Élisa Oudin
Carte de paiement sans contactLes craintes des chercheurs
Dans plusieurs publications, des chercheurs font état de leurs interrogations très sérieuses concernant la sécurité des paiements sans contact via les cartes bancaires NFC.
La carte NFC permet de payer en approchant sa carte de quelques centimètres d’un terminal, plus besoin de taper son code secret. En France, les paiements sans contact sont limités à 20 € par transaction et de 80 à 100 € par mois ; au-delà, il faut retaper son code. Mais ce dispositif n’est pas sans susciter quelques craintes comme nous l’évoquions dans une récente enquête. Craintes confirmées par la publication d’un article intitulé « La sécurité des systèmes informatiques ubiquitaires », publié le 14 janvier 2015. Gildas Avoine, professeur en cryptologie, à l’université de Louvain-la-Neuve (Belgique) et à l’Insa de Rennes, y écrit notamment : « De sévères failles dans plusieurs dispositifs largement répandus ont pourtant déjà été mises au jour, qu'il s'agisse de systèmes de démarrage de voitures, de cartes d'accès ou de paiement sans contact. »
Parmi les risques identifiés, l'attaque par relais est aujourd’hui la principale crainte des chercheurs concernant la sécurité des cartes NFC. Cette technique permet de détourner la communication entre une carte et un terminal. Le message est en fait réceptionné par un autre terminal. L’utilisateur de la carte bancaire pense ainsi, par exemple, effectuer un paiement sans contact auprès d’un commerçant A, alors qu’en réalité il envoie ce paiement au terminal d’un commerçant B. Dans un entretien, publié le 3 juillet dernier dans le « Journal du CNRS », Cristina Onete, chercheur à l’Inria/Université de Rennes, précise la technique : « La carte NFC et le terminal de paiement, pensant dialoguer l’un avec l’autre, communiquent en fait avec un troisième intervenant qui utilise les informations envoyées par la carte pour faire la preuve de son identité auprès du lecteur cible. »
Il suffit ainsi pour réaliser ce vol de positionner un smartphone à quelques centimètres de la carte et d’envoyer les données à un second téléphone, positionné près d’un terminal de paiement. Pour l’instant, il n’a pas encore été constaté de fraudes effectuées via ce mode. Mais pour les chercheurs, rien ne l’empêche a priori… Ce qui n’empêche pas le site de Visa d’affirmer : « Tout aussi sûres que les cartes Visa classiques, les cartes Visa équipées du paiement sans contact garantissent des paiements fiables et sécurisés. »
Selon les experts, une technique permettrait de renforcer la sécurité des cartes NFC contre l’attaque-relais. Il s’agit de « l’utilisation du protocole de “distance bounding” », dispositif qui permet de repérer si le terminal de paiement se situe près ou loin de la carte sans contact. Dans le second cas, le paiement peut être bloqué. Mais les banques n’ont, jusqu’à présent, pas estimé nécessaire d’y recourir.