Les paiements sans contact sont-ils sûrs ?

“Ça fera 11 €” dit la caissière au supermarché local. Je prends mon portefeuille pour le passer sur le terminal de point de vente (TPV), j’attends une seconde, j’entends le bip et voilà ! Le tour est joué, la transaction a réussi !
Une carte de paiement sans contact est super pratique. Vous n’avez pas besoin de faire glisser la carte dans le TPV, ni de vous rappeler de votre code PIN, ni de faire une signature avec un mauvais stylo, ni de sortir votre portefeuille afin de chercher de l’argent ou de fouiller le fin fond de vos poches dans l’espérance de trouver des pièces. Vous devez juste toucher le TPV et vous êtes prêt pour repartir.

Les caissières sont aussi très contentes avec les systèmes de paiement sans contact : ils permettent de faire ses achats beaucoup plus rapidement et d’accélérer le passage en caisse, le célèbre bouchon dans tous les points de vente.
Néanmoins, comme ce système est facile à utiliser, on se demande si c’est également simple de voler notre argent. Un criminel peut-il simplement toucher notre poche avec un lecteur clandestin et nous piquer tout notre argent durement gagné ?
Afin de le découvrir, j’ai étudié beaucoup de rapports de conférences concernant les piratages et j’ai parlé à de nombreux représentants de banque. Le retour collectif a été plutôt positif, mais il comprenait aussi de gros inconvénients.
La portée
Les cartes sans contact font marcher la NFC (“near field communication“, qui signifie “communication en champ proche”), une sorte de technologie qui s’appuie sur la RFID (“radio-frequency identification“, qui signifie “identification par radio fréquence”). Une carte contient une puce et une antenne qui répondent à la demande du terminal de point de vente et utilisent une bande de fréquence de 13,56 MHz. Les systèmes de paiement utilisent leurs propres normes sous le nom de Visa payWave, MasterCard PayPass, American Express, ExpressPay, etc. Toutefois, ils utilisent tous la même approche ainsi que la même technologie principale.
La portée de la transmission de la NFC est courte car elle se trouve à moins de 2,5 centimètres. Ce qui signifie que la première ligne de défense est physique. Le lecteur, en principe, devrait être placé immédiatement à proximité de la carte ce qui pourrait être difficilement réalisé clandestinement.
En même temps, quelqu’un pourrait monter un lecteur capable de fonctionner à une plus grande portée. Par exemple, les chercheurs de l’Université de Surrey ont présenté un scanner compact capable de lire les données de NFC à une distance de 80 cm.
#contactless cards could be easily hacked with cheap electronics, study of @UniOfSurrey proved: http://t.co/rDs1CjTG48 #NFC #cybersecurity
— E&T Magazine (@EandTmagazine) October 31, 2013

