son environnement direct. Les applications actuellement développées sont
extrêmement variées : les collectivités territoriales proposeront des applications autour de la
valorisation du patrimoine culturel (informations sur mobile, billetterie,…), de l’éducation, de la
santé (identification, traçabilité,…), des loisirs ou encore pour faciliter l’accès aux services publics
locaux (bibliothèques, stationnement,…). D’autres usages vont également rapidement se diffuser,
notamment la validation des titres de voyage pour les réseaux de transports publics, mais aussi le
paiement de proximité, les programmes de fidélité, voire, à terme, les services à la personne.
500 000 mobiles permettant d’utiliser ces services sont déjà entre les mains de clients français et
ce chiffre devrait atteindre 2,5 millions à la fin de l’année. Les opérateurs ont la vocation de diffuser
cette technologie à leurs 65 millions de clients sur l’ensemble du territoire français, en
accompagnement des collectivités locales.
Le sans contact mobile, un levier de croissance et un enjeu de compétitivité pour la France : la mise
en œuvre de nouveaux services de proximité via les mobiles dans neuf territoires (Bordeaux, Caen,
Grenoble, Marseille, Mulhouse, Strasbourg Toulon, Toulouse ainsi que le Comité régional du
tourisme (CRT) d’Ile-de-France) devrait permettre à l’ensemble des acteurs français d’accentuer
leur avance dans un domaine d’activités en plein foisonnement partout dans le monde.
En s’appuyant sur la concrétisation de ces projets et à travers la valeur ajoutée ainsi créée, tous les
acteurs impliqués pourront trouver des relais de croissance important pour leurs activités, en France
et à l’étranger, ce qui favorisera l’emploi et la compétitivité des industries françaises. Tous les
secteurs d’activité peuvent être acteurs de cette révolution technologique, en imaginant et
développant avec les opérateurs de nouveaux services sans contact mobile.”
A moins que des problèmes critiques de sécurité ne viennent ralentir ces belles initiatives…
Ce que Renaud Lifchitz a mis en évidence
Le standard international de sécurité EMV (Europay Mastercard Visa) qui est utilisé en France,
depuis fin 2006, par le système national des Cartes Bancaires (CB) et l’ensemble du parc des
terminaux de paiement électroniques (ou TPE) et qui est supposé garantir :
• interopérabilité internationale (quel que soit l’émetteur de la carte et quel que soit le terminal de
paiement)
• vérification et chiffrement de la clé personnelle par la puce
3. Page 3 sur 4
Par sa démonstration, Renaud Lifchitz remet en question le standard EMV qui selon lui aurait été
utilisé tel quel via la technologie NFC, sans se poser plus de questions sur la sécurité des échanges
entre la carte et le lecteur qui n’est pas cryptée…
Nous avons donc ici une non-conformité aux spécifications techniques internationales PCI DSS*
qui exigent, en autre, le chiffrement de la transmission des données des détenteurs de cartes de
crédit et de l’information confidentielle par le biais des réseaux publics.
En principe, les cartes de paiement affichant le sigle EMV (Europay Mastercard Visa) sont dotées
d’un système de vérification et de cryptage de la clé personnelle par la puce. Certaines d’entre elles
proposent également des moyens d’authentification forte comme le mot de passe unique (OTP,
pour One Time Password). Pourtant, certaines cartes compatibles avec le NFC ne proposent pas ce
type de sécurisation.
Quelles sont les conséquences possibles ?
Les spécifications EMV ne semblent pas avoir été respectées dans la fabrication des cartes de
paiement. Le contre argument avancé par les banques est que d’une part il est impossible
d’intercepter les informations au-delà d’une dizaine de centimètres et d’autre part, le paiement
sans contact est limité pour des petites sommes d’un montant maximum de 20 euros.
