Accueil > Hacking > Cartes bancaires NFC en 2015 : est-on (enfin) en sécurité ?

Cartes bancaires NFC en 2015 : est-on (enfin) en sécurité ?

On parle beaucoup des cartes bancaires NFC depuis 2012. Si vous n’en n’avez jamais entendu parler, je vous explique tout. Si vous connaissez déjà le sujet, laissez-moi vous remettre à jour sur les dernières failles et correctifs en date.

Dans la dernière partie de l’article, j’interview Louis Joseph, le créateur de stop-rfid.fr. Ce site vous propose des équipements “NFC KILLER”, empêchant quiconque d’exploiter/hacker votre carte bancaire NFC à distance dans la rue par exemple.

1. Comment ça marche le NFC ? Pourquoi je n’ai pas besoin de taper de code lorsque je paie en NFC ?

Le NFC est une technologie de communication sans fil, un peu comme peuvent l’être le Bluetooth ou le WIFI. Bien sûr, chacune de ces 3 technologies a ses propres intérêts, ses avantages et ses inconvénients.

CBNFC

Aujourd’hui, le NFC est très utilisé dans nos téléphones portables et dans nos cartes bancaires. C’est le NFC qui permet à votre téléphone/carte bancaire de dialoguer “sans contact” avec un terminal de paiement chez Carrefour ou Leclerc par exemple.

Lorsque vous vous servez de votre téléphone comme d’une carte bancaire (Google Wallet, Apple Pay, etc..), vous n’avez pas besoin de taper de code à la machine du vendeur. C’est la carte SIM à l’intérieur de votre téléphone qui va servir de code implicite.

Dans le cas d’un paiement avec votre carte bancaire sans contact, c’est le protocole EMV (Europay Mastercard Visa) qui vous permet de ne pas avoir à taper votre code habituel à 4 chiffres.

2. Ça a l’air cool, pourquoi c’est dangereux ?

Sur le papier c’est cool, mais en réalité le paiement NFC est un vrai panier de crabes. Chaque année, des chercheurs découvrent de nouvelles failles absolument gigantesques.

En 2012, le chercheur Renaud Lifchitz a découvert que le fameux protocole EMV dont je vous parlais toute à l’heure n’était pas du tout adapté à la sécurité des cartes NFC. Ce protocole de sécurisation est vraiment très ancien, et son usage dans le cadre du NFC laisse à désirer.

Renaud Lifchitz
Renaud Lifchitz

Monsieur Lifchitz a découvert qu’avec un matos que tout le monde peut se trouver sur Amazon pour 40€, il était possible de “sniffer” n’importe quelle carte bancaire NFC dans la poche de quelqu’un qui passait à côté de nous et de récupérer :

  • Son nom ;
  • Son prénom ;
  • Son numéro de carte entier (4242 4242 4242 4242 par exemple) ;
  • Sa date d’expiration (12/17 par exemple) ;
  • Le listing de ses 15 dernières opérations bancaires ;
Un smartphone reconverti en sniffer de carte.
Un smartphone reconverti en sniffer de carte.

Les banques disaient : “c’est pas très grave, si y’a une fraude à la carte bancaire, on vous rembourse tout ! C’est dans votre contrat d’assurance bancaire !”. Ouais, super, merci. Pour une fois, la CNIL a fait son taff et les banques ont corrigé ce défaut de sécurité. Mais cela ne concerne que les cartes délivrées après cette décision….

Une autre faille encore plus incroyable

En 2014, une autre faille encore + monstrueuse vient secouer le monde du NFC. Cette fois, 2 chercheurs de l’université britannique de New Castle ont mis au point un système qui permet carrément de piquer de l’argent sur la carte bancaire des gens qui passent à côté de vous avec leur carte bancaire NFC.

Lors de la commercialisation des cartes NFC, les banques avaient mis au point une limite : il serait impossible de dépenser + de 20€ en passant par un paiement NFC. Et le plafond mensuel s’arrête, lui, à 80€ par mois environ. En plus de défoncer la sécurité du NFC, nos deux chercheurs anglais ont défoncé le plafond de paiement, on le faisant passer à…. 999,999€.

Leur technique est complexe et simple à la fois :

  1. Ils transforment un appareil dont ils ont le contrôle, en terminal de paiement NFC. En gros, ils créent un logiciel qui simulent un terminal de paiement sur leur propre ordinateur (le terminal de paiement c’est l’appareil de la caissière au supermarché).
  2. Ils approchent une carte bancaire de cet ordinateur (l’ordi est équipé d’une clef NFC) et forcent la carte à émettre une transaction bancaire, comme le fait la caissière d’un supermarché.

Jusqu’à là vous vous dites : “bah si les mecs créent un logiciel de paiement NFC à l’arrache, ils n’ont sûrement aucun moyen de faire remonter la transaction bancaire à une banque certifiée pour ensuite récupérer les sous !”

