La semaine dernière (celle du 12 février 2014), vous avez pu voir fleurir dans vos journaux gratuits préférés une publicité pour les cartes de paiement sans contact. Il s'agit d'une solution pour les paiements de moins de 20€. Il existe 4 technologies. Ces dernières s'appellent PayPass, Zip, payWave, and ExpressPay respectivement par Visa, MasterCard, Discover et American Express,. Ces 4 technologies sont très proches, elles utilisent le RFID. Le problème du RFID est qu'il est très très facile de lire les informations. Il suffit d'avoir un lecteur (que l'on trouve pour 8$ sur ebay). Certains téléphones portables avec une application dédiée savent parfaitement lire les signaux RFID. D'ailleurs, il me semble que des applications fleurissent sur le playstore (Android).
Un peu de lectures sur le piratage
En 2008, ce genre d'article http://www.gizmodo.fr/2008/03/24/cartes_de_credit_rfid_comment_les_pirater_.html a fait que les Visa et autre MasterCard se sont penchés sur la sécurité.
Mon préféré est sûrement celui-là, le « Digital pickpockets ». On vous explique qu'un simple smartphone équipé de l'application qui va bien permet de récupérer les codes de la carte.
Un copieur de carte RFID à 3 pieds de distance. Sympa pour le mettre à côté d'un distributeur de billet.
http://hackaday.com/2013/11/03/rfid-reader-snoops-cards-from-3-feet-away/
Un lecteur de carte avec votre téléphone. Personnellement, j'éviterais d'utiliser ce genre d'outils. On ne sait pas si les données ne sont pas envoyés sur un serveur pirate
https://play.google.com/store/apps/details?id=com.samj.CardTest
Dans le même style on a les applications qui permettent de lire les passeports (et probablement les cartes bancaires). Sachant il faut une seconde, je vous déconseille de laisser traîner vos cartes dans vos poches ...
https://play.google.com/store/apps/details?id=nl.novay.nfcpassportreader
Je me pose la question de cette limite à 20 €. Ils ne sont pas sûr de leur sécurité. Ils réalisent un test grandeur nature et pour limiter la casse il plafonne le montant. Comme les éditeurs de carte ne sont pas fou, au-delà de 20€ il faut taper le code (ça en dit long sur la confiance qu'ils ont en leur système).
La sécurité
Il faut bien voir qu'on parle d'étiquette RFID. En gros, j’envoie un signal, le RFID répond, je suis l'étiquette numéro.
On nous parle de sécurité via des RFID actifs. En quelque sorte, un échange de clefs qui se produirait entre la carte et le lecteur. Personnellement, j'aimerais bien que l'on me montre ce genre de RFID, je n'en ai jamais vu.
Ce que l'on trouve sur la sécurité via les principaux fournisseurs.
Visa dit sur son site (au 20/02/2014)
Le sans contact m’offre-t-il le même niveau de sécurité ?
Oui. Lors de chaque paiement, un cryptogramme unique est généré. Il permet au terminal de s’assurer de l’authenticité de la carte ou du mobile.
Avec le paiement sans contact, le niveau de sécurité est similaire à un paiement classique avec contact.
Je comprends, à chaque lecture, une nouvelle identité est fournie à la carte. Problème, si l'identité est copiée et utilisée avant que vous ne l'utilisiez, que se passe-t-il ? Votre carte risque bien de ne plus être utilisable !?
D'après ce que j'ai pu lire sur le sujet. Jusqu'à présent, à chaque nouvelle protection il a été rapidement trouvé une attaque mettant à défaut la protection.
Je crois que la palme du rire (cynique) revient à MasterCard.
Q : Qu’en est-il de la sécurité ?
R : Les transactions MasterCard PayPass sont sécurisées et vous bénéficiez des mêmes mécanismes de protection en cas de perte/vol/transactions frauduleuses qu'avec votre carte traditionnelle.
-
•.Pas de paiements accidentels – pour qu'une opération de paiement MasterCard PayPass soit réalisée, vous devez présenter votre carte à moins de 5 cm du lecteur de paiement. La carte doit être orientée face à au symbole pour que la transaction puisse se dérouler. -
•.Pas de problème de double facturation ou de débit multiples – même si vous approchez plusieurs fois votre carte du lecteur au moment de payer, votre achat ne sera facturé qu'une seule fois. La présentation de la carte face au lecteur même à plusieurs reprises ne génère une seule opération de paiement.
Si je traduis le propos, on ne nous parle pas de système de sécurité. Mais de ce qu'il se passe en cas de vol. On imagine que c'est largement faisable.
Deuxième rigolade, on vous parle du paiement accidentel. Au moins, on vous en parle. En clair, ne laissez pas votre sac à côté du terminal de paiement pendant que vous discutez avec la vendeuse (vendeur).
Q : Pourquoi la frappe du code confidentiel n'est pas obligatoire ?
R : Afin de faciliter et d'accélérer les opérations de paiement pour des montants allant jusqu'à 20 €*, le service de paiement MasterCard PayPass n'exige pas la frappe du code confidentiel. Toutefois, pour des raisons de sécurité il peut vous être demandé d'insérer votre carte dans le lecteur et de taper votre code confidentiel.
Une solution proposée
La solution la plus couramment proposée est de placer la carte dans un étui en fer, voire une feuille d’aluminium. On vous propose de créer une cage de faraday. Personnellement, n'ayant pas ce genre de carte et surtout n'en voulant pas, je ne peux vous certifié de la réalité de cette protection. Si à chaque fois, il faut sortir la carte de son étui ça perd un peu de son charme.
Conclusion
Vous l'avez compris je suis totalement opposé à cette technologie pour les cartes bancaires qui ne garantie aucunement une sécurité acceptable.
Comments powered by CComment