29 août 2012

Les cartes bancaires sans contact

Carte sans contact

Les banques, lors du processus classique de renouvellement de leur parc de cartes bancaires, commencent à équiper leur client de cartes dites « sans contact ».

Quelles sont les nouvelles fonctionnalités fournies par ces cartes ? Quels sont les bénéfices/risques liés l’utilisation de cette technologie pour le porteur de carte ? Les utilisateurs sont-ils informés de ces risques et les ont-ils acceptés ?

Le terme « sans contact » est à associer à la technologie NFC (Near Field Communication) permettant l’échange d’informations à courte portée et haute fréquence (extension du standard ISO/CEI 14443). Cette technologie va se déployer très largement dans les smartphones, les tablettes tactiles, et également les cartes bancaires afin de faciliter les transactions sans-fil. Grâce à votre carte sans contact, vous pourrez acheter votre pain, votre ticket de bus, payer votre place de parking ou tout autres petits achats du quotidien (inférieur à 30€) sans même avoir à insérer votre carte dans le lecteur ou composer votre code secret. A ce niveau de la description, l’avancée technologique est aisément perceptible et met fin à toute recherche de monnaie en catastrophe sous condition que le marchand soit équipé de la technologie en question. Cette technologie de portefeuille électronique peut être comparée au système « Moneo » dont le succès fut limité, d’une part du fait du faible nombre de marchants équipés, d’autre part par le manque d’adhésion des consommateurs qui n’ont pas modifié leur comportement dans l’acte d’achat.

Comme toute nouvelle technologie, elle induit de nouveaux risques, en témoigne l’exposé de Renaud Lifchitz, ingénieur sécurité chez BT, à la Hackito Ergo Sum 2012. Le protocole utilisé sur les cartes bancaires n’est ni chiffré, ni même soumis à authentification. Cela signifie que quiconque équipé d’un simple lecteur NFC est susceptible de récolter à minima les informations suivantes : nom/prénom, numéro de la carte (PAN), sa date d’expiration ainsi que la liste des 20 dernières transactions sur la carte. Certains pensent qu’il n’y a rien de vraiment « confidentiel » car la plus grande partie des informations est gravée dans la carte. Mais que feriez-vous si une personne notait volontairement les informations inscrites sur votre carte devant vos yeux ?

Les principaux risques suivants doivent être envisagés et évalués par les utilisateurs :

 

• La technologie ne nécessite pas de code PIN, en cas de vol, la carte pourra être débitée jusqu’au seuil maximum de transaction sans-fil atteint. Si ce seuil maximum de transaction est paramétré, on peut considérer que le risque est identique à une perte / vol d’un porte monnaie classique et est donc acceptable pour l’utilisateur. Cependant, si le voleur créé une copie de la carte, il pourra réaliser ces petites transactions jusqu’au seuil puis attendre que l’utilisateur fasse une transaction sécurisée pour réinitialiser le montant seuil pour renouveler ses achats en continu. Le processus se termine lorsque le titulaire de la carte se rend compte de la supercherie et fait opposition sur les transactions effectuées.

• La constitution de fichiers répertoriant des informations bancaires en masse et la mise en place d’un marché noir pour ces données (pour copie de carte par exemple). Un scénario serait par exemple de naviguer dans le métro aux heures de pointes avec un lecteur et tout en se déplaçant de récolter rapidement un maximum d’informations contenu dans les cartes bancaires « sans contact ».

• L’usurpation d’identité bancaire pour effectuer des achats importants en ligne à l’étranger (notamment aux USA qui ne requière souvent que le PAN et la date d’expiration). Ce risque existe déjà par duplication de la carte bancaire avec contact mais la récolte d’information est facilitée par la technologie sans-fil ;

La CNIL mène actuellement une expertise sur le sujet afin de mesurer au plus juste les impacts sur les données bancaires (considérées comme des données à caractère personnel). En attendant les résultats de cette étude et les éventuelles mesures de sécurité adéquates, nous ne pouvons que vous encourager à être vigilant quant aux nouvelles possibilités de votre carte.

Le paiement sans contact présente des enjeux importants pour les acteurs historiques du paiement (banque, carte bancaire,…) et les nouveaux venus (opérateurs, constructeurs,…). En effet, imaginons que la pratique soit généralisée et que l’utilisateur modifie significativement son comportement d’achat. Il utilisera alors son téléphone portable, sa carte bancaire ou bien sa tablette pour ses achats quotidiens. C’est pourquoi chacun des acteurs a tout intérêt à ce que l’achat puisse être effectué grâce à son équipement. On comprend alors la tendance actuelle de chacun des acteurs à anticiper et à équiper massivement ses clients. Ce qui est moins compréhensible c’est que cela se fasse à l’insu du client à qui l’on fait courir des risques dont il n’a pas connaissance.

Sources :

korben.info ; wikipedia.org ; cnil.fr

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *