Une faille de sécurité dans des cartes bancaires sans contact


Si votre banquier vous propose une nouvelle carte bancaire sans contact, réfléchissez à deux fois avant d'accepter son offre. Ce nouveau type de carte peut être victime d'une faille de sécurité qui permet de la pirater en moins d'une seconde. 01net a pu rencontrer Renaud Lifchitz, consultant en sécurité.


L'expert a pu démontrer rapidement qu'un hack est possible depuis une simple clé USB NFC (les cartes sans contact utilisent cette technologie) ou grâce à un smartphone avec puce NFC. Un logiciel à la disposition de tous sur Internet permet de faire parler ces cartes décidément bien bavardes. Et pour cause : les échanges ne sont pas chiffrés et n'exigent aucune authentification. 


Par conséquent, le programme peut facilement afficher les informations liées à la carte : le nom du porteur, le numéro de la carte et les dernières transactions (avec date, montant et devise !).


Sauf que le piratage peut aller plus loin. Renaud Lifchitz a expliqué lors des GS Days 2012 (journées francophone de la sécurité) en avril dernier qu'il est également en mesure d'accéder au contenu de la bande magnétique de la carte, toujours grâce à la technologie sans fil. Les conséquences sont alors bien plus graves : il devient possible de cloner la carte. Un procédé qui n'est possible sur les anciennes cartes qu'avec un lecteur spécifique capable de lire la bande.


Bien sûr, le principe même d'une carte bancaire sans fil est l'échange d'information à faible distance (pour la démonstration, il faut être à moins de 5 cm). Sauf qu'en amplifiant le signal, le champ d'action augmente et il est alors possible de récupérer des informations à la volée et n'importe où : dans la rue, les transports, etc.


La CNIL a indiqué en mai mener des investigations sur la sécurité de ces cartes, une expertise qui n'est pas encore achevée aujourd'hui. D'ici la fin de son enquête, VISA, la société à l'origine des cartes justifie l'absence de chiffrement par le fait que les numéros de la carte sont inscrits sur la carte et donc récupérable à l'oeil. Un argument quelque peu léger, nuancé par l'annonce d'une nouvelle génération de carte d'ici un ou deux ans qui seront cette fois équipés d'un pare-feu afin de garantir la sécurité des données.


Si toutefois vous avez déjà changé pour une carte bancaire sans contact, la meilleure sécurité est d'utiliser un portefeuille en aluminium afin de profiter de l'effet « cage de Faraday » et éviter que les puces ne puissent communiquer. 

Posez une question dans la catégorie News du forum
Cette page n'accepte plus de commentaires
3 commentaires
    Votre commentaire
  • js73@guest
    Super le coup du portefeuille en alu ... ça marche aussi avec un coffre fort ??? LOL
    0
  • f4grx
    Il y a une méthode définitive et qui évite d'avoir l'air d'un malade avec du papier alu dans son porte feuille

    1) regardez votre carte en transparence devant une très forte lumière (style halogène, attention les yeux) pour identifier le passage de l'antenne. Elle court le long de la carte à 5mm-1cm du bord, tout autour.

    2) trouer la carte a la perceuse ( 1 ou 2 mm, pas plus) pour sectionner l'antenne vers la droite quand la puce est au centre a gauche. ne trouez pas la piste magnétique.

    3) ...

    4) profit!

    @f4grx
    0
  • _47
    Bonjour, il faut savor que chaque échange d'information sans fil est potentiellement "piratable", que ce soit au niveau de la puce, du signal en lui même, ou de la réception.

    Pour info même les cartes de l'assurance maladie ("Carte Vitale"), ont déjà été "piratées", via Reverse Engineering , voir l'article ici: http://hackademics.fr/showthread.php?3204-Lecture-des-cartes-Vitale-2-Ingenierie-inverse-des-API-de-l-assurance-maladie
    0