CNIL : la sécurité des cartes bancaires NFC à l'étude

Le par  |  1 commentaire(s)
Logo CNIL

L'apparition d'une fonctionnalité NFC sur les cartes bancaires fait craindre un risque de sécurité que la CNIL a décidé d'évaluer, après la publication d'articles signalant une possibilité de piratage des informations échangées.

La technologie NFC ( Near Field Communications ) doit permettre le développement de services sans contact pour lesquels il suffira d'apposer son mobile ou une carte bancaire compatible sur un terminal pour déclencher une interaction ou une transaction.

Dans son principe, la communication sans fil est censée n'intervenir que dans une portée de quelques centimètres mais il a été régulièrement démontré qu'il n'était pas si compliqué " d'écouter " l'échange d'information.

Si cela ne porte pas forcément à conséquence ( en dehors de la violation de la vie privée ) pour des interactions simples, le problème est déjà plus embarrassant lorsqu'il s'agit de la communication NFC via les cartes de paiement distribuées par les établissements bancaires.


La CNIL mène l'enquête
Logo CNILLa CNIL a pris note de plusieurs articles de presse suggérant que les cartes bancaires NFC de certains établissements présentent un risque de sécurité et qu'il est possible de capter les informations ou transactions échangées à plusieurs mètres de distance.

La Commission annonce donc qu'elle lance ses propres " investigations techniques " pour " identifier les éventuels problèmes de sécurité liés à ces cartes et analyser leurs conséquences en termes de vie privée ".

Elle rappelle également qu'il revient aux émetteurs de ces cartes d'assurer la sécurité des données traitées et la restriction de l'accès à des tiers non autorisés. La sécurité des communications échangées par NFC est un point critique pour cette technologie et pour les services bancaires mobiles en général.

La notion de confiance est essentielle pour l'essor de ces services et leur utilisation par le plus grand nombre. Ce n'est d'ailleurs pas la première fois que ce risque de piratage des données transmises par NFC est mis en lumière.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #955401
Les réseaux (Visa, MC, Aimex, JCB et Discover) à l'initiative de cette "bévue" n'ont aucun problème avec ça.
En effet, de leur point de vue, la responsabilité de l'acte d'achat repose sur le marchand.
C'est à lui de vérifier les différents éléments du porteur : PAN, nom, prénom, mois d'expiration et CVV2 (celui qui est inscrit au dos de la carte physique et non celui qui est disponible via NFC qui est le CVV3 tandis que sur la piste magnétique c'est le CVV1).
Donc, circulez, y'a rien à voir.
Que nombre de marchands acceptent les commandes en ne se reposant souvent que sur le PAN et le mois d'expiration ils ne veulent pas le savoir.
Et on repart donc 12 ans en arrière à l'époque de l'affaire Humpich où plusieurs dizaines ou centaines de personnes portant plainte suite à des retraits d'argent ou des paiements effectués avec leur carte alors qu'ils en étaient toujours en possession (il suffisait alors de copier la piste magnétique) se sont vues opposer une fin de non recevoir : si qqun a payé avec votre carte c'est que vous l'avez laissé à un moment ou un autre pour qu'on vous la vole !

Avec le NFC embarqué il va suffire à quelques malins de se pointer dans un centre commercial un samedi ou à la veille de fêtes pour capturer autant de pistes qu'ils pourront.
Le matos adéquat n'est pas très volumineux mais coûte quelques centaines d'euros tout de même.

Ca va être cool !

db

Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]