Mais de son côté, Renaud Lifchitz a démontré qu’avec du matériel d’environ 2000 euros, il est
possible d’intercepter des transmissions de paiement à plusieurs mètres de distance. En outre, les
informations piratées lors d’une transaction sans contact peuvent très facilement être utilisées pour
réaliser des transactions d’achat sur internet sans authentification du porteur, c’est-à-dire partout
où le code PIN n’est pas demandé, donc à l’étranger (dans les pays “hors EMV” demandant
uniquement le numéro de carte bancaire et la date d’expiration mais pas le cryptogramme des trois
derniers chiffres placés au dos de la carte).
Renaud Lifchitz a alerté sa banque qui l’a remercié pour cette information. Mais il n’a pas eu de
retour d’autres banques. Seuls les organismes publics : ministère des Finances, ministère de
l’Intérieur, ainsi que la CNIL ont été intéressés. Et il communique avec cette dernière “pour mettre
en place un protocole”.
Jean-Marc Bornet Administrateur du GIE Cartes Bancaires a été alerté de cette faille. Il explique
qu’afin d’éviter les risques de perte de données, le groupement collabore étroitement avec les
autorités publiques compétentes et ajoute que désormais, les banques distribuent des étuis
capables d’agir comme des cages de Faraday pour empêcher le piratage électronique … En effet,
cette cage de Faraday permet au moins de se protéger lorsqu’on n’utilise pas sa carte NFC.
Quelles sont les parades possibles pour le paiement sans contact ?
Pour Armand Heslot Ingénieur expert en systèmes d’information à la CNIL, il existe des solutions
assez simples qui pourraient être mises en œuvre :
4. Page 4 sur 4
- l’emploi d’un code PIN différent pour la partie sans contact (Cf. un rapport de l’observatoire de la
sécurité des cartes de paiement datant de 2009).
- laisser le contrôle complet de cette partie à l’utilisateur, qui pourra donc choisir de la désactiver
(recommandation de la Banque de France).
Renaud Lifchitz indique que pour se protéger la seule solution consiste à utiliser un étui en métal,
faisant office de “cage de Faraday” neutralisant ainsi tout rayonnement électromagnétique.
Néanmoins, une véritable transmission cryptée est nécessaire. Il explique que “des mesures sont
prévues et qu’il suffirait de les activer” d’autant que les cartes sont équipées d’une puce dédiée au
cryptage des données…
On peut légitimement s’interroger sur cette faille informatique dans laquelle la protection des
données personnelles a été négligée.
S’agit-il d’une erreur de conception ? Les procédures de contrôle qualité ont-elle été bâclées ? Pour
Renaud Lifchitz, les protocoles de sécurisation ont été repris à l’identique des cartes de paiement
avec contact, sans adaptation aux contraintes et risques de piratage technique de
télécommunication par radio. “La phase d’industrialisation a peut-être été un peu trop rapide…”
d’après lui.
Gageons que les différents spécialistes œuvrent très rapidement à la correction de cette faille avant
que d’autres acteurs émergents comme les USA ou le Japon ne s’emparent de ce marché en plein
développement…
* La norme Payment Card Industry Data Security Standard (PCI DSS) créée conjointement par
MasterCard et VISA porte sur la sécurisation des données de détenteurs de cartes de crédit. Au
cours d’une transaction, des données sensibles telles que les numéros de cartes de crédit sont
transmises, traitées et parfois conservées pour de brefs instants. Afin de s’assurer que ces données
sensibles sont adéquatement protégées durant toutes les étapes du processus transactionnel, la
norme PCI DSS impose, à l’ensemble des acteurs de l’industrie du paiement, l’adoption de mesures
de sécurité.
La norme PCI DSS a donc pour objectif de protéger les données reliées à l’utilisation des cartes de
crédit. Pour être conformes, les acteurs de l’industrie du paiement qui conservent, traitent ou
transmettent des numéros de cartes de crédit doivent satisfaire aux 12 exigences de bon sens et de
sécurité dont “Protéger les données des détenteurs de cartes de crédit” (protéger les données des
détenteurs de cartes de crédit stockées et chiffrer la transmission des données des détenteurs de
cartes et de l’information confidentielle par le biais des réseaux publics.)
Eric Hansen