Tous les récents modèles de smartphones lancés par Blackberry, Nokia, Samsung, LG, Acer ou HTC incorporent la technologie NFC.

Mais de quoi s’agit-il ?

D’un système transactionnel qui fonctionne en rapprochant, sans contact physique direct (Near Field Communication), un téléphone mobile d’une base émettrice/réceptrice. Dans le cas plus basique d’un titre de transport, comme le passe Navigo de la RATP, dès que les deux éléments sont proches, la base envoie un très faible flux électromagnétique vers la carte qui contient un fil en spirale connecté à un micro-composant. Ce contact à distance créé un courant électrique dans la bobine qui « réveille » le composant et lui permet d’échanger des données avec la base. C’est ce même principe qui est utilisé dans les smartphones NFC mais avec plus de sophistication. On peut en effet dans ce cas associer l’échange sans contact, avec les transmissions de données par l’internet mobile et des sécurités embarquées comme le code PIN mais aussi la carte SIM.

Résultat : on dispose d’un puissant outil transactionnel qui va du porte-monnaie électronique rechargeable en ligne jusqu’au terminal bancaire pour paiement par virement ou par carte bancaire virtuelle. Un outil ultra portable, très personnalisé, fiable en terme de fonctionnement, et auquel on prédit le succès comme mode de règlement dématérialisé.

Une cible pour les pirates ?

Plusieurs enquêtes réalisées auprès d’experts du secteur IT, notamment aux Etats-Unis (pays encore trop réfractaire à la carte à puce sécurisée), indiquent que près des 2/3 des interrogés croient à la domination, d’ici 10 ans, du mode de paiement NFC par rapport à la carte bancaire. Ces experts pensent que la technologie jouera de ce fait un rôle de premier plan dans le e-commerce et bien entendu le m-commerce effectué à partir d’un mobile. Le NFC sera poussé par les banques et surtout les consortiums qui éditent les cartes de paiement mais ces acteurs devront prendre en compte les réticences des usagers, notamment sur les questions de confidentialité et de sécurité. Car un téléphone mobile, ça se perd, ça s’oublie sur un coin de table ou même ça se vole. Il convient donc de rassurer les utilisateurs sur les modes de protection des données personnelles enregistrées dans l’appareil (non seulement le répertoire des contacts mais aussi toutes les autres informations sensibles) ainsi que sur les possibilités offertes, par certains opérateurs ou certains logiciels de protection, d’effacer à distance les précieuses données stockées sur la mémoire et la carte SIM puis de rendre le téléphone inutilisable. Mais le danger ne réside pas seulement dans la perte du portable car il est possible, avec l’aide de certains moyens, de récupérer les données personnelles à distance. Lors d’une récente conférence à Paris (Hackito Ergo Sum, cf encadré), un ingénieur sécurité travaillant chez l’opérateur britannique BT a dénoncé le manque de véritable protection sur les actuelles cartes bancaires incorporant NFC et fait en direct la démonstration d’une capture de données à distance. Pour ce spécialiste, les malfaiteurs peuvent aisément « aspirer » les données contenues dans une carte ou un téléphone mobile. Il suffirait de s’approcher de quelques mètres des cibles et de porter sur soi un lecteur (un smartphone bricolé, avec une antenne spéciale !). Une protection primaire consisterait à mettre les objets NFC dans un étui métallique faisant cage de faraday, mais la faille n’en a pas moins été communiquée à l’instance compétente, la CNIL (Commission Nationale Informatique et Liberté) en l’occurrence.

La CNIL mène l’enquête

La Commission a immédiatement fait savoir qu’elle ouvrait une enquête, indiquant que « les cartes de paiement sans contact actuellement distribuées par certains établissements bancaires présenteraient un risque au regard de la sécurité des données personnelles qu’elles contiennent ». Elle a lancé des investigations techniques afin d’identifier les problèmes et leurs conséquences tout en rappelant que la loi oblige les « organismes mettant en œuvre des traitements informatiques (à) assurer la sécurité des données qu’ils traitent afin notamment d’empêcher que des tiers non autorisés n’y aient accès ».

Nous alertions déjà dans ces colonnes – « Smartphone, tablette et sécurité : la menace devient mobile » publié le 22 février 2012 – sur les dangers auxquels s’exposent tous les utilisateurs de terminaux mobiles en précisant qu’il serait vain de laisser la responsabilité de la sécurité aux seuls utilisateurs de smartphones et tablettes et nous rappelions que les professionnels devaient jouer aussi leur rôle et en premier lieu les hébergeurs et infogérants de sites marchands.

Pour www.infogérance.fr, c’est encore une fois l’occasion d’insister sur la nécessaire mise en conformité au standard Payment Card Industry Data Security Standard (PCI-DSS) de tous les acteurs de la chaîne du e-commerce fixe ou mobile, du cybermarchand jusqu’à son hébergeur. Rappelons que cette norme est demandée par les principaux acteurs bancaires et sera obligatoire dès le 1er janvier 2013 pour tous les adhérents du réseau Visa.

