Poser, c’est payé ! », tel est le slogan diffusé il y a quelques mois par le Groupement des Cartes Bancaires CB pour faire décoller l’usage du paiement sans contact. Une alternative aurait pu être : « Poser, c’est piraté ! », car la faille de sécurité découverte en 2012 par l’expert en sécurité Renaud Lifchitz n’est toujours pas comblée (lire encadré ci-dessous). Et cela, pour une bonne raison : c’est impossible à moins de changer l’architecture technique sous-jacente, ce qui serait beaucoup trop cher.
Officiellement, les banques ont toujours nié un risque réel lié à cette faille de sécurité qui permet à une personne mal intentionnée de capter à distance le numéro de carte et sa date de validité (voire même le nom et l’historique des transactions si la carte n’est pas très récente). Pourtant, depuis environ un an, tous les établissements français ont constitué un stock d’étuis anti-NFC, à disposition de leurs clients qui en font la demande, et cela gratuitement.
S’ils s’équipent ainsi, ce n’est pas par plaisir, mais par obligation. « Les banques doivent avoir un stock équivalent à 10% du nombre de cartes NFC en circulation. C’est une instruction de la Banque de France », explique Eric Granet, directeur général de DSD Image, un fabricant d’étuis anti-NFC qui a été approché par plusieurs responsables bancaires.
Auprès de la Banque de la France, on minimise l’information. « Ce n’est pas une obligation formelle. Cela fait partie de la politique de gestion des risques que chaque banque doit mettre en place et justifier », explique le service de presse de l’institution financière. Mais alors pourquoi ce seuil de 10 % ? Faut-il comprendre par là qu’un utilisateur a une chance sur dix de se faire pirater ? « Absolument pas. C’est simplement un niveau qui apparaît acceptable pour faire face aux demandes éventuelles et amorcer la pompe », ajoute le service de presse.
Les responsables bancaires qui ont contacté les fabricants d’étuis ne s’expriment pas d’une manière aussi feutrée que la Banque de France. Selon Eric Granet, ce stock vise à pallier une éventuelle vague de panique chez les utilisateurs. Cela pourrait se produire, par exemple, par des actions de piratage à grande échelle ou par une surmédiatisation de ce problème. Pour l’instant, ni l’un ni l’autre ne s’est produit.
D’ailleurs, ce n’est pas la seule contre-mesure que les banques ont mise en œuvre. La Banque de France les oblige également à disposer d’une procédure pour désactiver le NFC à la demande des clients. Pour une banque, cette option est à éviter absolument. D’une part, cela reviendrait à faire baisser le parc d’utilisateurs NFC et donc les chances de voir ce marché décoller enfin. D’autre part, c’est assez coûteux. « Les agences ne disposent pas des outils nécessaires pour faire ce genre de manipulation. Elles seraient donc contraintes d’envoyer la carte du client dans des ateliers dits de personnalisation. Le coût de l’opération est autour de 10 euros par carte », explique Nicolas Kerschenbaum, expert en sécurité chez Lexsi.
Fournir gratuitement un étui anti-NFC en cas de problème apparait donc comme le moindre mal. L’usage du NFC reste toujours possible, et c’est beaucoup moins cher que la désactivation. Le prix d’un étui anti-NFC varie de 15 à 50 centimes l’unité. Le calcul est donc vite fait.
Mais les étuis anti-NFC, permettent-ils de lutter réellement contre le piratage ? « C’est efficace. Cela revient à loger la carte bancaire dans une cage Faraday qui bloque les ondes. En revanche, on n’est pas protégé au moment du paiement, car il faut alors sortir la carte de l’étui », explique Nicolas Kerschenbaum.
En se positionnant à proximité d’une caisse, un pirate bien outillé pourrait par exemple siphonner tous les clients qui passent. « Un investissement de 300 euros est suffisant pour fabriquer un dispositif permettant d’aspirer les données d’une carte à quelques mètres », précise l’expert en sécurité. Contrairement à ce qu’affirme le Groupement des Cartes Bancaires CB, un tel piratage ne serait donc pas très difficile à réaliser.
Pour autant, force est de constater que – pour l’instant – peu d’histoires de piratage NFC sont connues à ce jour. « Il y a eu un cas avec un dispositif posé sur un distributeur de banques, et c’est à peu près tout. Il faut dire que le piratage par NFC ne laisse aucune trace. Il donc très difficile de prouver, à postériori, qu’une fraude trouve son origine dans un vol de données par NFC. Par ailleurs, pour les pirates, le fishing reste quand même une technique plus confortable et plus économique pour voler des numéros de carte : il suffit de lancer des emailing par des botnet, tout se fait à distance et de manière anonyme », poursuit Nicolas Kerschenbaum.
Conclusion : il faut être conscient des risques liés au paiement sans contact, mais ce n’est pas la peine de paniquer pour autant. Les personnes très sensibles à la sécurité sont invitées à faire désactiver cette fonction, ou alors de se procurer un étui ou un portefeuille anti-NFC, ce qui permet quand même de limiter l’exposition au risque.
Lire aussi:
La Cnil enquête sur la sécurité des cartes sans contact NFC, le 22/05/2012
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.