SlideShare ist ein Scribd-Unternehmen logo

Eric HANSEN - La carte bancaire sans contact pas securisée

Eric HANSEN
Eric HANSEN
1 von 4
Downloaden Sie, um offline zu lesen
Page 1 sur 4 La carte bancaire sans contact n’est pas sécurisée 14 mai, 2012 En avril 2012, un consultant en sécurité informatique a découvert une incroyable faille dans les cartes bancaires équipées d’une puce de paiement sans contact. Erreur de conception ou contrôle qualité hasardeux… nos données bancaires confidentielles peuvent facilement être piratées et réutilisées sur internet… Retour sur les faits Récemment deux grands rendez-vous de la sécurité informatique se sont déroulés à Paris : les “GS Days 2012″ qui est le colloque des “journées francophones de la sécurité” le 3 avril 2012 ainsi que la conférence “Hackito Ergo Sum” qui a regroupé du 12 au 14 avril quatre cents hackers informatiques de 40 nationalités différentes, venus faire le point sur les dernières découvertes dans le domaine de la sécurité informatique. En ces deux occasions, Renaud Lifchitz, Consultant en sécurité de l’information au sien de BT Global Services (Société informatique internationale de 37 000 collaborateurs présente dans 173 pays qui propose ses services aux grandes entreprises) a pointé du doigt une faille logicielle dans le système des cartes bancaires de paiement sans contact VISA payWave & MasterCard PayPass (utilisant la technologie NFC). Cette technologie NFC (Near Field Communication) permet de réaliser des achats sans contact entre le moyen de paiement et une machine réceptrice d’informations. Ce type de solution permet donc en principe de faciliter et fluidifier les petites transactions du quotidien (inférieures à 20 euros) en réglant ses achats depuis un périphérique comme une carte bancaire, un Smartphone, une tablette… Renaud Lifchitz a démontré, à titre personnel comme “défi technique”, comme il est simple de pirater une carte de paiement “sans contact” durant une opération bancaire ou simplement en aspirant ses informations alors qu’elle se trouve dans la poche de son propriétaire. Il a utilisé une simple clé USB NFC (environ 40 euros) connectée à un ordinateur portable ou bien à un Smartphone afin de capter les communications. À l’aide d’une petite application développée pour l’occasion, la clé USB se comporte alors comme un terminal de paiement et permet de capter et d’interpréter le signal émis par la carte placée juste à côté. Ce dispositif a permis de récupérer à distance et d’afficher le nom du porteur, le numéro de la carte (16 chiffres du code PAN), la date d’expiration, ainsi que le détail des 20 dernières transactions sur l’écran de son ordinateur. En outre, les données contenues dans la bande magnétique de la carte bancaire peuvent être également consultées par un éventuel pirate. En effet, une copie numérique de cette bande est stockée dans la puce qui devient de fait interrogeable par NFC. Ainsi il devient possible de cloner la carte bancaire sans même un lecteur de carte à puce… Cela sonne mal alors que le marché des NFC est actuellement en pleine expansion Dans un communiqué de presse du 22 mars 2012, la Fédération Française des Telecom indiquait
Page 2 sur 4 que les opérateurs investissent dans le déploiement harmonieux des services mobiles sans contact, en France. Le sans contact mobile apparait comme une innovation majeure pour les consommateurs français. “Cette technologie permet d’offrir aux consommateurs une nouvelle génération de services à portée de main. Le principe de ces services mobiles sans contact est simple : d’un geste de la main, en passant son téléphone mobile sur un lecteur adapté, l’utilisateur peut interagir avec son environnement direct. Les applications actuellement développées sont extrêmement variées : les collectivités territoriales proposeront des applications autour de la valorisation du patrimoine culturel (informations sur mobile, billetterie,…), de l’éducation, de la santé (identification, traçabilité,…), des loisirs ou encore pour faciliter l’accès aux services publics locaux (bibliothèques, stationnement,…). D’autres usages vont également rapidement se diffuser, notamment la validation des titres de voyage pour les réseaux de transports publics, mais aussi le paiement de proximité, les programmes de fidélité, voire, à terme, les services à la personne. 500 000 mobiles permettant d’utiliser ces services sont déjà entre les mains de clients français et ce chiffre devrait atteindre 2,5 millions à la fin de l’année. Les opérateurs ont la vocation de diffuser cette technologie à leurs 65 millions de clients sur l’ensemble du territoire français, en accompagnement des collectivités locales. Le sans contact mobile, un levier de croissance et un enjeu de compétitivité pour la France : la mise en œuvre de nouveaux services de proximité via les mobiles dans neuf territoires (Bordeaux, Caen, Grenoble, Marseille, Mulhouse, Strasbourg Toulon, Toulouse ainsi que le Comité régional du tourisme (CRT) d’Ile-de-France) devrait permettre à l’ensemble des acteurs français d’accentuer leur avance dans un domaine d’activités en plein foisonnement partout dans le monde. En s’appuyant sur la concrétisation de ces projets et à travers la valeur ajoutée ainsi créée, tous les acteurs impliqués pourront trouver des relais de croissance important pour leurs activités, en France et à l’étranger, ce qui favorisera l’emploi et la compétitivité des industries françaises. Tous les secteurs d’activité peuvent être acteurs de cette révolution technologique, en imaginant et développant avec les opérateurs de nouveaux services sans contact mobile.” A moins que des problèmes critiques de sécurité ne viennent ralentir ces belles initiatives… Ce que Renaud Lifchitz a mis en évidence Le standard international de sécurité EMV (Europay Mastercard Visa) qui est utilisé en France, depuis fin 2006, par le système national des Cartes Bancaires (CB) et l’ensemble du parc des terminaux de paiement électroniques (ou TPE) et qui est supposé garantir : • interopérabilité internationale (quel que soit l’émetteur de la carte et quel que soit le terminal de paiement) • vérification et chiffrement de la clé personnelle par la puce
Page 3 sur 4 Par sa démonstration, Renaud Lifchitz remet en question le standard EMV qui selon lui aurait été utilisé tel quel via la technologie NFC, sans se poser plus de questions sur la sécurité des échanges entre la carte et le lecteur qui n’est pas cryptée… Nous avons donc ici une non-conformité aux spécifications techniques internationales PCI DSS* qui exigent, en autre, le chiffrement de la transmission des données des détenteurs de cartes de crédit et de l’information confidentielle par le biais des réseaux publics. En principe, les cartes de paiement affichant le sigle EMV (Europay Mastercard Visa) sont dotées d’un système de vérification et de cryptage de la clé personnelle par la puce. Certaines d’entre elles proposent également des moyens d’authentification forte comme le mot de passe unique (OTP, pour One Time Password). Pourtant, certaines cartes compatibles avec le NFC ne proposent pas ce type de sécurisation. Quelles sont les conséquences possibles ? Les spécifications EMV ne semblent pas avoir été respectées dans la fabrication des cartes de paiement. Le contre argument avancé par les banques est que d’une part il est impossible d’intercepter les informations au-delà d’une dizaine de centimètres et d’autre part, le paiement sans contact est limité pour des petites sommes d’un montant maximum de 20 euros. Mais de son côté, Renaud Lifchitz a démontré qu’avec du matériel d’environ 2000 euros, il est possible d’intercepter des transmissions de paiement à plusieurs mètres de distance. En outre, les informations piratées lors d’une transaction sans contact peuvent très facilement être utilisées pour réaliser des transactions d’achat sur internet sans authentification du porteur, c’est-à-dire partout où le code PIN n’est pas demandé, donc à l’étranger (dans les pays “hors EMV” demandant uniquement le numéro de carte bancaire et la date d’expiration mais pas le cryptogramme des trois derniers chiffres placés au dos de la carte). Renaud Lifchitz a alerté sa banque qui l’a remercié pour cette information. Mais il n’a pas eu de retour d’autres banques. Seuls les organismes publics : ministère des Finances, ministère de l’Intérieur, ainsi que la CNIL ont été intéressés. Et il communique avec cette dernière “pour mettre en place un protocole”. Jean-Marc Bornet Administrateur du GIE Cartes Bancaires a été alerté de cette faille. Il explique qu’afin d’éviter les risques de perte de données, le groupement collabore étroitement avec les autorités publiques compétentes et ajoute que désormais, les banques distribuent des étuis capables d’agir comme des cages de Faraday pour empêcher le piratage électronique … En effet, cette cage de Faraday permet au moins de se protéger lorsqu’on n’utilise pas sa carte NFC. Quelles sont les parades possibles pour le paiement sans contact ? Pour Armand Heslot Ingénieur expert en systèmes d’information à la CNIL, il existe des solutions assez simples qui pourraient être mises en œuvre :
Page 4 sur 4 - l’emploi d’un code PIN différent pour la partie sans contact (Cf. un rapport de l’observatoire de la sécurité des cartes de paiement datant de 2009). - laisser le contrôle complet de cette partie à l’utilisateur, qui pourra donc choisir de la désactiver (recommandation de la Banque de France). Renaud Lifchitz indique que pour se protéger la seule solution consiste à utiliser un étui en métal, faisant office de “cage de Faraday” neutralisant ainsi tout rayonnement électromagnétique. Néanmoins, une véritable transmission cryptée est nécessaire. Il explique que “des mesures sont prévues et qu’il suffirait de les activer” d’autant que les cartes sont équipées d’une puce dédiée au cryptage des données… On peut légitimement s’interroger sur cette faille informatique dans laquelle la protection des données personnelles a été négligée. S’agit-il d’une erreur de conception ? Les procédures de contrôle qualité ont-elle été bâclées ? Pour Renaud Lifchitz, les protocoles de sécurisation ont été repris à l’identique des cartes de paiement avec contact, sans adaptation aux contraintes et risques de piratage technique de télécommunication par radio. “La phase d’industrialisation a peut-être été un peu trop rapide…” d’après lui. Gageons que les différents spécialistes œuvrent très rapidement à la correction de cette faille avant que d’autres acteurs émergents comme les USA ou le Japon ne s’emparent de ce marché en plein développement… * La norme Payment Card Industry Data Security Standard (PCI DSS) créée conjointement par MasterCard et VISA porte sur la sécurisation des données de détenteurs de cartes de crédit. Au cours d’une transaction, des données sensibles telles que les numéros de cartes de crédit sont transmises, traitées et parfois conservées pour de brefs instants. Afin de s’assurer que ces données sensibles sont adéquatement protégées durant toutes les étapes du processus transactionnel, la norme PCI DSS impose, à l’ensemble des acteurs de l’industrie du paiement, l’adoption de mesures de sécurité. La norme PCI DSS a donc pour objectif de protéger les données reliées à l’utilisation des cartes de crédit. Pour être conformes, les acteurs de l’industrie du paiement qui conservent, traitent ou transmettent des numéros de cartes de crédit doivent satisfaire aux 12 exigences de bon sens et de sécurité dont “Protéger les données des détenteurs de cartes de crédit” (protéger les données des détenteurs de cartes de crédit stockées et chiffrer la transmission des données des détenteurs de cartes et de l’information confidentielle par le biais des réseaux publics.) Eric Hansen

Empfohlen

Le paiement sans contact acteurs et applications
Le paiement sans contact acteurs et applicationsLe paiement sans contact acteurs et applications
Le paiement sans contact acteurs et applicationsMajda Belfquih
 
Tezst
Tezst Tezst
Tezst Xavier LAIR
 
Introduction au Sanscontact NFC Rfid SmartCard
Introduction au Sanscontact NFC Rfid SmartCardIntroduction au Sanscontact NFC Rfid SmartCard
Introduction au Sanscontact NFC Rfid SmartCardPierre Metivier
 
Les usages du sans-contact mobile (NFC, QR Code, IR)
Les usages du sans-contact mobile (NFC, QR Code, IR)Les usages du sans-contact mobile (NFC, QR Code, IR)
Les usages du sans-contact mobile (NFC, QR Code, IR)Laurent de Bernede
 
Pierre Metivier - Forum smsc - Next Alsace - strasbourg
Pierre Metivier - Forum smsc - Next Alsace - strasbourgPierre Metivier - Forum smsc - Next Alsace - strasbourg
Pierre Metivier - Forum smsc - Next Alsace - strasbourgCCI Alsace Eurométropole
 
CocoaHeads Toulouse - NFC
CocoaHeads Toulouse - NFCCocoaHeads Toulouse - NFC
CocoaHeads Toulouse - NFCthomasnicholls
 
lextension-auriga-20100421
lextension-auriga-20100421lextension-auriga-20100421
lextension-auriga-20100421Marcelo Correa de Oliveira
 
Slides Serv Mob Sans Contact Fev10
Slides Serv Mob Sans Contact Fev10Slides Serv Mob Sans Contact Fev10
Slides Serv Mob Sans Contact Fev10Nicolas Debock
 

Empfohlen

Le paiement sans contact acteurs et applications
Le paiement sans contact acteurs et applicationsLe paiement sans contact acteurs et applications
Le paiement sans contact acteurs et applicationsMajda Belfquih
 
Tezst
Tezst Tezst
Tezst Xavier LAIR
 
Introduction au Sanscontact NFC Rfid SmartCard
Introduction au Sanscontact NFC Rfid SmartCardIntroduction au Sanscontact NFC Rfid SmartCard
Introduction au Sanscontact NFC Rfid SmartCardPierre Metivier
 
Les usages du sans-contact mobile (NFC, QR Code, IR)
Les usages du sans-contact mobile (NFC, QR Code, IR)Les usages du sans-contact mobile (NFC, QR Code, IR)
Les usages du sans-contact mobile (NFC, QR Code, IR)Laurent de Bernede
 
Pierre Metivier - Forum smsc - Next Alsace - strasbourg
Pierre Metivier - Forum smsc - Next Alsace - strasbourgPierre Metivier - Forum smsc - Next Alsace - strasbourg
Pierre Metivier - Forum smsc - Next Alsace - strasbourgCCI Alsace Eurométropole
 
CocoaHeads Toulouse - NFC
CocoaHeads Toulouse - NFCCocoaHeads Toulouse - NFC
CocoaHeads Toulouse - NFCthomasnicholls
 
lextension-auriga-20100421
lextension-auriga-20100421lextension-auriga-20100421
lextension-auriga-20100421Marcelo Correa de Oliveira
 
Slides Serv Mob Sans Contact Fev10
Slides Serv Mob Sans Contact Fev10Slides Serv Mob Sans Contact Fev10
Slides Serv Mob Sans Contact Fev10Nicolas Debock
 
Recruter, Fidéliser dans vos magasins avec les technologies disruptives, iBea...
Recruter, Fidéliser dans vos magasins avec les technologies disruptives, iBea...Recruter, Fidéliser dans vos magasins avec les technologies disruptives, iBea...
Recruter, Fidéliser dans vos magasins avec les technologies disruptives, iBea...servicesmobiles.fr
 
Mobile Monday Rennes #5 - NFC : Rennes Métropole
Mobile Monday Rennes #5 - NFC : Rennes MétropoleMobile Monday Rennes #5 - NFC : Rennes Métropole
Mobile Monday Rennes #5 - NFC : Rennes MétropoleLa French Tech Rennes St Malo
 
François LECOMTE, Une vision ouverte des solutions sans contacts (NFC) pour l...
François LECOMTE, Une vision ouverte des solutions sans contacts (NFC) pour l...François LECOMTE, Une vision ouverte des solutions sans contacts (NFC) pour l...
François LECOMTE, Une vision ouverte des solutions sans contacts (NFC) pour l...PSST (opinions et tendances 2.0) par jeremy dumont
 
Mobile Monday Rennes #5 - NFC : TazTzag
Mobile Monday Rennes #5 - NFC : TazTzagMobile Monday Rennes #5 - NFC : TazTzag
Mobile Monday Rennes #5 - NFC : TazTzagLa French Tech Rennes St Malo
 
Competitic qr codes, nfc votre communication devient innovante - numerique ...
Competitic qr codes, nfc votre communication devient innovante - numerique ...Competitic qr codes, nfc votre communication devient innovante - numerique ...
Competitic qr codes, nfc votre communication devient innovante - numerique ...COMPETITIC
 
Competitic Objets connectés - numerique en entreprise
Competitic Objets connectés - numerique en entrepriseCompetitic Objets connectés - numerique en entreprise
Competitic Objets connectés - numerique en entrepriseCOMPETITIC
 
De la peur des comportements millenials à l'erreur stratégique bancaire
De la peur des comportements millenials à l'erreur stratégique bancaireDe la peur des comportements millenials à l'erreur stratégique bancaire
De la peur des comportements millenials à l'erreur stratégique bancaireLaurence Dupré
 
High Connexion E-Marketing 2010 : Mobile et fidélité client
High Connexion E-Marketing 2010 : Mobile et fidélité clientHigh Connexion E-Marketing 2010 : Mobile et fidélité client
High Connexion E-Marketing 2010 : Mobile et fidélité clientHigh Connexion
 
technologie NFC-stouchi mobile
technologie NFC-stouchi mobiletechnologie NFC-stouchi mobile
technologie NFC-stouchi mobilemehdi87
 
Panorama 2013 des Services et TIC en PACA
Panorama 2013 des Services et TIC en PACAPanorama 2013 des Services et TIC en PACA
Panorama 2013 des Services et TIC en PACAMedinsoft
 
Le guide de la convergence ooh 2015
Le guide de la convergence ooh 2015Le guide de la convergence ooh 2015
Le guide de la convergence ooh 2015Benoit Régent
 
Cours mobiles du Mastère CPM 2011 (Telecom ParisTech/INA)
Cours mobiles du Mastère CPM 2011 (Telecom ParisTech/INA)Cours mobiles du Mastère CPM 2011 (Telecom ParisTech/INA)
Cours mobiles du Mastère CPM 2011 (Telecom ParisTech/INA)Stéphane Rouilly
 
Mobilegov Février 09
Mobilegov Février 09Mobilegov Février 09
Mobilegov Février 09FinancialVideo
 
2011 05 12 applications nfc en 2011 by competitic
2011 05 12 applications nfc en 2011 by competitic2011 05 12 applications nfc en 2011 by competitic
2011 05 12 applications nfc en 2011 by competiticCOMPETITIC
 
De la RFID à la NFC par Bernard JEANNE-BEYLOT @JB Thèque
De la RFID à la NFC par Bernard JEANNE-BEYLOT @JB ThèqueDe la RFID à la NFC par Bernard JEANNE-BEYLOT @JB Thèque
De la RFID à la NFC par Bernard JEANNE-BEYLOT @JB ThèqueBernard Jeanne-Beylot
 
Le NFC est-il compatible avec le ecommerce ?
Le NFC est-il compatible avec le ecommerce ?Le NFC est-il compatible avec le ecommerce ?
Le NFC est-il compatible avec le ecommerce ?Pierre Metivier
 
La NFC et la mobilité
La NFC et la mobilité La NFC et la mobilité
La NFC et la mobilité Florian Soleil
 
NFC -Near Field Technology- perspectives en Retail
NFC -Near Field Technology- perspectives en RetailNFC -Near Field Technology- perspectives en Retail
NFC -Near Field Technology- perspectives en RetailNicolas Prigent
 
Conférence SFM Technologies ACSS 2018
Conférence SFM Technologies ACSS 2018Conférence SFM Technologies ACSS 2018
Conférence SFM Technologies ACSS 2018African Cyber Security Summit
 
Zonebourse - KonnexSIM Gemalto SIMagine 2009
Zonebourse - KonnexSIM Gemalto SIMagine 2009 Zonebourse - KonnexSIM Gemalto SIMagine 2009
Zonebourse - KonnexSIM Gemalto SIMagine 2009 Yiannis Hatzopoulos
 
La bibliotecologia en colombia
La bibliotecologia en colombia La bibliotecologia en colombia
La bibliotecologia en colombia Carlos Rodriguez Campos
 
Dividiendoeldolor
DividiendoeldolorDividiendoeldolor
DividiendoeldolorFuntastic
 

Weitere ähnliche Inhalte

Was ist angesagt?

Recruter, Fidéliser dans vos magasins avec les technologies disruptives, iBea...
Recruter, Fidéliser dans vos magasins avec les technologies disruptives, iBea...Recruter, Fidéliser dans vos magasins avec les technologies disruptives, iBea...
Recruter, Fidéliser dans vos magasins avec les technologies disruptives, iBea...servicesmobiles.fr
 
Competitic qr codes, nfc votre communication devient innovante - numerique ...
Competitic qr codes, nfc votre communication devient innovante - numerique ...Competitic qr codes, nfc votre communication devient innovante - numerique ...
Competitic qr codes, nfc votre communication devient innovante - numerique ...COMPETITIC
 
Competitic Objets connectés - numerique en entreprise
Competitic Objets connectés - numerique en entrepriseCompetitic Objets connectés - numerique en entreprise
Competitic Objets connectés - numerique en entrepriseCOMPETITIC
 
De la peur des comportements millenials à l'erreur stratégique bancaire
De la peur des comportements millenials à l'erreur stratégique bancaireDe la peur des comportements millenials à l'erreur stratégique bancaire
De la peur des comportements millenials à l'erreur stratégique bancaireLaurence Dupré
 
High Connexion E-Marketing 2010 : Mobile et fidélité client
High Connexion E-Marketing 2010 : Mobile et fidélité clientHigh Connexion E-Marketing 2010 : Mobile et fidélité client
High Connexion E-Marketing 2010 : Mobile et fidélité clientHigh Connexion
 
technologie NFC-stouchi mobile
technologie NFC-stouchi mobiletechnologie NFC-stouchi mobile
technologie NFC-stouchi mobilemehdi87
 
Panorama 2013 des Services et TIC en PACA
Panorama 2013 des Services et TIC en PACAPanorama 2013 des Services et TIC en PACA
Panorama 2013 des Services et TIC en PACAMedinsoft
 
Le guide de la convergence ooh 2015
Le guide de la convergence ooh 2015Le guide de la convergence ooh 2015
Le guide de la convergence ooh 2015Benoit Régent
 
Cours mobiles du Mastère CPM 2011 (Telecom ParisTech/INA)
Cours mobiles du Mastère CPM 2011 (Telecom ParisTech/INA)Cours mobiles du Mastère CPM 2011 (Telecom ParisTech/INA)
Cours mobiles du Mastère CPM 2011 (Telecom ParisTech/INA)Stéphane Rouilly
 
2011 05 12 applications nfc en 2011 by competitic
2011 05 12 applications nfc en 2011 by competitic2011 05 12 applications nfc en 2011 by competitic
2011 05 12 applications nfc en 2011 by competiticCOMPETITIC
 
