• Home

  • Documents

  • Eric HANSEN - La carte bancaire sans contact pas securisée
4
Page 1 sur 4 La carte bancaire sans contact n’est pas sécurisée 14 mai, 2012 En avril 2012, un consultant en sécurité informatique a découvert une incroyable faille dans les cartes bancaires équipées d’une puce de paiement sans contact. Erreur de conception ou contrôle qualité hasardeux… nos données bancaires confidentielles peuvent facilement être piratées et réutilisées sur internet… Retour sur les faits Récemment deux grands rendez-vous de la sécurité informatique se sont déroulés à Paris : les “GS Days 2012qui est le colloque des “journées francophones de la sécurité” le 3 avril 2012 ainsi que la conférence “Hackito Ergo Sum” qui a regroupé du 12 au 14 avril quatre cents hackers informatiques de 40 nationalités différentes, venus faire le point sur les dernières découvertes dans le domaine de la sécurité informatique. En ces deux occasions, Renaud Lifchitz, Consultant en sécurité de l’information au sien de BT Global Services (Société informatique internationale de 37 000 collaborateurs présente dans 173 pays qui propose ses services aux grandes entreprises) a pointé du doigt une faille logicielle dans le système des cartes bancaires de paiement sans contact VISA payWave & MasterCard PayPass (utilisant la technologie NFC). Cette technologie NFC (Near Field Communication) permet de réaliser des achats sans contact entre le moyen de paiement et une machine réceptrice d’informations. Ce type de solution permet donc en principe de faciliter et fluidifier les petites transactions du quotidien (inférieures à 20 euros) en réglant ses achats depuis un périphérique comme une carte bancaire, un Smartphone, une tablette… Renaud Lifchitz a démontré, à titre personnel comme “défi technique”, comme il est simple de pirater une carte de paiement “sans contact” durant une opération bancaire ou simplement en aspirant ses informations alors qu’elle se trouve dans la poche de son propriétaire. Il a utilisé une simple clé USB NFC (environ 40 euros) connectée à un ordinateur portable ou bien à un Smartphone afin de capter les communications. À l’aide d’une petite application développée pour l’occasion, la clé USB se comporte alors comme un terminal de paiement et permet de capter et d’interpréter le signal émis par la carte placée juste à côté. Ce dispositif a permis de récupérer à distance et d’afficher le nom du porteur, le numéro de la carte (16 chiffres du code PAN), la date d’expiration, ainsi que le détail des 20 dernières transactions sur l’écran de son ordinateur. En outre, les données contenues dans la bande magnétique de la carte bancaire peuvent être également consultées par un éventuel pirate. En effet, une copie numérique de cette bande est stockée dans la puce qui devient de fait interrogeable par NFC. Ainsi il devient possible de cloner la carte bancaire sans même un lecteur de carte à puce… Cela sonne mal alors que le marché des NFC est actuellement en pleine expansion Dans un communiqué de presse du 22 mars 2012, la Fédération Française des Telecom indiquait

Eric HANSEN - La carte bancaire sans contact pas securisée

Embed Size (px)

Citation preview

Page 1: Eric HANSEN - La carte bancaire sans contact pas securisée

Page 1 sur 4

La carte bancaire sans contact n’est pas sécurisée

14 mai, 2012

En avril 2012, un consultant en sécurité informatique a découvert une incroyable faille dans les

cartes bancaires équipées d’une puce de paiement sans contact. Erreur de conception ou contrôle

qualité hasardeux… nos données bancaires confidentielles peuvent facilement être piratées et

réutilisées sur internet…

Retour sur les faits

Récemment deux grands rendez-vous de la sécurité informatique se sont déroulés à Paris : les “GS

Days 2012″ qui est le colloque des “journées francophones de la sécurité” le 3 avril 2012 ainsi que

la conférence “Hackito Ergo Sum” qui a regroupé du 12 au 14 avril quatre cents hackers

informatiques de 40 nationalités différentes, venus faire le point sur les dernières découvertes dans

le domaine de la sécurité informatique. En ces deux occasions, Renaud Lifchitz, Consultant en

sécurité de l’information au sien de BT Global Services (Société informatique internationale de 37

000 collaborateurs présente dans 173 pays qui propose ses services aux grandes entreprises) a

pointé du doigt une faille logicielle dans le système des cartes bancaires de paiement sans contact

VISA payWave & MasterCard PayPass (utilisant la technologie NFC).