Les exigences édictées par les groupements de cartes bancaires – cf « Smartphones, tablettes et mobilité : Wifi, sécurité et conformité PCI ? » publié le 22 mars 2012 – portaient en particulier sur l’utilisation des réseaux radio Wifi pour les opérations transactionnelles effectuées par les clients dans les magasins, mais il est clair qu’elles vont prendre en compte très rapidement les nouveaux modes de paiement en mobilité pour renforcer la confiance à la fois des acteurs de la chaîne commerciale et celle des particuliers qui doivent de plus en plus se convertir à la monnaie virtuelle. Rappelons que la conformité PCI DSS est imposée par les banques à tous les marchands qui traitent directement les numéros de carte bancaire. Ceux-ci ont le choix entre se mettre en conformité et le prouver à leur banque, et à Visa Europe, ou ne pas traiter directement les cartes sur leurs sites marchands et rediriger leurs clients vers un prestataire de service lui même conforme PCI-DSS. La deuxième démarche convient mieux aux e-marchands de petite et moyenne tailles qui doivent dans ce cas travailler avec des hébergeurs ou des infogérants s’étant déjà soumis à cette conformité et donc la taille permet de mutualiser les investissements nécessaires au maintien d’un haut niveau de sécurité des données personnelles des clients.

Résumé de l’intervention de Renaud Lifchitz, ingénieur sécurité chez BT, à la conférence Hackito Ergo Sum.

L’intervenant a rappelé qu’en France, 100 000 terminaux étaient déjà compatibles NFC (10 millions de cartes compatibles aux USA), qu’il existe deux systèmes distincts, un pour Visa, l’autre pour MasterCard, et que nombre et montant des paiements sont pour le moment limités. Sur la carte, le stockage et la sécurité des données sont assurés par le standard EMV et la norme ISO 7816-4.

La carte a un vrai système de fichier avec un « root directory » et des répertoires / fichiers dont les données sont encodées en BER TLV. Sur un passe Navigo, la sécurité est bonne car aucune donnée personnelle n’est présente, aucun lien ne peut être fait entre une personne et sa carte sauf par les serveurs centraux. La carte possède un bon cryptage, une bonne authentification et une signature digitale mais peut être utilisée sans soucis par un voleur. A contrario, les cartes de paiement sans contact n’ont aucun cryptage des données, aucune authentification, tout est ouvert. Les informations que l’on peut extraire sont les données du propriétaire : sexe, nom, prénom, numéro de compte PAN, date d’expiration, données de la bande magnétique et historique des transactions. Les clefs publiques peuvent éventuellement être lues mais pas les trois chiffres de vérification inscrits au dos de chaque carte, puisqu’ils ne figurent pas dans les données NFC. Les attaques possibles sont la récupération des données pour des paiements frauduleux, le blocage de la carte par envoi de trois requêtes de code PIN erronées, la duplication de la carte en tant que mode de paiement classique à lecture magnétique, utilisable sans code dans de nombreux pays en Europe comme aux USA. La lecture pirate instantanée des données peut également servir à déclencher des actions y compris terroristes.

Lors de « Hackito Ergo Sum », une démonstration d’attaque a été effectuée – envoi d’une séquence d’initialisation, recherche du code AID de l’application de la banque (en clair sur tous les reçus de CB), lecture de la réponse EMV de la carte – sur une carte rangée dans un portefeuille : les données – numéro de CB, date d’expiration, identité du porteur, historique de ses achats – se sont instantanément affichés sur deux terminaux trafiqués dont un tournant sous Android. Il n’a pas été nécessaire de faire de l’ingénierie inversée puisque le protocole est public, aucun système n’a été violé, aucune sécurité cassée puisqu’il n’y en a simplement aucune !

Généralement, la lecture d’une carte NFC se fait à 5 cm maximum du lecteur, distance poussée à 1,5 m avec un amplificateur. Avec un récepteur type USRP et une antenne directive on peut monter à 15 m mais l’intervenant a rappelé que des hackers ont déjà poussé la portée opérationnelle du bluetooth de 10m à… 1,7 km. Seule protection efficace en attendant mieux : un portefeuille anti RFID (terme générique pour Radio Frequency IDentification) avec écran métallisé imperméable aux ondes radio (cage de Faraday).

Pour Renaud Lifchitz, la carte bancaire NFC est actuellement incompatible avec les recommandations PCI/DSS, normes édictée par….les émetteurs de carte. Il faut renforcer d’urgence la sécurité par l’authentification, le cryptage des communications, des sessions sécurisées. Dans l’état actuel, il n’est pas recommandé d’utiliser ces cartes puisque, en France, le fait de ne pas protéger les données personnelles est considéré comme un acte criminel.