CommBank Tap & Pay Samsung Galaxy S4 with Mobile MasterCard PayPass 

La semaine dernière (celle du 12 février 2014), vous avez pu voir fleurir dans vos journaux gratuits préférés une publicité pour les cartes de paiement sans contact. Il s'agit d'une solution pour les paiements de moins de 20€. Il existe 4 technologies. Ces dernières s'appellent PayPass, Zip, payWave, and ExpressPay respectivement par Visa, MasterCard, Discover et American Express,. Ces 4 technologies sont très proches, elles utilisent le RFID. Le problème du RFID est qu'il est très très facile de lire les informations. Il suffit d'avoir un lecteur (que l'on trouve pour 8$ sur ebay). Certains téléphones portables avec une application dédiée savent parfaitement lire les signaux RFID. D'ailleurs, il me semble que des applications fleurissent sur le playstore (Android).

 

Un peu de lectures sur le piratage

En 2008, ce genre d'article http://www.gizmodo.fr/2008/03/24/cartes_de_credit_rfid_comment_les_pirater_.html a fait que les Visa et autre MasterCard se sont penchés sur la sécurité.

Mon préféré est sûrement celui-là, le « Digital pickpockets ». On vous explique qu'un simple smartphone équipé de l'application qui va bien permet de récupérer les codes de la carte.

http://www.komonews.com/news/local/Digital-pickpockets-using-technology-to-steal-credit-cards-208613001.html

Un copieur de carte RFID à 3 pieds de distance. Sympa pour le mettre à côté d'un distributeur de billet.
http://hackaday.com/2013/11/03/rfid-reader-snoops-cards-from-3-feet-away/

Un lecteur de carte avec votre téléphone. Personnellement, j'éviterais d'utiliser ce genre d'outils. On ne sait pas si les données ne sont pas envoyés sur un serveur pirate
https://play.google.com/store/apps/details?id=com.samj.CardTest

Dans le même style on a les applications qui permettent de lire les passeports (et probablement les cartes bancaires). Sachant il faut une seconde, je vous déconseille de laisser traîner vos cartes dans vos poches ...

https://play.google.com/store/apps/details?id=nl.novay.nfcpassportreader

Je me pose la question de cette limite à 20 €. Ils ne sont pas sûr de leur sécurité. Ils réalisent un test grandeur nature et pour limiter la casse il plafonne le montant. Comme les éditeurs de carte ne sont pas fou, au-delà de 20€ il faut taper le code (ça en dit long sur la confiance qu'ils ont en leur système).

La sécurité

Il faut bien voir qu'on parle d'étiquette RFID. En gros, j’envoie un signal, le RFID répond, je suis l'étiquette numéro.

On nous parle de sécurité via des RFID actifs. En quelque sorte, un échange de clefs qui se produirait entre la carte et le lecteur. Personnellement, j'aimerais bien que l'on me montre ce genre de RFID, je n'en ai jamais vu.

Ce que l'on trouve sur la sécurité via les principaux fournisseurs.

Visa dit sur son site (au 20/02/2014)

Le sans contact m’offre-t-il le même niveau de sécurité ?
Oui. Lors de chaque paiement, un cryptogramme unique est généré. Il permet au terminal de s’assurer de l’authenticité de la carte ou du mobile.
Avec le paiement sans contact, le niveau de sécurité est similaire à un paiement classique avec contact.

 

Je comprends, à chaque lecture, une nouvelle identité est fournie à la carte. Problème, si l'identité est copiée et utilisée avant que vous ne l'utilisiez, que se passe-t-il ? Votre carte risque bien de ne plus être utilisable !?

D'après ce que j'ai pu lire sur le sujet. Jusqu'à présent, à chaque nouvelle protection il a été rapidement trouvé une attaque mettant à défaut la protection.

payWave 001   

Je crois que la palme du rire (cynique) revient à MasterCard.

Q : Qu’en est-il de la sécurité ?
R : Les transactions MasterCard PayPass sont sécurisées et vous bénéficiez des mêmes mécanismes de protection en cas de perte/vol/transactions frauduleuses qu'avec votre carte traditionnelle.
  • •.Pas de paiements accidentels – pour qu'une opération de paiement MasterCard PayPass soit réalisée, vous devez présenter votre carte à moins de 5 cm du lecteur de paiement. La carte doit être orientée face à au symbole pour que la transaction puisse se dérouler.
  • •.Pas de problème de double facturation ou de débit multiples – même si vous approchez plusieurs fois votre carte du lecteur au moment de payer, votre achat ne sera facturé qu'une seule fois. La présentation de la carte face au lecteur même à plusieurs reprises ne génère une seule opération de paiement.

payWave 002payWave 003

Si je traduis le propos, on ne nous parle pas de système de sécurité. Mais de ce qu'il se passe en cas de vol. On imagine que c'est largement faisable.

Deuxième rigolade, on vous parle du paiement accidentel. Au moins, on vous en parle. En clair, ne laissez pas votre sac à côté du terminal de paiement pendant que vous discutez avec la vendeuse (vendeur).

Q : Pourquoi la frappe du code confidentiel n'est pas obligatoire ?
R : Afin de faciliter et d'accélérer les opérations de paiement pour des montants allant jusqu'à 20 €*, le service de paiement MasterCard PayPass n'exige pas la frappe du code confidentiel. Toutefois, pour des raisons de sécurité il peut vous être demandé d'insérer votre carte dans le lecteur et de taper votre code confidentiel.

Une solution proposée

La solution la plus couramment proposée est de placer la carte dans un étui en fer, voire une feuille d’aluminium. On vous propose de créer une cage de faraday. Personnellement, n'ayant pas ce genre de carte et surtout n'en voulant pas, je ne peux vous certifié de la réalité de cette protection. Si à chaque fois, il faut sortir la carte de son étui ça perd un peu de son charme.

Conclusion

Vous l'avez compris je suis totalement opposé à cette technologie pour les cartes bancaires qui ne garantie aucunement une sécurité acceptable.

 


Vous avez aimé cet article ? Alors partagez-le avec vos amis en cliquant sur les boutons ci-dessous :


Commentaires

  • Aucun commentaire trouvé

Poster un commentaire en tant qu'invité

0

Publicité

Invité - aurélie
bonjour, j'ai la storio max baby pour mon fils, je lui mettais les vidéo de mickey sur YouTube, et p...
Encoder vos vidéos pour Storio... dans Article de Joomla
Invité - Laetitia
Vraiment merci pour ces explications ultra précises et compréhensibles pour une noob comme moi !
Configurer alerte mail avec Sr... dans Article de Joomla
Invité - TiEN
Bonjour, Il y a une petite erreur dans l'article.

Je cite "plus la fréquence est élevée, mieux el...
Choisir son téléphone en fonct... dans Article de Joomla
Invité - LATAGLIATA
Meme pas ils se connecte à mon i phone
Cômme qui dirait de la merde , escroc
Coup de coeur #drone pas cher ... dans Article de Joomla
Bonne année, j'aime beaucoup votre blog !
Bonne Année 2017 dans Article de Joomla

La pub ça rapporte pas grand chose, en plus ça vous laisse d'horribles cookies non comestibles, autrement appelé trackers. Ce cookie est utilisé par DoubleClick (Google Adsense). Vous avez tout le droit de ne pas en vouloir et donc quitter cet excellent blog. Dans le cas contraire, vous l'acceptez et vous poursuivez le surf en toute connaissance de cause (par ailleurs j'utilise piwik).