C’est là qu’ils sont malins. Mastercard offre la possibilité aux commerçants de stocker les transactions bancaires de leurs clients hors-ligne. C’est pratique si le commerçant a une panne d’internet dans sa boutique un jour : il peut quand même recevoir des paiements bancaires. Il devra juste les envoyer à la banque le lendemain, lorsque son Internet sera remis sur pied.

mastercard

Mais qui dit “paiement stocké sur l’ordi” dit “possibilité de bidouiller ses paiements”… La faille est là : lorsque les paiements bancaires sont stockés off-line sur l’ordi des chercheurs, ils se rendent compte que rien n’est chiffré. Ils peuvent modifier les sommes, les destinataires, et plein d’autres info. Voila comment ils auraient pu détourner 1 million de dollars.

Cette faille n’a semble-t-il pas encore été corrigée en 2015. Elle demande pas mal de boulot côté hacker, puisque même si techniquement c’est assez simple à mettre en place, il reste des subtilités bancaires à détourner que je n’ai pas expliquées ici.

En clair : fuyez le NFC ou protégez-vous.

Le NFC c’est bien mais c’est pas encore ça même en 2015 ! On découvre une faille gigantesque par an depuis 2012. Essayez de limiter l’acquisition de trucs NFC tant que la technologie n’est pas au point. Mais si votre banque vous a refourgué une carte NFC de force, lisez la suite ! Nous partons à la rencontre de Louis-Joseph, créateur d’une boutique d’équipements “anti-NFC” appelée sobrement stop-rfid.fr.


Pouvez-vous présenter stop-rfid et expliquer pourquoi vous vous êtes lancé dans ce projet ?

la-protection-stop-rfid

En 2012, lors de ma visite dans une entreprise qui se faisait installer un système d’alarme/contrôle d’accès RFID, j’ai voulu en savoir plus sur ces nouvelles cartes sans fil, c’est à dire utilisant la technologie NFC/RFID.

Dans le même temps j’ai reçu une carte bancaire avec un sigle )))), et me suis donc renseigné sur internet. J’ai découvert des articles donc celui de Renaud Lifchitz (ingénieur sécurité) qui démontrait que les cartes NFC/RFID n’étaient pas suffisamment sécurisés.

Avec un lecteur, un programme, il était possible d’accéder à des données personnelles comme le nom, les dates des paiements effectués, en plus du numéro de CB, date d’expiration. Avec ces informations, il est possible de payer sur certains sites internet (note de Charles : Amazon par exemple !). Il faut savoir que tout n’est pas vérifié en temps réel, ni forcément le CCV (3 chiffres au dos de la carte) par négligence des concepteurs.

J’ai voulu acheter en ligne sur Ebay 2 lecteurs RFID (125 Khz et 13.58 Mhz), afin de faire mes propres tests, mais une surprise m’attendait avec un message : “la vente n’est pas autorisée dans votre pays”… Qu’à cela ne tienne : j’ai trouvé un copieur 125 Khz de dernière génération en quelques secondes, et un lecteur/enregistreur USB 13.56 Mhz avec sa suite de logiciels.

Un Lecteur RFID à 35$ sur Ebay.
Un Lecteur RFID à 35$ sur Ebay.

Naturellement je suis revenu dans l’entreprise et j’ai testé avec succès la copie du badge d’accès principal, ainsi que la lecture d’une carte CB d’un des actionnaires, avec son autorisation bien entendu. Et quelles surprises pour elle… Là je me suis rendu compte qu’il y avait effectivement de gros problèmes de sécurité sur ces cartes NFC/RFID et que la société ayant installé l’alarme ne l’avait pas fait dans les règles déjà à la base en choisissant le bon matériel (made in china ne présentant pas la sécurité requise).

Début 2013, j’ai acheté tout ce qui existait dans le monde au niveau de la protection anti-NFC. Et là plein de surprises : même des marques connues ne protègent pas efficacement ou correctement ! Des protections se transforment en poussière à l’intérieur des portefeuilles, se détériorent quand c’est du plastique à peine pulvérisé d’aluminium. Certaines sont mensongères, d’autres en papier ou carton.

Un étui anti-NFC pour carte banciare
Un étui anti-NFC pour carte banciare

Qu’à cela ne tienne, j’ai présenté mon projet à Bong Strasbourg, fabricant des protections Scansafe® Tyvek® (made in sweden) qui a accepté d’être mon partenaire avec leurs produits, ainsi qu’un graveur connu de Strasbourg, pour la vente.

J’ai lancé mon site, déposé un nouveau concept, trouvé de beaux produits en cuir couleur (portefeuilles, porte cartes) auquel est adjoint une sécurité de haute qualité, visible et certifiée TÜV ! Le Kit portefeuille (un “billet”) permet de protéger pratiquement tout ce qu’on veut. Evidemment les étuis classiques pour les passeports et CB, figurent à la vente agrémentées de superbes pastilles laser couleur.

Je suis une personne lambda : qu’est-ce que je risque en marchant dans la rue avec ma carte bancaire dans mon porte-feuille ?