De la RFID à la NFC par Bernard JEANNE-BEYLOT @JB Thèque
De la RFID à la NFC par Bernard JEANNE-BEYLOT @JB ThèqueDe la RFID à la NFC par Bernard JEANNE-BEYLOT @JB Thèque
De la RFID à la NFC par Bernard JEANNE-BEYLOT @JB ThèqueBernard Jeanne-Beylot
 
Le NFC est-il compatible avec le ecommerce ?
Le NFC est-il compatible avec le ecommerce ?Le NFC est-il compatible avec le ecommerce ?
Le NFC est-il compatible avec le ecommerce ?Pierre Metivier
 
La NFC et la mobilité
La NFC et la mobilité La NFC et la mobilité
La NFC et la mobilité Florian Soleil
 
NFC -Near Field Technology- perspectives en Retail
NFC -Near Field Technology- perspectives en RetailNFC -Near Field Technology- perspectives en Retail
NFC -Near Field Technology- perspectives en RetailNicolas Prigent
 
Zonebourse - KonnexSIM Gemalto SIMagine 2009
Zonebourse - KonnexSIM Gemalto SIMagine 2009 Zonebourse - KonnexSIM Gemalto SIMagine 2009
Zonebourse - KonnexSIM Gemalto SIMagine 2009 Yiannis Hatzopoulos
 

Was ist angesagt? (20)

Recruter, Fidéliser dans vos magasins avec les technologies disruptives, iBea...
Recruter, Fidéliser dans vos magasins avec les technologies disruptives, iBea...Recruter, Fidéliser dans vos magasins avec les technologies disruptives, iBea...
Recruter, Fidéliser dans vos magasins avec les technologies disruptives, iBea...
 
Mobile Monday Rennes #5 - NFC : Rennes Métropole
Mobile Monday Rennes #5 - NFC : Rennes MétropoleMobile Monday Rennes #5 - NFC : Rennes Métropole
Mobile Monday Rennes #5 - NFC : Rennes Métropole
 
François LECOMTE, Une vision ouverte des solutions sans contacts (NFC) pour l...
François LECOMTE, Une vision ouverte des solutions sans contacts (NFC) pour l...François LECOMTE, Une vision ouverte des solutions sans contacts (NFC) pour l...
François LECOMTE, Une vision ouverte des solutions sans contacts (NFC) pour l...
 
Mobile Monday Rennes #5 - NFC : TazTzag
Mobile Monday Rennes #5 - NFC : TazTzagMobile Monday Rennes #5 - NFC : TazTzag
Mobile Monday Rennes #5 - NFC : TazTzag
 
Competitic qr codes, nfc votre communication devient innovante - numerique ...
Competitic qr codes, nfc votre communication devient innovante - numerique ...Competitic qr codes, nfc votre communication devient innovante - numerique ...
Competitic qr codes, nfc votre communication devient innovante - numerique ...
 
Competitic Objets connectés - numerique en entreprise
Competitic Objets connectés - numerique en entrepriseCompetitic Objets connectés - numerique en entreprise
Competitic Objets connectés - numerique en entreprise
 
De la peur des comportements millenials à l'erreur stratégique bancaire
De la peur des comportements millenials à l'erreur stratégique bancaireDe la peur des comportements millenials à l'erreur stratégique bancaire
De la peur des comportements millenials à l'erreur stratégique bancaire
 
High Connexion E-Marketing 2010 : Mobile et fidélité client
High Connexion E-Marketing 2010 : Mobile et fidélité clientHigh Connexion E-Marketing 2010 : Mobile et fidélité client
High Connexion E-Marketing 2010 : Mobile et fidélité client
 
technologie NFC-stouchi mobile
technologie NFC-stouchi mobiletechnologie NFC-stouchi mobile
technologie NFC-stouchi mobile
 
Panorama 2013 des Services et TIC en PACA
Panorama 2013 des Services et TIC en PACAPanorama 2013 des Services et TIC en PACA
Panorama 2013 des Services et TIC en PACA
 
Le guide de la convergence ooh 2015
Le guide de la convergence ooh 2015Le guide de la convergence ooh 2015
Le guide de la convergence ooh 2015
 
Cours mobiles du Mastère CPM 2011 (Telecom ParisTech/INA)
Cours mobiles du Mastère CPM 2011 (Telecom ParisTech/INA)Cours mobiles du Mastère CPM 2011 (Telecom ParisTech/INA)
Cours mobiles du Mastère CPM 2011 (Telecom ParisTech/INA)
 
Mobilegov Février 09
Mobilegov Février 09Mobilegov Février 09
Mobilegov Février 09
 
2011 05 12 applications nfc en 2011 by competitic
2011 05 12 applications nfc en 2011 by competitic2011 05 12 applications nfc en 2011 by competitic
2011 05 12 applications nfc en 2011 by competitic
 
De la RFID à la NFC par Bernard JEANNE-BEYLOT @JB Thèque
De la RFID à la NFC par Bernard JEANNE-BEYLOT @JB ThèqueDe la RFID à la NFC par Bernard JEANNE-BEYLOT @JB Thèque
De la RFID à la NFC par Bernard JEANNE-BEYLOT @JB Thèque
 
Le NFC est-il compatible avec le ecommerce ?
Le NFC est-il compatible avec le ecommerce ?Le NFC est-il compatible avec le ecommerce ?
Le NFC est-il compatible avec le ecommerce ?
 
La NFC et la mobilité
La NFC et la mobilité La NFC et la mobilité
La NFC et la mobilité
 
NFC -Near Field Technology- perspectives en Retail
NFC -Near Field Technology- perspectives en RetailNFC -Near Field Technology- perspectives en Retail
NFC -Near Field Technology- perspectives en Retail
 
Conférence SFM Technologies ACSS 2018
Conférence SFM Technologies ACSS 2018Conférence SFM Technologies ACSS 2018
Conférence SFM Technologies ACSS 2018
 
Zonebourse - KonnexSIM Gemalto SIMagine 2009
Zonebourse - KonnexSIM Gemalto SIMagine 2009 Zonebourse - KonnexSIM Gemalto SIMagine 2009
Zonebourse - KonnexSIM Gemalto SIMagine 2009
 

Andere mochten auch

Dividiendoeldolor
DividiendoeldolorDividiendoeldolor
DividiendoeldolorFuntastic
 
Rapport sur la proposition de loi sur les sondages visant à mieux garantir la...
Rapport sur la proposition de loi sur les sondages visant à mieux garantir la...Rapport sur la proposition de loi sur les sondages visant à mieux garantir la...
Rapport sur la proposition de loi sur les sondages visant à mieux garantir la...FactaMedia
 
Taches brunes sur or vert: de la guerre de la banane à celle des supermarchés
Taches brunes sur or vert: de la guerre de la banane à celle des supermarchésTaches brunes sur or vert: de la guerre de la banane à celle des supermarchés
Taches brunes sur or vert: de la guerre de la banane à celle des supermarchésTradeForDevelopment Centre
 
Presentació power point marta acabada
Presentació power point marta acabadaPresentació power point marta acabada
Presentació power point marta acabadambustosp
 
WEB2DAY Nantes_Récapitulatif par l'Agence Madame Columbo - JUIN 2014
WEB2DAY Nantes_Récapitulatif par l'Agence Madame Columbo - JUIN 2014WEB2DAY Nantes_Récapitulatif par l'Agence Madame Columbo - JUIN 2014
WEB2DAY Nantes_Récapitulatif par l'Agence Madame Columbo - JUIN 2014Emilie Tales
 
Economie en region centre
Economie en region centre Economie en region centre
Economie en region centre candide45
 