Un tel appareil pourrait être capable d’émettre des demandes afin d’utiliser les cartes sans contact dans les transports publics, dans les centres commerciaux, dans les aéroports ainsi que dans d’autres endroits comprenant un grand nombre de personnes. Dans beaucoup de pays, un portefeuille sur deux contient une carte compatible avec la NFC, donc dans des endroits surpeuplés, les criminels peuvent trouver énormément de victimes.
En fin de compte, on pourrait même aller plus loin et faire face à cette menace sans posséder un scanner personnalisé ou sans mettre une distance physique. Les pirates informatiques espagnols Ricardo Rodrigues et Jose Villa, lors de la conférence Hack in the box, ont présenté une méthode élégante d’”éliminer la distance”.
Source : Practical Experiences on NFC Relay Attacks with Android
La majorité des smartphones de nos jours sont équipés avec la technologie NFC. Apparemment, les smartphones sont souvent situés à proximité d’un portefeuille, c’est-à-dire dans un sac à main ou dans une poche. Les chercheurs Rodrigues et Villa ont mis au point un cheval de Troie sur Android, qui transforme le smartphone ciblé en une sorte de transpondeur NFC.
Dès qu’un smartphone compromis est placé proche d’une carte sans contact, il envoie un signal aux attaqueurs afin de les prévenir qu’il est possible d’effectuer une transaction. Les escrocs activent ensuite le terminal de point de vente habituel et placent leur smartphone équipés de la technologie NFC près du terminal. Par conséquent, une sorte de “pont” sur Internet est construit entre la carte de NFC et le terminal de NFC, sans prendre en compte la portée.
Le cheval de Troie peut être partagé par le biais de méthodes standards comme celles qui impliquent un groupement de nombreux malwares et une application de paiement piratée. À cet égard, la seule condition préalable est de posséder Android 4.4 ou ses nouvelles versions. Même l’accès root n’est pas nécessaire, bien que ce soit une option souhaitable afin d’assurer un bon fonctionnement du cheval de Troie quand l’écran du smartphone est bloqué.
Chiffrement
Posséder une carte ciblée à la portée d’un lecteur indésirable est juste la moitié du travail. Il y a une autre ligne de défense encore plus sérieuse : le chiffrement.
Les transactions sans contact sont protégées par la même norme EMV qui protège les cartes plastiques ordinaires équipées par une puce EMV. Tandis qu’une bande magnétique peut être facilement clonée, une puce ne le permettrait pas. Quand la carte reçoit une demande d’un terminal de point de vente, son circuit intégré créé une clé à usage unique. Cette clé pourrait être interceptée et ne serait pas valide pour la prochaine transaction.
Les chercheurs ont fait part de leurs nombreuses inquiétudes en ce qui concerne la sécurité EMV, néanmoins, aucun cas de piratage EMV n’a été reporté.
Les paiements sans contact sont-ils sûrs ?Tweet
Toutefois, il y a un autre point à considérer. Dans un développement standard, le concept de la carte de sécurité EMV est fondé sur la combinaison des clés de chiffrement et d’un code PIN saisit par un utilisateur. Dans le cas des transactions sans contact, le code Pin n’est pas demandé, donc les moyens de protection dans ce cas sont limités aux clés de chiffrement créées par la carte et par le terminal.
Alexander Taratorin, le directeur du soutien des applications de la banque de Reiffeisen explique : “En théorie, il est plausible de produire un terminal qui lirait les données de la carte de NFC “depuis la poche”. Cependant, ce terminal personnalisé devrait utiliser des clés de chiffrement obtenues à partir d’une banque acquéreuse et d’un système de paiement. Les clés sont émises par la banque acquéreuse, ce qui signifie qu’il serait très facile de déceler et d’enquêter sur les escroqueries.”
Valeur de la transaction
Il y a encore une autre ligne de défense : la limitation de la valeur en ce qui concerne les transactions de paiements sans contact. La banque acquéreuse s’appuie sur des recommandations obtenues à partir des systèmes de paiement pour coder cette limite, qu’elle trouve adéquate, dans les paramètres d’un terminal de point de vente. En Russie, la valeur maximum des transactions sans contact est de 1000 RUB, tandis qu’aux États-Unis elle est de 25 dollars, au Royaume-Uni elle est de 20 livres (elle augmentera bientôt à 30 livres), en France elle est de 20 euros, etc.
Si la valeur allait au-delà de cette limite, la transaction serait rejetée ou demanderai une preuve additionnelle de validité, comme par exemple un code PIN ou une signature, tout dépend des paramètres fournis par la banque émettrice. Afin d’empêcher de retirer plusieurs petites sommes, il faudrait faire appel par la suite à un mécanisme de sécurité additionnel.
Quantum plastic: an insight into credit cards of the future: https://t.co/NpMM9FuzwZ с помощью @kaspersky
— Yulya Polozova (@YulyaPolozova) February 6, 2015