Cette technologie NFC (Near Field Communication) permet de réaliser des achats sans contact

entre le moyen de paiement et une machine réceptrice d’informations. Ce type de solution permet

donc en principe de faciliter et fluidifier les petites transactions du quotidien (inférieures à 20 euros)

en réglant ses achats depuis un périphérique comme une carte bancaire, un Smartphone, une

tablette…

Renaud Lifchitz a démontré, à titre personnel comme “défi technique”, comme il est simple de

pirater une carte de paiement “sans contact” durant une opération bancaire ou simplement en

aspirant ses informations alors qu’elle se trouve dans la poche de son propriétaire.

Il a utilisé une simple clé USB NFC (environ 40 euros) connectée à un ordinateur portable ou bien

à un Smartphone afin de capter les communications. À l’aide d’une petite application développée

pour l’occasion, la clé USB se comporte alors comme un terminal de paiement et permet de capter

et d’interpréter le signal émis par la carte placée juste à côté. Ce dispositif a permis de récupérer à

distance et d’afficher le nom du porteur, le numéro de la carte (16 chiffres du code PAN), la date

d’expiration, ainsi que le détail des 20 dernières transactions sur l’écran de son ordinateur. En outre,

les données contenues dans la bande magnétique de la carte bancaire peuvent être également

consultées par un éventuel pirate. En effet, une copie numérique de cette bande est stockée dans

la puce qui devient de fait interrogeable par NFC. Ainsi il devient possible de cloner la carte bancaire

sans même un lecteur de carte à puce…

Cela sonne mal alors que le marché des NFC est actuellement en pleine expansion

Dans un communiqué de presse du 22 mars 2012, la Fédération Française des Telecom indiquait

Page 2: Eric HANSEN - La carte bancaire sans contact pas securisée

Page 2 sur 4

que les opérateurs investissent dans le déploiement harmonieux des services mobiles sans contact,

en France. Le sans contact mobile apparait comme une innovation majeure pour les

consommateurs français. “Cette technologie permet d’offrir aux consommateurs une nouvelle

génération de services à portée de main. Le principe de ces services mobiles sans contact est simple

: d’un geste de la main, en passant son téléphone mobile sur un lecteur adapté, l’utilisateur peut

interagir avec son environnement direct. Les applications actuellement développées sont

extrêmement variées : les collectivités territoriales proposeront des applications autour de la

valorisation du patrimoine culturel (informations sur mobile, billetterie,…), de l’éducation, de la

santé (identification, traçabilité,…), des loisirs ou encore pour faciliter l’accès aux services publics

locaux (bibliothèques, stationnement,…). D’autres usages vont également rapidement se diffuser,

notamment la validation des titres de voyage pour les réseaux de transports publics, mais aussi le

paiement de proximité, les programmes de fidélité, voire, à terme, les services à la personne.

500 000 mobiles permettant d’utiliser ces services sont déjà entre les mains de clients français et

ce chiffre devrait atteindre 2,5 millions à la fin de l’année. Les opérateurs ont la vocation de diffuser

cette technologie à leurs 65 millions de clients sur l’ensemble du territoire français, en

accompagnement des collectivités locales.

Le sans contact mobile, un levier de croissance et un enjeu de compétitivité pour la France : la mise

en œuvre de nouveaux services de proximité via les mobiles dans neuf territoires (Bordeaux, Caen,

Grenoble, Marseille, Mulhouse, Strasbourg Toulon, Toulouse ainsi que le Comité régional du

tourisme (CRT) d’Ile-de-France) devrait permettre à l’ensemble des acteurs français d’accentuer

leur avance dans un domaine d’activités en plein foisonnement partout dans le monde.

