La sécurité du paiement sans contact

La facilité d’usage n’a jamais été compatible avec une sécurité efficace. Des pirates informatiques allemands viennent de confirmer cette règle en signalant des failles dans deux protocoles utilisés dans les systèmes de paiement par carte.

En théorie, le paiement sans contact présente des atouts séduisants. En quelques secondes un client peut payer des faibles montants en passant sa carte bancaire devant un lecteur NFC (Near Field Communication, communication en champ proche) sans avoir à composer son mot de passe. Près de 32 millions de cartes de paiement NFC circulent en France. Mais très peu d’utilisateurs en connaissent les risques.

Des experts en sécurité informatique appartenant au Chaos Computing Club ont présenté récemment les failles de deux protocoles de communication exploités par les lecteurs de cartes : ZVT (Zahlungverkehrsterminal) et Poseidon. Le premier est utilisé, majoritairement en Allemagne, en jonction avec les systèmes de caisses en point de vente. Le second fait le lien avec les banques, en tant qu’implémentation du standard ISO 8583 (spécifications d’échange de messages dans le cadre de transactions financières).

Le premier n’embarque pas de mécanisme d’authentification. Une personne mal intentionnée qui se trouve à quelques centimètres de vous (dans le métro par exemple) peut récupérer à votre insu des informations sur votre carte bancaire et notamment son code PIN. Une simple application téléchargeable gratuitement sur internet permet de capter, via un smartphone compatible MSC, les informations confidentielles contenues sur une carte bancaire équipée de la technologie NFC. En posant le téléphone sur la carte, le numéro de carte, la date d’expiration, donc les deux informations qui servent à payer sont lisibles. En effet, le code MAC d’authentification de message destiné à prouver que les données proviennent d’un tiers de confiance est mal positionné sur le plan informatique.

Concernant Poseidon, le piratage est plus délicat, car il faut disposer d’un lecteur de cartes configuré de façon identique de celui de la victime. Lors des échanges d’informations avec l’organisme qui traite les paiements, le terminal du marchand envoie son identifiant. Cette connexion est chiffrée, mais elle est aussi lisible sur chaque reçu imprimé. Par erreur, le mot de passe de la liaison chiffrée est généralement le même pour tous les marchands associés à un même organisme de gestion des paiements. En quelques secondes, un pirate peut le découvrir avec un logiciel spécial ou en cherchant un peu sur le web les mots de passe de l’organisme. Les craintes de plusieurs experts en sécurité de chez BT sont ainsi justifiées.

De son côté, Pierre-Alain Fouque, spécialiste de la cryptographie au sein de l’Institut de recherche en informatique et systèmes aléatoires (Irisa), à Rennes, reconnaît que « des mesures ont été prises pour éviter que quelqu’un vide votre compte bancaire, en limitant une transaction à 20 euros, et de telle manière qu’on ne puisse pas faire plus de trois ou quatre paiements sans contact par jour ». En revanche, aucune mesure de sécurité sur les cartes bancaires n’a été mise en œuvre pour éviter ce type d’attaque. Voir aussi http://fr.scribd.com/  www.techniques-ingenieur.fr/

© 2015 Strategies Telecoms & Multimedia | Contact |  -