La sécurité du sans-contact

En décembre 2011, Renaud Lifchitz dénonçait avec raison le manque de sécurité des cartes bancaires NFC. Quelques mois plus tard, Kristin Paget démontrait qu’avec peu de moyens, il est possible de lire les données personnelles de cartes bancaires NFC dans le métro. Qu’en est-il vraiment ? Réalité ou Affabulation ?  Devons-nous bannir à tout jamais les nouvelles cartes de notre vie ? Ou pouvons-nous leur faire confiance ? Ce sont ces questions auxquelles ce billet tentera de répondre.

Récupération des données de la carte

Dans ce chapitre, nous allons expliquer dans un premier temps comment il est possible de récupérer des données personnelles stockées sur la carte NFC sur le plan théorique. Puis, nous illustrerons concrètement la fuite de données dans la seconde partie.

Fonctionnement

La principale différence entre une carte bancaire EMV et EMV NFC est que cette dernière embarque une antenne NFC permettant de communiquer avec un point d’acceptation en sans-contact. Le dialogue carte / terminal se fait en clair et sans authentification. Cela signifie donc qu’il est possible avec un simple smartphone de se faire passer pour un TPE, d’initier le dialogue et in fine de récupérer plusieurs données personnelles :

  • Nom et prénom
  • Numéro de carte / date d’expiration / Contenu de la piste magnétique
  • Liste des dernières transactions effectuées

Note : le contenu de la piste stocké sur la puce ou Track 2 Equivalent Data (T2ED) contient le nom et prénom, la date d’expiration ainsi que le cryptogramme iCVV / Chip CVC qui est différent du CVV1 / CVC1.

Exploitation (partie technique)

En disposant d’une antenne NFC accouplée à un micro-processeur, que l’on retrouve dans la plupart des derniers smartphones, il est possible de créer un petit outil permettant la récupération des données susmentionnées. Il suffit d’utiliser les commandes EMV suivantes :

  • Sélection de l’application bancaire (AID) : 00 A4 …

Par exemple, pour sélectionner l’application CB : 00 A4 04 00 07 A0 00 00 00 42 10 10 00.

En retour, cela permet de récupérer la liste des champs requis (montant, date, etc.) pour initialiser une transaction. Il s’agit du PDOL (Processing Options Data Object List).

  • Initialisation de la transaction (GPO : Get Processing Options) en valorisant les données du PDOL : 80 A8 …

Par exemple, pour initialiser une transaction d’un montant d’1 centime : 80 A8 00 00 08 83 06 00 00 00 00 00 01 00.

Et enfin, il suffit de lire les données qui nous intéressent qui sont statiques ou dynamiques.

  • Pour les données statiques contenues dans un enregistrement (numéro de carte, nom, etc), il faut utiliser la commande EMV : 00 B2 …
  • Pour les données dynamiques comme la liste des transactions, il faut utiliser la commande EMV : 80 CA  …

Note : pas d’exemple ici. En effet, cela dépend en partie du résultat de l’étape précédente.

De nouvelles cartes NFC plus sécurisées

Consciente d’un risque dans le traitement de données personnelles, la CNIL a décidé de vérifier la véracité des faiblesses des cartes NFC en été 2012. Les conclusions corroborant les recherches de Renaud Lifchitz, la commission s’est rapprochée des banques afin que le nom et prénom ainsi que la liste des dernières transactions ne soient plus accessibles en sans-contact pour les cartes émises depuis la fin d’année 2013.

Malgré la suppression des données personnelles, il reste néanmoins possible de récupérer le numéro de la carte et la date d’expiration.

Note : la lecture du T2ED est toujours possible mais ne contient plus les données personnelles. Néanmoins, il contient toujours le numéro de la carte et la date d’expiration.

Après vérification sur ma carte personnelle, je constate qu’effectivement les données personnelles ne sont plus accessibles et que je récupère bien le numéro de carte et la date d’expiration.

Faut-il refuser la carte NFC ?

Si la carte « nouvelle génération » n’est pas la panacée, elle limite les risques de fuite de données personnelles. En effet, le nom, prénom et la liste des dernières transactions effectuées ne sont plus accessibles. Cette mitigation est-elle suffisante ?

Cas des cartes « ancienne génération »

Pour les cartes « anciennes générations », il vaut mieux les refuser par sécurité. Si votre banque refuse le remplacement de la carte, il vous restera toujours la possibilité de percer l’antenne.

Note : la désactivation du sans-contact par votre banque ne suffit pas. Cela empêchera juste les fraudeurs de payer avec votre carte s’ils vous la volent, pas de récupérer les données personnelles de la carte.

Cas des cartes « nouvelle génération »

Pour les cartes « nouvelles générations », les pirates pourront au pire récupérer le numéro de carte et la date d’expiration. Avec ces seules données, il ne leur sera pas possible de reconstituer une carte. Éventuellement, ils pourront acheter sur Internet sur certains sites ne demandant pas le cryptogramme. C’est un risque qui semble acceptable puisque la banque devra vous rembourser et que le non-usage du cryptogramme devrait en faciliter la démarche. Toutefois, par prudence, et en attendant une sécurisation plus accrue comme la tokenisation ou le chiffrement, il vaut mieux demander un étui cage de Faraday gratuitement à votre banque ou insérer simplement une feuille d’aluminium dans votre portefeuille.

Suis-je protégé ?

Pour ceux se demandant, si vous avez la chance d’avoir une carte bancaire nouvelle génération ou pas, il suffit d’installer une application smartphone dédiée à l’instar du lecteur de carte bancaire NFC de Julien Millau pour la plateforme Android.

N’hésitez pas à nous communiquer en retour si votre banque joue le jeu ou pas.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*