En s’appuyant sur la concrétisation de ces projets et à travers la valeur ajoutée ainsi créée, tous les

acteurs impliqués pourront trouver des relais de croissance important pour leurs activités, en France

et à l’étranger, ce qui favorisera l’emploi et la compétitivité des industries françaises. Tous les

secteurs d’activité peuvent être acteurs de cette révolution technologique, en imaginant et

développant avec les opérateurs de nouveaux services sans contact mobile.”

A moins que des problèmes critiques de sécurité ne viennent ralentir ces belles initiatives…

Ce que Renaud Lifchitz a mis en évidence

Le standard international de sécurité EMV (Europay Mastercard Visa) qui est utilisé en France,

depuis fin 2006, par le système national des Cartes Bancaires (CB) et l’ensemble du parc des

terminaux de paiement électroniques (ou TPE) et qui est supposé garantir :

• interopérabilité internationale (quel que soit l’émetteur de la carte et quel que soit le terminal de

paiement)

• vérification et chiffrement de la clé personnelle par la puce

Page 3: Eric HANSEN - La carte bancaire sans contact pas securisée

Page 3 sur 4

Par sa démonstration, Renaud Lifchitz remet en question le standard EMV qui selon lui aurait été

utilisé tel quel via la technologie NFC, sans se poser plus de questions sur la sécurité des échanges

entre la carte et le lecteur qui n’est pas cryptée…

Nous avons donc ici une non-conformité aux spécifications techniques internationales PCI DSS*

qui exigent, en autre, le chiffrement de la transmission des données des détenteurs de cartes de

crédit et de l’information confidentielle par le biais des réseaux publics.

En principe, les cartes de paiement affichant le sigle EMV (Europay Mastercard Visa) sont dotées

d’un système de vérification et de cryptage de la clé personnelle par la puce. Certaines d’entre elles

proposent également des moyens d’authentification forte comme le mot de passe unique (OTP,

pour One Time Password). Pourtant, certaines cartes compatibles avec le NFC ne proposent pas ce

type de sécurisation.

Quelles sont les conséquences possibles ?

Les spécifications EMV ne semblent pas avoir été respectées dans la fabrication des cartes de

paiement. Le contre argument avancé par les banques est que d’une part il est impossible

d’intercepter les informations au-delà d’une dizaine de centimètres et d’autre part, le paiement

sans contact est limité pour des petites sommes d’un montant maximum de 20 euros.

Mais de son côté, Renaud Lifchitz a démontré qu’avec du matériel d’environ 2000 euros, il est

possible d’intercepter des transmissions de paiement à plusieurs mètres de distance. En outre, les

informations piratées lors d’une transaction sans contact peuvent très facilement être utilisées pour

réaliser des transactions d’achat sur internet sans authentification du porteur, c’est-à-dire partout

où le code PIN n’est pas demandé, donc à l’étranger (dans les pays “hors EMV” demandant

uniquement le numéro de carte bancaire et la date d’expiration mais pas le cryptogramme des trois

derniers chiffres placés au dos de la carte).

Renaud Lifchitz a alerté sa banque qui l’a remercié pour cette information. Mais il n’a pas eu de

retour d’autres banques. Seuls les organismes publics : ministère des Finances, ministère de

l’Intérieur, ainsi que la CNIL ont été intéressés. Et il communique avec cette dernière “pour mettre

en place un protocole”.

Jean-Marc Bornet Administrateur du GIE Cartes Bancaires a été alerté de cette faille. Il explique

qu’afin d’éviter les risques de perte de données, le groupement collabore étroitement avec les

autorités publiques compétentes et ajoute que désormais, les banques distribuent des étuis

capables d’agir comme des cages de Faraday pour empêcher le piratage électronique … En effet,

cette cage de Faraday permet au moins de se protéger lorsqu’on n’utilise pas sa carte NFC.

Quelles sont les parades possibles pour le paiement sans contact ?

Pour Armand Heslot Ingénieur expert en systèmes d’information à la CNIL, il existe des solutions

assez simples qui pourraient être mises en œuvre :

Page 4: Eric HANSEN - La carte bancaire sans contact pas securisée

Page 4 sur 4

- l’emploi d’un code PIN différent pour la partie sans contact (Cf. un rapport de l’observatoire de la

sécurité des cartes de paiement datant de 2009).

