La CNIL (Commission Nationale de l’Informatique et des Libertés) enquête actuellement sur la sécurité mise en place autour de la technologie dite « sans contact » (également appelée NFC pour Near Field Communication, traduit par Communication en champ proche) qui équipera nos futures cartes bancaires.
A quoi sert le NFC ?
Le NFC permet de transmettre des informations entre deux objets, comme par exemple une carte de paiement NFC et un terminal de paiement NFC. Plus besoin d’insérer sa carte dans le terminal de paiement ou de glisser la carte dans le lecteur de piste magnétique, la carte NFC contient une puce couplée à une antenne qui contient les informations nécessaires au terminal pour procéder à la transaction. C’est exactement comme avec les badges que vous utilisez sur votre lieu de travail pour accéder aux locaux, ou comme votre abonnement de transport en commun que vous utilisez pour passer les tourniquets des gares.
Gain de temps oui, mais encore faut-il que cela soit sécurisé. Pour un abonnement RATP par exemple, on peut facilement imaginer que la sécurité des données transitant entre votre carte d’abonnement et le terminal de rechargement ne soient pas des plus critiques, mais pour une transaction bancaire pendant laquelle circule vos identifiants bancaires, on peut facilement comprendre l’inquiétude de la CNIL.
Des problèmes de sécurité ?
Malgré le fait que les établissements bancaires assurent que la communication NFC est très difficile à pirater et à intercepter, le mot « impossible » n’a été que vaguement mentionné.
Même si la transaction ne s’effectue qu’à une portée maximale de 10 cm, au-delà de laquelle la communication ne s’effectue plus (un peu comme avec votre réseau wifi domestique que vous ne captez plus si vous vous éloignez trop de la borne émettrice, qui est souvent votre box internet), il est toutefois possible, pour un individu tiers d’intercepter les données qui transitent entre la carte bancaire NFC et le terminal de paiement, si celui-ci se trouve suffisamment près (ou s’il a placé un dispositif de capture comme on en trouve sur certains distributeurs de billets actuels qui lisent la piste magnétique de votre carte bancaire lorsque vous l’insérez).
Les établissements bancaires précisent qu’un code peut être demandé pour valider la transaction : c’est parfait pour notre pirate ! Il a les données d’identification, accompagné du code qu’il va lorgner par-dessus votre épaule.
Sans parler de la possibilité d’interroger la carte bancaire à tout moment juste en se rapprochant du sac de quelqu’un, dans les transports en commun bondés, les pirates vont se régaler !
La CNIL a donc décidé de mener une enquête technique concernant le sujet afin de voir si une telle technologie peut être déployée au grand public et commercialisée sans risquer de voir des millions de consommateurs se faire pirater leurs comptes bancaires. Y’aura t-il un cryptage fiable des transmissions ? Ou alors une double identification à l’aide d’un sms envoyé sur votre téléphone ? C’est ce que la CNIL va essayer de savoir dans les prochaines semaines.
Liens utiles
Site de la CNIL : Carte de paiement sans contact : mode d’emploi
Définition du NFC sur Wikipédia : http://fr.wikipedia.org/wiki/Communication_en_champ_proche
Et vous, seriez-vous tenté par la technologie NFC quelle que soit son utilisation (carte bancaire, carte de visite, etc …) ?
4 Commentaires