Paiement sans contact, mais pas sans danger



Jeudi 20 Novembre 2014

NoSuchCon, qui a lieu à Paris jusqu’à demain, regroupe des « hackers » de tous les pays. L’occasion de faire le point sur le paiement sans contact à la sécurité toute relative.


Paiement sans contact, mais pas sans danger
«Poser, c’est payé». C’est en ces termes que le groupement de 233 000 commerçants acceptant le paiement sans contact, en parle. «Poser, c’est payé», ça paraît simple comme bonjour. Et en effet, ça l’est. La technologie NFC, soit la communication en champ proche, permet à un détenteur de carte bancaire équipée de ce système, de payer jusqu’à 20 euros d’achats en l'approchant juste d'un terminal de paiement. 26 millions d’usagers sont équipés en France de ce dispositif. Beaucoup ne le savent pas forcément, car les banques ne communiquent pas. D'ici 2016, le paiement sans contact sera généralisé.
 
Si le but est de faciliter les transactions - ne plus composer de code confidentiel ni d’insérer sa carte bancaire dans une machine - les risques sont loin d’être nuls. Avec ce principe de communication en champ proche, les données personnelles peuvent être piratées. Il suffit d’un lecteur NFC ou d’un smartphone équipé, de se tenir près d’un détenteur de carte, ce qui n’a rien d’exceptionnel, cela arrive tous les jours : dans une file d’attente, dans un magasin, dans les transports en commun.... Résultat, même dans une poche, ou un portefeuille, les données bancaires peuvent être interceptées par une personne mal intentionnée.
 
La faille réside dans le fait que la NFC n’utilise aucun codage, aucun protocole chiffré et encore moins de système d’authentification. Du coup, la CNIL, la Commission nationale de l'informatique et des libertés, est intervenue pour restreindre l’accès au nom du détenteur de la carte et à l'historique de ses transactions. Pour autant, par les ondes, il est encore possible d’intercepter le numéro d'une carte et sa date d’expiration. Pour le moment, aucune fraude n’a été constatée sur les 100 millions de cartes qui circulent en Europe. Anthony Zboralski, ancien hacker reconverti dans la sécurité informatique, explique à 20 Minutes : « les cartes bancaires sont encore de vraies passoires et toutes les banques sont vulnérables ». Le mot passoire n'a rien de rassurant…

Paiement sans contact, mais pas sans danger

Notez