Profitez vite de la livraison express et de notre SAV premium gratuitement

Faut-il avoir peur des fraudes aux paiements sans contact ?


Les démonstrations d’attaques sur les moyens de paiement NFC se sont multipliées ces dernières années, alors que le nombre de piratages réels semble rester marginal. Pour autant, le risque de se faire piéger est loin d’être nul.

Maxime Smolinski et Victor Foucré sont contents. Ces deux étudiants en ingénierie d’affaires ont créé leur start-up début 2019. Un crowdfunding en septembre dernier leur a permis de lancer la fabrication de leur produit auprès d’un partenaire chinois.

Fin octobre, ils ont pu démarrer sa commercialisation, juste à temps pour profiter des achats de Noël. Ce que ces deux créateurs d’entreprise proposent est une « carte anti-piratage NFC ». Baptisée « Absolute Secure », elle est censée empêcher un éventuel hacker de siphonner des données ou de l’argent sur une carte bancaire NFC.

Contre-mesures et sécurité

Des solutions de protection NFC existent depuis des années : étuis métalliques, cartes métalliques, portefeuilles avec des filets métalliques cousus à l'intérieur, etc.
Elles s’appuient sur le principe de la cage de Faraday pour empêcher la propagation des ondes et, ainsi, couper court à toute communication NFC. Absolute Secure propose une autre méthode, celle du brouillage. Leur carte incorpore une puce électromagnétique passive qui, lorsqu’elle reçoit un signal, émet une onde de fréquence 13,56 MHz dans un rayon de 5 à 6 cm. Ce qui est exactement la fréquence à laquelle fonctionnent les transactions sans fil NFC. Placée dans le portefeuille, ce système empêche par conséquent n’importe terminal d’interroger la carte bancaire ou toute autre carte disposant du NFC. C’est assez ingénieux.

01net

Mais a-t-on vraiment besoin d’un tel dispositif ? Pas vraiment, à en croire le dernier rapport de l’Observatoire de la sécurité des moyens de paiement, que la Banque de France a publié en juillet 2019.

Certes, ses auteurs constatent que les paiements sans contact progressent « à un rythme très important » en France et qu’ils représentent d’ores et déjà 21 % en volume des transactions de paiement de proximité.

Pour autant, le taux de fraude reste faible, avec un montant annuel de 5 millions d’euros, soit 0,020 % du montant total de transactions, bien en deçà de celui des paiements à distance (0,173 %).

Par ailleurs, « en 2018 et comme les années précédentes, la fraude sur les paiements sans contact résulte seulement du vol ou de la perte de la carte », souligne le rapport. Protéger sa carte NFC contre le piratage par une cage de Faraday ou un brouilleur semble donc inutile.

 

Plus que ce que disent les chiffres

Mais ces chiffres ne disent pas toute la vérité. En 2012, le chercheur en sécurité Renaud Lifchitz a montré que n’importe qui pouvait facilement récupérer le nom du détenteur, le numéro de carte, sa date de validité et les dernières transactions au moyen d’une clé USB NFC située à quelques centimètres.
Pourquoi ? Parce que les communications implémentées dans les moyens de paiement NFC ne sont ni chiffrées ni authentifiées. Et c’est toujours le cas aujourd’hui.

 

Face à cette révélation, les banques se sont contentées de limiter les données que l’on peut extraire. Désormais, un pirate qui se faufile dans le métro aux heures de pointe ne peut siphonner « que » le numéro de carte et la date de validité.
Mais selon Renaud Lifchitz, c’est suffisant pour que cette faille reste le principal risque de fraude NFC.

« C’est finalement l’attaque la plus critique. Extraites après une lecture sauvage, ces données peuvent être utilisées par des pirates pour effectuer autant de paiements en ligne qu’ils le souhaitent, sans être limités en montant », nous explique le chercheur.

Selon lui, dès qu’on sort de l’espace européen, les paiements en ligne sont souvent effectués sans demande d’autorisation préalable auprès de la banque. Le paiement est alors accepté par défaut et, surtout, il ne prend en compte ni le nom du porteur ni le code à trois chiffres qui se situe sur le dos de la carte.

« Parfois, ces champs sont affichés dans le formulaire alors que le paiement se fait sans autorisation préalable. Mais en réalité, ils ne sont pas utilisés. On peut mettre "Dark Vador" comme nom et "123" comme cryptogramme, et ça passe quand même », souligne-t-il.

Pour les banques, il est impossible de savoir si ces cas de fraudes prennent leur origine dans une lecture sauvage par NFC. Ils ne peuvent donc pas être comptabilisés dans la catégorie de fraude par NFC et se retrouvent noyés dans les fraudes des paiements à distance.

D’une certaine manière, les statistiques de l’Observatoire sont donc faussées, car le risque financier de la technologie NFC n’est pas correctement représenté.

Lire l'article complet sur 01.net

 

 

 

0 commentaires

  • Soyez le premier à nous laisser un commentaire.

Laissez un commentaire

Veuillez noter que les commentaires doivent être approuvés avant d'être affichés