Sécurité des smartphones, le pire reste à venir

Le paiement sans contact, un nouveau débouché pour les pirates

2011 marquera l’arrivée des NFC (Near Field Contact) sur les mobiles. Les NFC, se sont ces technologies qui permettent de transmettre des données entre un téléphone et un terminal par simple contact. Ainsi, un circuit NFC sera intégré dans le nouveau Google Nexus-S et des constructeurs comme BlackBerry, HTC ou Nokia ont annoncé leur intention d’intégrer ces technologies dans leurs prochains mobiles.

La première application des NFC, c’est bien évidemment le micro-paiement.  Voilà un moyen simple et pratique d’acheter des billets, de payer ses courses, de profiter de réduction directement en sortant son mobile. Parce que les USA ont toujours été réfractaires à la carte à puces, la technologie NFC est perçue par les banques américaines comme une solution bien plus sûre pour les dépenses quotidiennes que la carte bancaire. Mais qu’en est-il réellement ?



Sur le papier cette technologie ne présente pas davantage de risques que les technologies à contact comme la carte à puce. Au contraire. Plus récente, elle bénéficie de nombreuses avancées en matière de sécurité.



En pratique, un mobile NFC doit être protégé au niveau de son interface de communication mais aussi et surtout au niveau applicatif. Au niveau de l’interface de communication, le système se veut blinder puisque les équipements actifs sont capables de scanner le champ magnétique pour détecter des attaques et mettre fin aux communications.



C’est davantage au niveau applicatif que se portent les inquiétudes. En théorie le système d’exploitation assure toutes les protections et la communication avec le « SE » (Secure Elements) que comporte tout NFC. Mais ces protections sont susceptibles d’être perméables aux propres failles des systèmes. Une fois rentré par une telle faille, Collin Mulliner, du Trifinite Group, a démontré qu’une bibliothèque Java de son cru permettait de réaliser des attaques de type spoofing (usurpation) et fuzzing (injection) contre des mobiles NFC.

Aussi inquiétantes que puissent être ces démonstrations, il ne faut pas perdre de vue qu’il y a un monde entre de telles démonstrations sur un mobile sous contrôle et le monde réel où il faut pervertir des centaines de mobiles pour déployer la menace. Mais elles tendent à montrer que nous aurons probablement tous rapidement besoin d’antimalwares sur nos mobiles.