- laisser le contrôle complet de cette partie à l’utilisateur, qui pourra donc choisir de la désactiver

(recommandation de la Banque de France).

Renaud Lifchitz indique que pour se protéger la seule solution consiste à utiliser un étui en métal,

faisant office de “cage de Faraday” neutralisant ainsi tout rayonnement électromagnétique.

Néanmoins, une véritable transmission cryptée est nécessaire. Il explique que “des mesures sont

prévues et qu’il suffirait de les activer” d’autant que les cartes sont équipées d’une puce dédiée au

cryptage des données…

On peut légitimement s’interroger sur cette faille informatique dans laquelle la protection des

données personnelles a été négligée.

S’agit-il d’une erreur de conception ? Les procédures de contrôle qualité ont-elle été bâclées ? Pour

Renaud Lifchitz, les protocoles de sécurisation ont été repris à l’identique des cartes de paiement

avec contact, sans adaptation aux contraintes et risques de piratage technique de

télécommunication par radio. “La phase d’industrialisation a peut-être été un peu trop rapide…”

d’après lui.

Gageons que les différents spécialistes œuvrent très rapidement à la correction de cette faille avant

que d’autres acteurs émergents comme les USA ou le Japon ne s’emparent de ce marché en plein

développement…

* La norme Payment Card Industry Data Security Standard (PCI DSS) créée conjointement par

MasterCard et VISA porte sur la sécurisation des données de détenteurs de cartes de crédit. Au

cours d’une transaction, des données sensibles telles que les numéros de cartes de crédit sont

transmises, traitées et parfois conservées pour de brefs instants. Afin de s’assurer que ces données

sensibles sont adéquatement protégées durant toutes les étapes du processus transactionnel, la

norme PCI DSS impose, à l’ensemble des acteurs de l’industrie du paiement, l’adoption de mesures

de sécurité.

La norme PCI DSS a donc pour objectif de protéger les données reliées à l’utilisation des cartes de

crédit. Pour être conformes, les acteurs de l’industrie du paiement qui conservent, traitent ou

transmettent des numéros de cartes de crédit doivent satisfaire aux 12 exigences de bon sens et de

sécurité dont “Protéger les données des détenteurs de cartes de crédit” (protéger les données des

détenteurs de cartes de crédit stockées et chiffrer la transmission des données des détenteurs de

cartes et de l’information confidentielle par le biais des réseaux publics.)

Eric Hansen


Boiserie Carl Hansen 2014 Draga Obradovic Oltrefrontiera Vitra I+I …timberplan.es/timberplan/2014/12/Lualdi-Catálogo... · 2014-12-15 · Carl Hansen Draga Obradovic Oltrefrontiera

Boiserie Carl Hansen 2014 Draga Obradovic Oltrefrontiera Vitra I+I …timberplan.es/timberplan/2014/12/Lualdi-Catálogo... · 2014-12-15 · Carl Hansen Draga Obradovic Oltrefrontiera

Documents
PAR: NATALIE HANSEN ET CHANELLE OBENA EDUF 235 ÉCOLE et SOCIÉTÉ

PAR: NATALIE HANSEN ET CHANELLE OBENA EDUF 235 ÉCOLE et SOCIÉTÉ

Documents
RAPPORT Nr 2013:5 HÖGSKOLAN VÄST Monica Hansen …681202/FULLTEXT01.pdfMonica Hansen Orwehag är huvudansvarig för analyserna av kursplaner och nyckelord (s 19-28). Inga Wernersson

RAPPORT Nr 2013:5 HÖGSKOLAN VÄST Monica Hansen …681202/FULLTEXT01.pdfMonica Hansen Orwehag är huvudansvarig för analyserna av kursplaner och nyckelord (s 19-28). Inga Wernersson

Documents
Marketing Bancaire

Marketing Bancaire

Documents
Banc Essai Hansen Pianiste

Banc Essai Hansen Pianiste

Documents
CONTROLE DE GESTION BANCAIRE ET RISQUE BANCAIRE

CONTROLE DE GESTION BANCAIRE ET RISQUE BANCAIRE

Documents
Eric Grohe murmures.pps - maisondesaineslaprairie.orgmaisondesaineslaprairie.org/.../2020/04/Eric-Grohe... · Eric Grohe Eric Grohe est le peintre réaliste des grandes murailles,