JIES 2014 - L'Ecole des Données, pour un "statactivisme" de la société civile
JIES 2014 - L'Ecole des Données, pour un "statactivisme" de la société civileJIES 2014 - L'Ecole des Données, pour un "statactivisme" de la société civile
JIES 2014 - L'Ecole des Données, pour un "statactivisme" de la société civileSamuel Azoulay
 
Miguel hernández
Miguel hernándezMiguel hernández
Miguel hernándezJuanita29
 
Presentacion de editor de imagenes gimp 2.6 a.a.g
Presentacion de editor de imagenes gimp 2.6 a.a.gPresentacion de editor de imagenes gimp 2.6 a.a.g
Presentacion de editor de imagenes gimp 2.6 a.a.gandrescobain
 
Parentalité et handicap mental version 2
Parentalité et handicap mental version 2Parentalité et handicap mental version 2
Parentalité et handicap mental version 2sithi9
 
Gols FCB-RMADRID (5-0)
Gols FCB-RMADRID (5-0)Gols FCB-RMADRID (5-0)
Gols FCB-RMADRID (5-0)09SERGICG
 
Narration de recherche 4ème escalier (taille réduite)
Narration de recherche 4ème escalier (taille réduite)Narration de recherche 4ème escalier (taille réduite)
Narration de recherche 4ème escalier (taille réduite)fffppt
 
Deber de estructura de datos
Deber de estructura de datosDeber de estructura de datos
Deber de estructura de datoscr0qiA
 

Andere mochten auch (20)

La bibliotecologia en colombia
La bibliotecologia en colombia La bibliotecologia en colombia
La bibliotecologia en colombia
 
Dividiendoeldolor
DividiendoeldolorDividiendoeldolor
Dividiendoeldolor
 
Rapport sur la proposition de loi sur les sondages visant à mieux garantir la...
Rapport sur la proposition de loi sur les sondages visant à mieux garantir la...Rapport sur la proposition de loi sur les sondages visant à mieux garantir la...
Rapport sur la proposition de loi sur les sondages visant à mieux garantir la...
 
Vers une huile de palme durable?
Vers une huile de palme durable?Vers une huile de palme durable?
Vers une huile de palme durable?
 
Taches brunes sur or vert: de la guerre de la banane à celle des supermarchés
Taches brunes sur or vert: de la guerre de la banane à celle des supermarchésTaches brunes sur or vert: de la guerre de la banane à celle des supermarchés
Taches brunes sur or vert: de la guerre de la banane à celle des supermarchés
 
3 mun bloque
3 mun bloque3 mun bloque
3 mun bloque
 
Presentació power point marta acabada
Presentació power point marta acabadaPresentació power point marta acabada
Presentació power point marta acabada
 
WEB2DAY Nantes_Récapitulatif par l'Agence Madame Columbo - JUIN 2014
WEB2DAY Nantes_Récapitulatif par l'Agence Madame Columbo - JUIN 2014WEB2DAY Nantes_Récapitulatif par l'Agence Madame Columbo - JUIN 2014
WEB2DAY Nantes_Récapitulatif par l'Agence Madame Columbo - JUIN 2014
 
Prevencion
PrevencionPrevencion
Prevencion
 
Practica pedagogica v-nathalie
Practica pedagogica v-nathaliePractica pedagogica v-nathalie
Practica pedagogica v-nathalie
 
Economie en region centre
Economie en region centre Economie en region centre
Economie en region centre
 
JIES 2014 - L'Ecole des Données, pour un "statactivisme" de la société civile
JIES 2014 - L'Ecole des Données, pour un "statactivisme" de la société civileJIES 2014 - L'Ecole des Données, pour un "statactivisme" de la société civile
JIES 2014 - L'Ecole des Données, pour un "statactivisme" de la société civile
 
Miguel hernández
Miguel hernándezMiguel hernández
Miguel hernández
 
Presentacion de editor de imagenes gimp 2.6 a.a.g
Presentacion de editor de imagenes gimp 2.6 a.a.gPresentacion de editor de imagenes gimp 2.6 a.a.g
Presentacion de editor de imagenes gimp 2.6 a.a.g
 
Javier
JavierJavier
Javier
 
Parentalité et handicap mental version 2
Parentalité et handicap mental version 2Parentalité et handicap mental version 2
Parentalité et handicap mental version 2
 
Gols FCB-RMADRID (5-0)
Gols FCB-RMADRID (5-0)Gols FCB-RMADRID (5-0)
Gols FCB-RMADRID (5-0)
 
Narration de recherche 4ème escalier (taille réduite)
Narration de recherche 4ème escalier (taille réduite)Narration de recherche 4ème escalier (taille réduite)
Narration de recherche 4ème escalier (taille réduite)
 
Taller d'aromes
Taller d'aromesTaller d'aromes
Taller d'aromes
 
Deber de estructura de datos
Deber de estructura de datosDeber de estructura de datos
Deber de estructura de datos
 

Ähnlich wie Eric HANSEN - La carte bancaire sans contact pas securisée

Francois Lecomte Forum Smsc Paris 2 0 2009 09 23
Francois Lecomte Forum Smsc Paris 2 0 2009 09 23Francois Lecomte Forum Smsc Paris 2 0 2009 09 23
Francois Lecomte Forum Smsc Paris 2 0 2009 09 23charafs
 
Séminaire de la Controverse - RFID - Mythes et réalités
Séminaire de la Controverse - RFID - Mythes et réalitésSéminaire de la Controverse - RFID - Mythes et réalités
Séminaire de la Controverse - RFID - Mythes et réalitésPierre Metivier
 
Point banque N.101 (Mai 2015) Paiement Mobile HCE - itw JLPi consulting
Point banque N.101 (Mai 2015) Paiement Mobile HCE - itw JLPi consultingPoint banque N.101 (Mai 2015) Paiement Mobile HCE - itw JLPi consulting
Point banque N.101 (Mai 2015) Paiement Mobile HCE - itw JLPi consultingJean-Luc Pellegrinelli
 
Revue de presse Telecom Valley - Octobre 2019
Revue de presse Telecom Valley - Octobre 2019Revue de presse Telecom Valley - Octobre 2019
Revue de presse Telecom Valley - Octobre 2019TelecomValley
 
La technologie NFC peut-elle permettre le développement du paiement mobile da...
La technologie NFC peut-elle permettre le développement du paiement mobile da...La technologie NFC peut-elle permettre le développement du paiement mobile da...
La technologie NFC peut-elle permettre le développement du paiement mobile da...Victor Droit
 
Presentation cgt juin2010
Presentation cgt juin2010Presentation cgt juin2010
Presentation cgt juin2010Pascal Poty
 
L'impact des technologies sans contact RFID NFC pour les distributeurs
L'impact des technologies sans contact RFID NFC pour les distributeursL'impact des technologies sans contact RFID NFC pour les distributeurs
L'impact des technologies sans contact RFID NFC pour les distributeursPierre Metivier
 
Atelier T6 - Distribuer mes produits en ligne - Salon e-toursime Voyage en Mu...
Atelier T6 - Distribuer mes produits en ligne - Salon e-toursime Voyage en Mu...Atelier T6 - Distribuer mes produits en ligne - Salon e-toursime Voyage en Mu...
Atelier T6 - Distribuer mes produits en ligne - Salon e-toursime Voyage en Mu...Salon e-tourisme #VeM
 
Demain, l'Internet des objets
Demain, l'Internet des objets Demain, l'Internet des objets
Demain, l'Internet des objets France Stratégie
 
Note d'analyse - Demain, l'Internet des objets
Note d'analyse - Demain, l'Internet des objets Note d'analyse - Demain, l'Internet des objets
Note d'analyse - Demain, l'Internet des objets polenumerique33
 