Simplement qu’on accède à des infos personnelles des cartes sans contact (CB, transport, badge,…), ou qu’on vous traque, surveille…

Avec l’avancée technologique dans la miniaturisation, et la baisse des prix, on va avoir sur le marché des kits lecteurs + antennes capable de lire à plus d’un mètre, tenant dans un sac à dos et récoltant automatiquement les données.

Pour le lecteur classique, la distance de lecture est d’environ 5cm, il suffit que le dispositif frôle l’endroit où est votre carte sans contact.

Pourquoi les fabricants de cartes sont-ils aussi négligeant à votre avis ? Y’a-t-il une évolution dans le domaine ?

La sécurité des cartes bancaires correspond à des normes avec une cryptologie dépassée et piratée plusieurs fois.

Changer le système mondial reviendrait beaucoup plus cher que les piratages. Cela reste, pour l’instant je suppose, pour eux à un niveau acceptable sachant que le système gagne sur chaque transaction, qu’il y a un niveau de blocage à 100€ environ (transactions limitées à 20€), mais en NFC uniquement…

Quel est le produit de base de votre site que vous recommanderiez absolument à quelqu’un qui veut se protéger ?

De base je dirais l’étui, toutefois le kit portefeuille est bien plus pratique. Pour les geeks c’est sans hésiter le NFC Killer mon nouveau produit (superbe et intéressant pour la relation client, les jeux, etc…).

Avez-vous d’autres conseils à donner aux lecteurs qui ont peur du piratage des cartes bancaires ?

De faire attention à l’environnement immédiat quand ils sortent la carte sans contact de leur protection. Et de penser que leur smartphone ou autres objets connectés sont ou peuvent être piratés.

On ne va pas rentrer dans le détail mais il y a maintenant apparition de systèmes d’interception, proxy NFC, lecteurs piégés à l’insu des commerçants et clients…

C’est vous qui expédiez les commandes lorsqu’on commande sur votre site ? Les produits arrivent sous combien de jours chez moi ?

Tous nos produits sont en stock dans une vraie boutique à Strasbourg et sont chez vous sous 1/2j.


Pour voir tous leurs produits, c’est ici : http://www.stop-rfid.fr/ ! Pour ma part, le NFC KILLER a déjà sa place dans mon porte-feuille. 🙂

Un NFC Killer dans le porte-feuille, qui désactive l'antenne NFC de la carte.
Un NFC Killer dans le porte-feuille, qui empêche toute communication

N’hésitez pas à réagir en commentaire si certaines parties de l’article vous échappent, si vous souhaitez d’autres informations sur NFC, les cartes bancaires ou sur le site stop-rfid.fr.

Stéphane

Stéphane Paton

Auteur turbulent, et fondateur de l'Institut Pandore. Je me lasse de tout, sauf d'apprendre et de dire des gros mots. J'écrivais sous pseudonyme (Félix Boussa et Charles Cohle).

7 commentaires

  • Pourquoi l’accès au site stop-rfid.fr. m’est-il interdit ?
    “You don’t have permission to access / on this server.” est tout ce que je vois en cliquant sur le lien !
    Si c’est parce que je suis à l’étranger, c’est bien dommage.

  • Bonjour à tous,
    J’ai cru comprendre que les banques devait nous forcir des moyens de protection contre les fuites NFC gratuitement. Je suis au LCL et j’en ai fais la demande à mon conseiller. La réponse: Non on est pas obligé … Et en plus il n’était absolument pas informé de ces risques. Bravo la communication interne.
    J’ai dû donc m’équiper d’un étui de protection (pour ceux que ça intéresse stop-rfid ne le proposant plus je l’ai trouvé sur protection-carte-bleue.fr )
    Ce qui m’énerve le plus dans tout ça c’est qu’une fois de plus, on nous fourni des moyens de paiements faillible et que nous devons encore payer pour se protéger. 🙁

  • Merci pour cet article riche en informations. J’ai vu en effet qu’il y a de plus en plus de protection pour nos cb, certains protège-carte ont même des designs originaux

  • J’ai un peu l’impression que c’est davantage une boutique en ligne qu’un site informatif sur les dangers du NFC tellement vos propos sont marketting.

  • Merci pour cet article, c’est également les conclusions auxquelles j’étais parvenue en lisant ici et là sur internet : les banques démontrent vraiment un mépris incroyable pour la sécurité informatique ! Venant de personnes qui gèrent notre argent, ce n’est pas très rassurant…

    Pour aller plus loin j’ai lu un article ma foi très intéressant qui mettait l’histoire du NFC en perspective avec d’autres incidents très préoccupants, du piratage de nos voitures à celui des centrales nucléaires hxxp://www.rocketprojet.com/cybercriminalite-tous-coupables/

    Je ne sais pas si on ne ferait pas mieux finalement d’éteindre nos ordinateurs et vivre dans l’ignorance, on se porterait peut-être mieux… !

Stéphane

Stéphane Paton

Auteur turbulent, et fondateur de l'Institut Pandore. Je me lasse de tout, sauf d'apprendre et de dire des gros mots. J'écrivais sous pseudonyme (Félix Boussa et Charles Cohle).

Refaites le monde avec nous