Puces NFC, cartes bancaires et sécurité

De Wiki du LAMA (UMR 5127)
Aller à : navigation, rechercher

La technologie NFC (Near Field Communication, ou Communication en champ proche) a commencé à être utilisée en 2011. L'objectif est de transmettre des informations à courte distance entre deux périphériques, sans qu'un contact soit requis. Pour cela, les informations sont transmises grâce à des ondes à haute fréquence (13.56 MHz). Pour qu'un périphérique communique avec une puce NFC, l'échange des données se fait dans cet ordre : - le périphérique envoie une demande d'informations à la puce - la puce renvoie une réponse avec les données demandées

Les modes de fonctionnement

Il existe trois modes de fonctionnement pour les périphériques équipés de puces NFC :

- Le mode émulation de carte :

​ Le périphérique se comporte comme une carte à puce sans-contact. Quand on lui demande de fournir des informations, celles-ci sont renvoyées.

- Le mode lecteur :

​ Le périphérique devient capable de lire les puces NFC. Il peut envoyer des demandes d'informations aux cartes à puce sans-contact.

- Le mode pear-to-pear :

​ Dans ce mode, deux périphériques échangent des informations. Ces informations sont diverses, allant d'objets complexes (une carte de visite), à des fichiers entiers.

Exemples d'utilisation

Aujourd'hui, beaucoup de fonctionnalités ont été trouvées pour utiliser ces puces : - affichage de données sur un produit (prix, composition, ...) dans un magasin - validation d'un billet d'entrée à un spectacle ou d'un coupon de réduction - contrôle de l'accès à des locaux accessible par badge - échange de profil entre deux utilisateurs en approchant deux téléphones - accès au taux de glycémie d'un diabétique grâce à un capteur d'analyse de liquide intercellulaire - paiement sans contact via une carte bancaire ou un smartphone pour une facture de moins de 30€

Quelques statistiques

En Décembre 2017, 47.2 millions de français possédaient une carte bancaire équipée de la fonction de paiement sans contact. Il s'agissait d'environ 71% de toutes les cartes de crédit en France. En 2014, on considère qu'environ un tiers des possesseurs de carte bleue à puce NFC ne savaient pas à que leur carte pouvait être utilisée pour faire du paiement sans contact. Cela représente un risque pour eux étant donné que ce système n'est pas sans faille.

Faiblesses du système

Il se trouve que lors de l'implémentation de ces puces sur les cartes bancaires, les algorithmes utilisés pour protéger les données de la carte pour effectuer un paiement traditionnel ont directement été réutilisés pour permettre le paiement sans contact. Sauf qu'il y a une différence majeure entre ces deux approches : l'une est basée sur la lecture d'une bande magnétique, tandis que pour la seconde, une puce NFC est interrogée à distance.

Cette faille a été mise à jour en 2011 par Renaud Lifchitz, ingénieur sécurité chez BT. Il indiquait que les cartes bancaires VISA Paywave et MasterCard PayPass qui utilisent la communication en champ proche n'utilisent aucun protocole chiffré, ni aucun système d'authentification : "Le protocole EMVB (celui des cartes traditionnelles) a été repris tel quel [...]". En Avril 2012, il a prouvé ses dires et réalisé une démonstration. Il a montré qu'il est possible de capter les communications émises depuis une carte de paiement sans contact et d'accéder à différentes informations comme le nom et le prénom du porteur de la carte, ainsi que le numéro et la date d'expiration de la carte bancaire et enfin l'historique des 20 dernières opérations effectuées. Pour cela, il a juste utilisé une clé USB intégrant une puce NFC et disponible pour 40€.

En 2012, d'autres experts ont montré des failles dans ce système et des façons de les exploiter. Ainsi, certains se sont concentrés sur les cartes de crédit et de la façon dont on pouvait essayer de procéder à un paiement au détriment d'une personne, d'autres se sont focalisé sur une méthode pour récupérer les informations de paiement contenues dans un smartphone, lui aussi équipé d'une puce NFC.