De la peur des comportements millenials à l'erreur stratégique bancaire
De la peur des comportements millenials à l'erreur stratégique bancaireDe la peur des comportements millenials à l'erreur stratégique bancaire
De la peur des comportements millenials à l'erreur stratégique bancaireLaurence Dupré
 
Web 2.0 présentation
Web 2.0 présentationWeb 2.0 présentation
Web 2.0 présentationIskander67
 
Crédit card Fraud Detection
Crédit card Fraud Detection Crédit card Fraud Detection
Crédit card Fraud Detection OussamaBelarbi2
 
RCN 2014 Moyens de paiement - Présentation CANTON-Consulting
RCN 2014 Moyens de paiement - Présentation CANTON-ConsultingRCN 2014 Moyens de paiement - Présentation CANTON-Consulting
RCN 2014 Moyens de paiement - Présentation CANTON-ConsultingCANTON-Consulting
 

Ähnlich wie Eric HANSEN - La carte bancaire sans contact pas securisée (20)

Francois Lecomte Forum Smsc Paris 2 0 2009 09 23
Francois Lecomte Forum Smsc Paris 2 0 2009 09 23Francois Lecomte Forum Smsc Paris 2 0 2009 09 23
Francois Lecomte Forum Smsc Paris 2 0 2009 09 23
 
Séminaire de la Controverse - RFID - Mythes et réalités
Séminaire de la Controverse - RFID - Mythes et réalitésSéminaire de la Controverse - RFID - Mythes et réalités
Séminaire de la Controverse - RFID - Mythes et réalités
 
Marketing mobile
Marketing mobileMarketing mobile
Marketing mobile
 
Point banque N.101 (Mai 2015) Paiement Mobile HCE - itw JLPi consulting
Point banque N.101 (Mai 2015) Paiement Mobile HCE - itw JLPi consultingPoint banque N.101 (Mai 2015) Paiement Mobile HCE - itw JLPi consulting
Point banque N.101 (Mai 2015) Paiement Mobile HCE - itw JLPi consulting
 
Pr otipass-v6.0
Pr otipass-v6.0Pr otipass-v6.0
Pr otipass-v6.0
 
Identity techtalk orange
Identity techtalk orangeIdentity techtalk orange
Identity techtalk orange
 
Revue de presse Telecom Valley - Octobre 2019
Revue de presse Telecom Valley - Octobre 2019Revue de presse Telecom Valley - Octobre 2019
Revue de presse Telecom Valley - Octobre 2019
 
09.cristophe pagezy evp_gemalto
09.cristophe pagezy evp_gemalto09.cristophe pagezy evp_gemalto
09.cristophe pagezy evp_gemalto
 
La technologie NFC peut-elle permettre le développement du paiement mobile da...
La technologie NFC peut-elle permettre le développement du paiement mobile da...La technologie NFC peut-elle permettre le développement du paiement mobile da...
La technologie NFC peut-elle permettre le développement du paiement mobile da...
 
Presentation cgt juin2010
Presentation cgt juin2010Presentation cgt juin2010
Presentation cgt juin2010
 
L'impact des technologies sans contact RFID NFC pour les distributeurs
L'impact des technologies sans contact RFID NFC pour les distributeursL'impact des technologies sans contact RFID NFC pour les distributeurs
L'impact des technologies sans contact RFID NFC pour les distributeurs
 
Itmag 336 min
Itmag 336 minItmag 336 min
Itmag 336 min
 
Michel Arnaud
Michel ArnaudMichel Arnaud
Michel Arnaud
 
Atelier T6 - Distribuer mes produits en ligne - Salon e-toursime Voyage en Mu...
Atelier T6 - Distribuer mes produits en ligne - Salon e-toursime Voyage en Mu...Atelier T6 - Distribuer mes produits en ligne - Salon e-toursime Voyage en Mu...
Atelier T6 - Distribuer mes produits en ligne - Salon e-toursime Voyage en Mu...
 
Demain, l'Internet des objets
Demain, l'Internet des objets Demain, l'Internet des objets
Demain, l'Internet des objets
 
Note d'analyse - Demain, l'Internet des objets
Note d'analyse - Demain, l'Internet des objets Note d'analyse - Demain, l'Internet des objets
Note d'analyse - Demain, l'Internet des objets
 
De la peur des comportements millenials à l'erreur stratégique bancaire
De la peur des comportements millenials à l'erreur stratégique bancaireDe la peur des comportements millenials à l'erreur stratégique bancaire
De la peur des comportements millenials à l'erreur stratégique bancaire
 
Web 2.0 présentation
Web 2.0 présentationWeb 2.0 présentation
Web 2.0 présentation
 
Crédit card Fraud Detection
Crédit card Fraud Detection Crédit card Fraud Detection
Crédit card Fraud Detection
 
RCN 2014 Moyens de paiement - Présentation CANTON-Consulting
RCN 2014 Moyens de paiement - Présentation CANTON-ConsultingRCN 2014 Moyens de paiement - Présentation CANTON-Consulting
RCN 2014 Moyens de paiement - Présentation CANTON-Consulting
 

Mehr von Eric HANSEN

SYNFIE - Newsletter N6 - Juin 2016
SYNFIE - Newsletter N6 - Juin 2016SYNFIE - Newsletter N6 - Juin 2016
SYNFIE - Newsletter N6 - Juin 2016Eric HANSEN
 
SYNFIE - Newsletter N6 - Article HANSEN Eric
SYNFIE - Newsletter N6 - Article HANSEN EricSYNFIE - Newsletter N6 - Article HANSEN Eric
SYNFIE - Newsletter N6 - Article HANSEN EricEric HANSEN
 
BWA 2016 - Recherche demploi quand CV et lettre de motivation ne suffisent plus
BWA 2016 - Recherche demploi quand CV et lettre de motivation ne suffisent plusBWA 2016 - Recherche demploi quand CV et lettre de motivation ne suffisent plus
BWA 2016 - Recherche demploi quand CV et lettre de motivation ne suffisent plusEric HANSEN
 
BWA - Offre de services Coaching en Performance Informationnelle - 2016
BWA - Offre de services Coaching en Performance Informationnelle - 2016BWA - Offre de services Coaching en Performance Informationnelle - 2016
BWA - Offre de services Coaching en Performance Informationnelle - 2016Eric HANSEN
 
SYNFIE - Newsletter N5 - Mars 2016
SYNFIE - Newsletter N5 - Mars 2016SYNFIE - Newsletter N5 - Mars 2016
SYNFIE - Newsletter N5 - Mars 2016Eric HANSEN
 
SYNFIE - Newsletter N3 - Juin 2015
SYNFIE - Newsletter N3 - Juin 2015SYNFIE - Newsletter N3 - Juin 2015
SYNFIE - Newsletter N3 - Juin 2015Eric HANSEN
 
Eric HANSEN - Article - 10 conseils pour simplifier votre système d'information
Eric HANSEN - Article - 10 conseils pour simplifier votre système d'informationEric HANSEN - Article - 10 conseils pour simplifier votre système d'information
Eric HANSEN - Article - 10 conseils pour simplifier votre système d'informationEric HANSEN
 
Eric HANSEN - Article - Intelligence économique botte secrète du pilotage de ...
Eric HANSEN - Article - Intelligence économique botte secrète du pilotage de ...Eric HANSEN - Article - Intelligence économique botte secrète du pilotage de ...
Eric HANSEN - Article - Intelligence économique botte secrète du pilotage de ...Eric HANSEN
 
