[Éclairage] Le paiement sans contact : est-il fiable ?

11 janvier 2021

Nour El Madhoun, chercheuse bénévole associée au sein du Laboratoire de recherche en informatique de Sorbonne Université et enseignante-chercheuse à l’EPITA fait le point sur les vulnérabilités du paiement sans contact NFC (Near Field Communication).

L’utilisation de la carte bancaire pour effectuer des paiements en magasin est devenue aujourd’hui une procédure très utile et cruciale pour beaucoup de personnes. Avec l’introduction de l’option du paiement sans contact basé sur la technologie NFC, les clients l’utilisent prioritairement pour un achat très rapide sans avoir besoin d’entrer leur code PIN.

Le paiement sans contact est-il fiable ?

Aujourd’hui, les clients considèrent que « la carte bancaire NFC est un outil sécurisé pour gérer la plupart de leurs transactions financières » mais récemment, des chercheurs de Sorbonne Université et de l’Université de Newcastle ont prouvé que cette considération n’est pas totalement correcte, en démontrant l’attaque NFC suivante :

Un adversaire malveillant a besoin, pour réaliser cette attaque, de deux appareils : un simple lecteur NFC non certifié qui peut lire des cartes NFC, et un amplificateur de signal NFC qui peut être utilisé pour amplifier le champs électromagnétique NFC à quelques mètres.  En théorie, la distance de communication NFC entre un lecteur NFC et une carte NFC ne peut pas dépasser 10 centimètres. L’objectif de l’adversaire est donc d’augmenter cette distance jusqu’à 1.50 mètres. Pour cela, il va attacher l’amplificateur de signal NFC au lecteur NFC. Dans un second temps, il utilisera l’amplificateur de signal attaché au lecteur NFC pour voler, à distance, les données bancaires (numéro de carte et date d’expiration) stockées dans une carte bancaire, sans que la victime en prenne connaissance et sans voler la carte physique elle-même.

Quelles sont les vulnérabilités dans la carte bancaire NFC ?

Une carte bancaire NFC implémente le protocole de sécurité international EMV (Europay Mastercard Visa). Durant un paiement NFC, quand le client approche sa carte bancaire près du terminal de paiement électronique (TPE), la carte envoie plusieurs informations, dont les données bancaires « numéro de la carte + date d’expiration ». À Sorbonne Université, nous avons étudié la fiabilité de ce protocole et avons prouvé que durant un paiement NFC classique, il manque d’assurer :

  • Que les données bancaires stockées dans la carte « numéro de la carte + date d’expiration » et envoyées au TPE soient confidentielles et chiffrées.
  • Que le TPE soit bien authentifié et dépende d’un commerçant reconnu et légal. En effet, la carte bancaire ne vérifie pas si le TPE est certifié et elle communique grâce au protocole EMV avec n’importe quel TPE et donc avec n’importe quel lecteur NFC.

Le manque de confidentialité des données bancaires et d’authentification du TPE sont deux vulnérabilités présentes dans le protocole EMV et donc durant le paiement NFC.

Ce sont ces deux vulnérabilités que l’adversaire exploitera lors d’une attaque NFC.

L’objectif final de l’adversaire est non seulement de récupérer les données bancaires d’une victime, mais surtout de pouvoir les exploiter. Malgré un code de sécurité très important au dos de la carte, qui ne peut pas être récupéré par l’adversaire, ce code n’est pas toujours demandé sur tous les sites web à l’international. L’adversaire pourra donc passer des commandes sur internet en choisissant un site web qui ne demande pas le code de sécurité et en utilisant les données bancaires de la victime.

Comment se protéger de cette attaque NFC ?

Il suffit de mettre la carte bancaire NFC dans un étui en aluminium qui permet de protéger la carte bancaire en l’isolant de tout champs électromagnétique NFC extérieur.

Pour aller plus loin :

 

Sur le même thème

21 janvier 2021

Qu’est-ce que la cybersécurité ? Spontanément, la définition commune va faire référence à l’informatique. Si cette dimension est essentielle, la cybersécurité recoupe pourtant de multiple (...)

15 janvier 2021

Il est essentiel de rassembler les textes juridiques qui encadrent la cybersécurité en un même ouvrage : un code de la cybersécurité. Éclairage par Michel Séjean, professeur agrégé en droit p (...)