Néanmoins, il y a un autre problème. Il y a environ un an, une autre équipe de chercheurs de l’Université de Newcastle (au Royaume-Uni), ont reporté une vulnérabilité dans le système de sécurité de les cartes sans contact Visa. Une fois que vous décidez d’effectuer le paiement dans une devise étrangère, et non l’euro, vous pouvez dépasser la limite. Si un terminal de point de vente est hors ligne, la valeur maximum pourrait atteindre jusqu’à un million d’euros.
Selon Taratorin, travaillant à la banque Reiffeisen, un terminal de point de vente contrôle la valeur maximum d’une transaction sans prendre en compte la devise.
Nous choisirons une manière différente
Par conséquent, la seule façon d’éviter les transactions indésirables de paiements sans contact reposerait-elle seulement sur la défaillance improbable du système de paiement d’une banque ? La réponse probable est oui, sous réserve que les escrocs ne travaillent pas dans la banque en question.
Mais il existe encore une autre découverte désagréable. Si la transaction ne peut pas être piratée, la NFC peut faciliter des données de votre carte de payement aux voleurs.
La norme EMV présuppose que certaines données sont stockées sans être chiffrées dans la mémoire d’une puce. Elles pourraient comporter le numéro de carte, les dernières transactions etc… Tout dépend des politiques de la banque émettrice ou du système de paiement. Les données pourraient être lues par le biais d’un smartphone équipé de la technologie NFC avec une application légitime (comme le lecteur de carte bancaire NFC),  vous pouvez y jeter un coup d’œil par vous-même.
Jusqu’à présent, l’information en jeu était considérée comme étant ouverte et comme n’étant pas suffisante pour compromettre la sécurité de la carte. Néanmoins, un organe de presse britannique nommé “Which?” a étonnamment cassé le mythe.
**SECURITY ALERT** We’ve found a flaw with contactless cards that could be exploited to make pricey online purchases http://t.co/0yVNrKDije
— Which? (@WhichUK) July 22, 2015

Les experts de “Which?” ont testé une poignée de différentes cartes sans contact émises par des banques du Royaume-Uni. Avec l’aide d’un lecteur NFC abordable et de logiciels gratuits, ils ont réussis à décoder le numéro de carte et la date d’expiration des cartes concernées.
Il semble qu’ils ont perdu leur temps. N’avons-nous pas besoin du numéro CVV pour acheter en ligne ?
La triste vérité est que beaucoup de boutiques en ligne ne demandent pas le numéro CVV. Les experts de “Which ?” ont réussis à commander une télévision coutant près de 3 000 livres sur l’une des majeures boutiques en ligne.
Ce qu’il faut retenir
Tandis que ces mêmes technologies de paiement sans contact possèdent différents niveaux de protection, cela ne veut pas dire que votre argent est à 100 % protégé. Plusieurs éléments de cartes bancaires sont fondés sur des technologies dépassées comme les bandes magnétiques, la possibilité de payer en ligne sans authentification additionnelle, etc.
À de nombreux égards, la sécurité dépend des paramètres utilisés par les institutions financières ainsi que les magasins. Parfois, ces derniers, afin de faciliter des courses plus rapides et de diminuer les “chariots abandonnés”, préfèrent sacrifier la sécurité de paiement pour gagner plus d’argent.
Criminal business on #ATMs, part 2: https://t.co/qCWhTm2ALD pic.twitter.com/46zP035BBE
— Kaspersky Lab (@kaspersky) January 30, 2015

C’est pourquoi les recommandations de sécurité élémentaires sont à jour même en cas de paiements sans contact : éviter que les personnes étrangères ne voient vos numéros sur votre carte bancaire, ne pas la montrer autour de soi, soyez prudent lorsque vous téléchargez une application sur votre smartphone, installer un antivirus, permettez des notifications par SMS à votre banque et alertez votre banque dès que vous repérez une activité suspecte.
Finalement, si vous voulez être sûr que personne ne puisse lire votre carte NFC, vous devrez considérer acheter un portefeuille doublé avec une couche d’aluminium. De toute façon, personne ne peut déjouer la physique.
Source: Kaspersky
Les paiements sans contact sont-ils sûrs ?