CV - Eric HANSEN - Competitive Intelligence Leader - 31 JAN 2016
CV - Eric HANSEN - Competitive Intelligence Leader - 31 JAN 2016CV - Eric HANSEN - Competitive Intelligence Leader - 31 JAN 2016
CV - Eric HANSEN - Competitive Intelligence Leader - 31 JAN 2016Eric HANSEN
 
Cachez cette IE que je ne saurais voir
Cachez cette IE que je ne saurais voirCachez cette IE que je ne saurais voir
Cachez cette IE que je ne saurais voirEric HANSEN
 
BWA - Presentation RETEX - Intelligence Economique - JAN 2015
BWA - Presentation RETEX - Intelligence Economique - JAN 2015BWA - Presentation RETEX - Intelligence Economique - JAN 2015
BWA - Presentation RETEX - Intelligence Economique - JAN 2015Eric HANSEN
 
Eric HANSEN - Capitalisme cognitif
Eric HANSEN - Capitalisme cognitifEric HANSEN - Capitalisme cognitif
Eric HANSEN - Capitalisme cognitifEric HANSEN
 

Mehr von Eric HANSEN (12)

SYNFIE - Newsletter N6 - Juin 2016
SYNFIE - Newsletter N6 - Juin 2016SYNFIE - Newsletter N6 - Juin 2016
SYNFIE - Newsletter N6 - Juin 2016
 
SYNFIE - Newsletter N6 - Article HANSEN Eric
SYNFIE - Newsletter N6 - Article HANSEN EricSYNFIE - Newsletter N6 - Article HANSEN Eric
SYNFIE - Newsletter N6 - Article HANSEN Eric
 
BWA 2016 - Recherche demploi quand CV et lettre de motivation ne suffisent plus
BWA 2016 - Recherche demploi quand CV et lettre de motivation ne suffisent plusBWA 2016 - Recherche demploi quand CV et lettre de motivation ne suffisent plus
BWA 2016 - Recherche demploi quand CV et lettre de motivation ne suffisent plus
 
BWA - Offre de services Coaching en Performance Informationnelle - 2016
BWA - Offre de services Coaching en Performance Informationnelle - 2016BWA - Offre de services Coaching en Performance Informationnelle - 2016
BWA - Offre de services Coaching en Performance Informationnelle - 2016
 
SYNFIE - Newsletter N5 - Mars 2016
SYNFIE - Newsletter N5 - Mars 2016SYNFIE - Newsletter N5 - Mars 2016
SYNFIE - Newsletter N5 - Mars 2016
 
SYNFIE - Newsletter N3 - Juin 2015
SYNFIE - Newsletter N3 - Juin 2015SYNFIE - Newsletter N3 - Juin 2015
SYNFIE - Newsletter N3 - Juin 2015
 
Eric HANSEN - Article - 10 conseils pour simplifier votre système d'information
Eric HANSEN - Article - 10 conseils pour simplifier votre système d'informationEric HANSEN - Article - 10 conseils pour simplifier votre système d'information
Eric HANSEN - Article - 10 conseils pour simplifier votre système d'information
 
Eric HANSEN - Article - Intelligence économique botte secrète du pilotage de ...
Eric HANSEN - Article - Intelligence économique botte secrète du pilotage de ...Eric HANSEN - Article - Intelligence économique botte secrète du pilotage de ...
Eric HANSEN - Article - Intelligence économique botte secrète du pilotage de ...
 
CV - Eric HANSEN - Competitive Intelligence Leader - 31 JAN 2016
CV - Eric HANSEN - Competitive Intelligence Leader - 31 JAN 2016CV - Eric HANSEN - Competitive Intelligence Leader - 31 JAN 2016
CV - Eric HANSEN - Competitive Intelligence Leader - 31 JAN 2016
 
Cachez cette IE que je ne saurais voir
Cachez cette IE que je ne saurais voirCachez cette IE que je ne saurais voir
Cachez cette IE que je ne saurais voir
 
BWA - Presentation RETEX - Intelligence Economique - JAN 2015
BWA - Presentation RETEX - Intelligence Economique - JAN 2015BWA - Presentation RETEX - Intelligence Economique - JAN 2015
BWA - Presentation RETEX - Intelligence Economique - JAN 2015
 
Eric HANSEN - Capitalisme cognitif
Eric HANSEN - Capitalisme cognitifEric HANSEN - Capitalisme cognitif
Eric HANSEN - Capitalisme cognitif
 