Eric Grohe murmures.pps - maisondesaineslaprairie.orgmaisondesaineslaprairie.org/.../2020/04/Eric-Grohe... · Eric Grohe Eric Grohe est le peintre réaliste des grandes murailles,

Documents
Expectations and Full Employment: Hansen, Samuelson and … · Hansen, Samuelson and Lange Michaël Assous1 Olivier Bruno2 Vincent Carret1 ... Halsmayer and Hoover (2016) ... constant

Expectations and Full Employment: Hansen, Samuelson and … · Hansen, Samuelson and Lange Michaël Assous1 Olivier Bruno2 Vincent Carret1 ... Halsmayer and Hoover (2016) ... constant

Documents
Plan stratégique 2021-2023 de la Fondation Rick Hansen

Plan stratégique 2021-2023 de la Fondation Rick Hansen

Documents
Eugène Hansen - Bonne chance ( arrangement G.pdf

Eugène Hansen - Bonne chance ( arrangement G.pdf

Documents
Credit Bancaire

Credit Bancaire

Documents
2016 Comptabilité bancaire Expertise Comptabilité bancaire ... · Comptabilité bancaire Expertise Comptabilité bancaire Spécialisation ... en cours 98 9-13 141CECBC4 Activité

2016 Comptabilité bancaire Expertise Comptabilité bancaire ... · Comptabilité bancaire Expertise Comptabilité bancaire Spécialisation ... en cours 98 9-13 141CECBC4 Activité

Documents
Umbraco Contour 1 · Umbraco Contour 1.1 Developer Documentation Per Ploug Hansen Per Ploug Hansen 8/3/2010 Contains information for developers working with and extending Umbraco

Umbraco Contour 1 · Umbraco Contour 1.1 Developer Documentation Per Ploug Hansen Per Ploug Hansen 8/3/2010 Contains information for developers working with and extending Umbraco

Documents
Atlas de Hansen Parte 4

Atlas de Hansen Parte 4

Documents
SYNFIE - Newsletter N6 - Article HANSEN Eric

SYNFIE - Newsletter N6 - Article HANSEN Eric

Documents
Markus Hansen Versailles Off er et 2 octobre 2005

Markus Hansen Versailles Off er et 2 octobre 2005

Documents
Eric HANSEN - Article - 10 conseils pour simplifier votre système d'information

Eric HANSEN - Article - 10 conseils pour simplifier votre système d'information

Documents
Eric HANSEN - Article - Intelligence économique botte secrète du pilotage de projet

Eric HANSEN - Article - Intelligence économique botte secrète du pilotage de projet

Documents
Le Grenier de Jean Pol1986/10/14  · Y. Hansen/J. Prudhommeaux AM Nantes NATIONAL SIDE-CAR (20 classés) Y. Trolliet/A. Tergella ASM AC Ouest STR Suzuki Y. Hansen/J. Prudhommeaux

Le Grenier de Jean Pol1986/10/14  · Y. Hansen/J. Prudhommeaux AM Nantes NATIONAL SIDE-CAR (20 classés) Y. Trolliet/A. Tergella ASM AC Ouest STR Suzuki Y. Hansen/J. Prudhommeaux

Documents
Management Bancaire

Management Bancaire

Documents
Produits dépargne bancaire, financière et assurance BTS Banque Lépargne bancaire

Produits dépargne bancaire, financière et assurance BTS Banque Lépargne bancaire

Documents
Lloyd Bancaire

Lloyd Bancaire

Documents
loi bancaire

loi bancaire

Documents
Hansen, démocratie

Hansen, démocratie

Documents
médiation bancaire

médiation bancaire

Documents
Helly Hansen Workwear 2013/14 French

Helly Hansen Workwear 2013/14 French

Documents
Audit Bancaire

Audit Bancaire

Documents
HANSEN Broch 415_FR 2012.indd

HANSEN Broch 415_FR 2012.indd

Documents
reglementation bancaire

reglementation bancaire

Documents
Lexique Bancaire

Lexique Bancaire

Documents