En 2014, un premier pas a été fait dans la protection de ces données. En effet, la CNIL (Commission Nationale de l'Informatique et des Libertés) a été saisie et par son action, certaines informations ne sont plus accessibles. Nous parlons ici de l'identité de l'utilisateur ainsi que de l'historique des achats. Cependant, à cause de la diversité des banques qui proposent ce service, il est impossible de savoir quelles sont les données qui doivent accessibles et celles qui ne doivent pas l'être.

Types d'attaques

Il est actuellement reconnu qu'il y a deux types d'attaques possible : celle dite passive et celle dite active.

Attaque active

Cette attaque est définie par le fait que l'attaquant doit agir lui-même. Pour cela, il doit porter un périphérique NFC en mode lecture qu'il va essayer de rapprocher d'une carte de paiement NFC. Cette méthode a été testée par un journaliste dans le métro parisien à une heure de pointe. Il se trouve qu'en une heure et demie avec cette méthode, il a récupéré des informations sur une dizaine de cartes de crédit.

Le matériel requis pour cette attaque est peu coûteux, puisqu'elle ne demande qu'un smartphone ou un lecteur de puce NFC. Le mode opératoire est simple : essayer de rapprocher le plus possible le lecteur de puce du sac à main ou de la poche d'une personne.

Attaque passive

Cette attaque est dite passive parce qu'aucune action n'est demandée à la personne qui voudrait la mettre en œuvre. Le principe est d'écouter et d'enregistrer les informations transmises par les puces proches. Cette attaque est quant à elle bien plus compliquée à mettre en œuvre. Il faut d'abord avoir accès à bien plus de matériel, comme par exemple une antenne qui sera chargée d'amplifier les ondes utilisées pour transmettre les informations entre la puce et le lecteur.

Le principal avantage de cette méthode est qu'il devient théoriquement possible de capter des ondes à une dizaine de mètres. Le principal problème est le coût du matériel. La DCRI (Direction Centrale du Renseignement Intérieur) décrit cette méthode comme "nécessitant des connaissances techniques poussées et des moyens financiers importants".

Comment se protéger ?

Pour se protéger, il existe plusieurs solutions, en fonction du périphérique utilisé pour effectuer des transactions.

Dans le cadre du smartphone, il est possible de désactiver les fonctionnalités de la puce NFC dans les paramètres de l'appareil. Ainsi, il devient impossible d'accéder aux données stockées dessus, mais il n'est plus possible non plus de lire le contenu d'une autre puce NFC.

Pour les cartes bancaires, il existe plusieurs alternatives : - garder sa carte de crédit dans une cage de Faraday. Le principe de la cage de Faraday est d'isoler un espace des ondes électromagnétiques. Aujourd'hui, on peut trouver dans le commerce des portefeuilles et des étuis de protection pour les cartes de crédit. Ces objets contiennent une feuille d'aluminium qui sert de cage de Faraday. Ainsi, il devient impossible de demander les informations à la puce NFC. Le problème est que lors d'un paiement, il faut sortir la carte de sa protection. - demander à sa banque une carte de crédit sans puce. Les banques devraient être obligées à fournir sur demande d'un client, une carte de crédit sans puce NFC d'après la CNIL. Ainsi, la majorité des banques pratique cette méthode. Comme il n'y a plus de puce, il n'est plus possible de l'interroger pour avoir accès à des données confidentielles. Cependant, il n'est plus du tout possible de procéder à un paiement sans contact.

Sources

https://fr.wikipedia.org/wiki/Communication_en_champ_proche - Principe de fonctionnement, exemples d'utilisation et apperçu d'une faille de sécurité

https://www.commentcamarche.com/faq/36852-tout-comprendre-a-la-technologie-nfc - Principes de fonctionnement

https://www.cnetfrance.fr/news/securite-le-nfc-une-vraie-passoire-39797541.htm - Types d'attaques possibles

Par Killian Forel