Eric HANSEN - La carte bancaire sans contact pas securisée

  • 1. Page 1 sur 4 La carte bancaire sans contact n’est pas sécurisée 14 mai, 2012 En avril 2012, un consultant en sécurité informatique a découvert une incroyable faille dans les cartes bancaires équipées d’une puce de paiement sans contact. Erreur de conception ou contrôle qualité hasardeux… nos données bancaires confidentielles peuvent facilement être piratées et réutilisées sur internet… Retour sur les faits Récemment deux grands rendez-vous de la sécurité informatique se sont déroulés à Paris : les “GS Days 2012″ qui est le colloque des “journées francophones de la sécurité” le 3 avril 2012 ainsi que la conférence “Hackito Ergo Sum” qui a regroupé du 12 au 14 avril quatre cents hackers informatiques de 40 nationalités différentes, venus faire le point sur les dernières découvertes dans le domaine de la sécurité informatique. En ces deux occasions, Renaud Lifchitz, Consultant en sécurité de l’information au sien de BT Global Services (Société informatique internationale de 37 000 collaborateurs présente dans 173 pays qui propose ses services aux grandes entreprises) a pointé du doigt une faille logicielle dans le système des cartes bancaires de paiement sans contact VISA payWave & MasterCard PayPass (utilisant la technologie NFC). Cette technologie NFC (Near Field Communication) permet de réaliser des achats sans contact entre le moyen de paiement et une machine réceptrice d’informations. Ce type de solution permet donc en principe de faciliter et fluidifier les petites transactions du quotidien (inférieures à 20 euros) en réglant ses achats depuis un périphérique comme une carte bancaire, un Smartphone, une tablette… Renaud Lifchitz a démontré, à titre personnel comme “défi technique”, comme il est simple de pirater une carte de paiement “sans contact” durant une opération bancaire ou simplement en aspirant ses informations alors qu’elle se trouve dans la poche de son propriétaire. Il a utilisé une simple clé USB NFC (environ 40 euros) connectée à un ordinateur portable ou bien à un Smartphone afin de capter les communications. À l’aide d’une petite application développée pour l’occasion, la clé USB se comporte alors comme un terminal de paiement et permet de capter et d’interpréter le signal émis par la carte placée juste à côté. Ce dispositif a permis de récupérer à distance et d’afficher le nom du porteur, le numéro de la carte (16 chiffres du code PAN), la date d’expiration, ainsi que le détail des 20 dernières transactions sur l’écran de son ordinateur. En outre, les données contenues dans la bande magnétique de la carte bancaire peuvent être également consultées par un éventuel pirate. En effet, une copie numérique de cette bande est stockée dans la puce qui devient de fait interrogeable par NFC. Ainsi il devient possible de cloner la carte bancaire sans même un lecteur de carte à puce… Cela sonne mal alors que le marché des NFC est actuellement en pleine expansion Dans un communiqué de presse du 22 mars 2012, la Fédération Française des Telecom indiquait
  • 2. Page 2 sur 4 que les opérateurs investissent dans le déploiement harmonieux des services mobiles sans contact, en France. Le sans contact mobile apparait comme une innovation majeure pour les consommateurs français. “Cette technologie permet d’offrir aux consommateurs une nouvelle génération de services à portée de main. Le principe de ces services mobiles sans contact est simple : d’un geste de la main, en passant son téléphone mobile sur un lecteur adapté, l’utilisateur peut interagir avec son environnement direct. Les applications actuellement développées sont extrêmement variées : les collectivités territoriales proposeront des applications autour de la valorisation du patrimoine culturel (informations sur mobile, billetterie,…), de l’éducation, de la santé (identification, traçabilité,…), des loisirs ou encore pour faciliter l’accès aux services publics locaux (bibliothèques, stationnement,…). D’autres usages vont également rapidement se diffuser, notamment la validation des titres de voyage pour les réseaux de transports publics, mais aussi le paiement de proximité, les programmes de fidélité, voire, à terme, les services à la personne. 500 000 mobiles permettant d’utiliser ces services sont déjà entre les mains de clients français et ce chiffre devrait atteindre 2,5 millions à la fin de l’année. Les opérateurs ont la vocation de diffuser cette technologie à leurs 65 millions de clients sur l’ensemble du territoire français, en accompagnement des collectivités locales. Le sans contact mobile, un levier de croissance et un enjeu de compétitivité pour la France : la mise en œuvre de nouveaux services de proximité via les mobiles dans neuf territoires (Bordeaux, Caen, Grenoble, Marseille, Mulhouse, Strasbourg Toulon, Toulouse ainsi que le Comité régional du tourisme (CRT) d’Ile-de-France) devrait permettre à l’ensemble des acteurs français d’accentuer leur avance dans un domaine d’activités en plein foisonnement partout dans le monde. En s’appuyant sur la concrétisation de ces projets et à travers la valeur ajoutée ainsi créée, tous les acteurs impliqués pourront trouver des relais de croissance important pour leurs activités, en France et à l’étranger, ce qui favorisera l’emploi et la compétitivité des industries françaises. Tous les secteurs d’activité peuvent être acteurs de cette révolution technologique, en imaginant et développant avec les opérateurs de nouveaux services sans contact mobile.” A moins que des problèmes critiques de sécurité ne viennent ralentir ces belles initiatives… Ce que Renaud Lifchitz a mis en évidence Le standard international de sécurité EMV (Europay Mastercard Visa) qui est utilisé en France, depuis fin 2006, par le système national des Cartes Bancaires (CB) et l’ensemble du parc des terminaux de paiement électroniques (ou TPE) et qui est supposé garantir : • interopérabilité internationale (quel que soit l’émetteur de la carte et quel que soit le terminal de paiement) • vérification et chiffrement de la clé personnelle par la puce
  • 3. Page 3 sur 4 Par sa démonstration, Renaud Lifchitz remet en question le standard EMV qui selon lui aurait été utilisé tel quel via la technologie NFC, sans se poser plus de questions sur la sécurité des échanges entre la carte et le lecteur qui n’est pas cryptée… Nous avons donc ici une non-conformité aux spécifications techniques internationales PCI DSS* qui exigent, en autre, le chiffrement de la transmission des données des détenteurs de cartes de crédit et de l’information confidentielle par le biais des réseaux publics. En principe, les cartes de paiement affichant le sigle EMV (Europay Mastercard Visa) sont dotées d’un système de vérification et de cryptage de la clé personnelle par la puce. Certaines d’entre elles proposent également des moyens d’authentification forte comme le mot de passe unique (OTP, pour One Time Password). Pourtant, certaines cartes compatibles avec le NFC ne proposent pas ce type de sécurisation. Quelles sont les conséquences possibles ? Les spécifications EMV ne semblent pas avoir été respectées dans la fabrication des cartes de paiement. Le contre argument avancé par les banques est que d’une part il est impossible d’intercepter les informations au-delà d’une dizaine de centimètres et d’autre part, le paiement sans contact est limité pour des petites sommes d’un montant maximum de 20 euros. Mais de son côté, Renaud Lifchitz a démontré qu’avec du matériel d’environ 2000 euros, il est possible d’intercepter des transmissions de paiement à plusieurs mètres de distance. En outre, les informations piratées lors d’une transaction sans contact peuvent très facilement être utilisées pour réaliser des transactions d’achat sur internet sans authentification du porteur, c’est-à-dire partout où le code PIN n’est pas demandé, donc à l’étranger (dans les pays “hors EMV” demandant uniquement le numéro de carte bancaire et la date d’expiration mais pas le cryptogramme des trois derniers chiffres placés au dos de la carte). Renaud Lifchitz a alerté sa banque qui l’a remercié pour cette information. Mais il n’a pas eu de retour d’autres banques. Seuls les organismes publics : ministère des Finances, ministère de l’Intérieur, ainsi que la CNIL ont été intéressés. Et il communique avec cette dernière “pour mettre en place un protocole”. Jean-Marc Bornet Administrateur du GIE Cartes Bancaires a été alerté de cette faille. Il explique qu’afin d’éviter les risques de perte de données, le groupement collabore étroitement avec les autorités publiques compétentes et ajoute que désormais, les banques distribuent des étuis capables d’agir comme des cages de Faraday pour empêcher le piratage électronique … En effet, cette cage de Faraday permet au moins de se protéger lorsqu’on n’utilise pas sa carte NFC. Quelles sont les parades possibles pour le paiement sans contact ? Pour Armand Heslot Ingénieur expert en systèmes d’information à la CNIL, il existe des solutions assez simples qui pourraient être mises en œuvre :
  • 4. Page 4 sur 4 - l’emploi d’un code PIN différent pour la partie sans contact (Cf. un rapport de l’observatoire de la sécurité des cartes de paiement datant de 2009). - laisser le contrôle complet de cette partie à l’utilisateur, qui pourra donc choisir de la désactiver (recommandation de la Banque de France). Renaud Lifchitz indique que pour se protéger la seule solution consiste à utiliser un étui en métal, faisant office de “cage de Faraday” neutralisant ainsi tout rayonnement électromagnétique. Néanmoins, une véritable transmission cryptée est nécessaire. Il explique que “des mesures sont prévues et qu’il suffirait de les activer” d’autant que les cartes sont équipées d’une puce dédiée au cryptage des données… On peut légitimement s’interroger sur cette faille informatique dans laquelle la protection des données personnelles a été négligée. S’agit-il d’une erreur de conception ? Les procédures de contrôle qualité ont-elle été bâclées ? Pour Renaud Lifchitz, les protocoles de sécurisation ont été repris à l’identique des cartes de paiement avec contact, sans adaptation aux contraintes et risques de piratage technique de télécommunication par radio. “La phase d’industrialisation a peut-être été un peu trop rapide…” d’après lui. Gageons que les différents spécialistes œuvrent très rapidement à la correction de cette faille avant que d’autres acteurs émergents comme les USA ou le Japon ne s’emparent de ce marché en plein développement… * La norme Payment Card Industry Data Security Standard (PCI DSS) créée conjointement par MasterCard et VISA porte sur la sécurisation des données de détenteurs de cartes de crédit. Au cours d’une transaction, des données sensibles telles que les numéros de cartes de crédit sont transmises, traitées et parfois conservées pour de brefs instants. Afin de s’assurer que ces données sensibles sont adéquatement protégées durant toutes les étapes du processus transactionnel, la norme PCI DSS impose, à l’ensemble des acteurs de l’industrie du paiement, l’adoption de mesures de sécurité. La norme PCI DSS a donc pour objectif de protéger les données reliées à l’utilisation des cartes de crédit. Pour être conformes, les acteurs de l’industrie du paiement qui conservent, traitent ou transmettent des numéros de cartes de crédit doivent satisfaire aux 12 exigences de bon sens et de sécurité dont “Protéger les données des détenteurs de cartes de crédit” (protéger les données des détenteurs de cartes de crédit stockées et chiffrer la transmission des données des détenteurs de cartes et de l’information confidentielle par le biais des réseaux publics.) Eric Hansen