Bon, d'abord, je savais pas vraiment dans quelle catégorie classer ça, sciences, société ou consommation, puis je me suis dit que conso, c'était bien (dites si vous n'êtes pas d'accord).
Bref, comme l'explique cet article de Rue 89, depuis 2010 maintenant s'est installé très discrètement ce nouveau mode d'utilisation de nos cartes bancaires: on peut payer sans avoir à taper son code - la technologie NFC (Near Field Communication; ou communication de proximité).
Citation :
Le CIC se prévaut [PDF] d’être le précurseur de ce système en France. C’était en 2010. Depuis, BNP Paribas s’y est mise, la Banque postale l’a testé aussi, comme le Crédit agricole ou la Caisse d’Epargne.
Actuellement, plus de 13 millions de cartes équipées de cette technologie dite « sans contact » sont en circulation en France, sur 60 millions au total, selon le Groupement des cartes bancaires CB, qui réunit la plupart des établissements financiers français.
Côté commerçants, 80 000 terminaux sont équipés. Et chaque mois, 50 000 transactions sont effectuées de cette manière.
Le but?
Outre le fait de faciliter la vie des gens à mémoire alternative (genre moi), j'ai du mal a cerner le but de la manœuvre. Le principe, apparemment, serait de nous simplifier la vie sus tout rapport, et de nous proposer un mode de paiement aux allures rassurantes à l'heure où les fraudes à la carte bancaire sont monnaie courante.
Voici le joli message que nous présente BNP Paribas:
Sauf que voilà, ce système n'est pas du tout au point. Déjà d'un point de vue sécurité (tiens donc).
Je ne suis pas experte et l'article de Rue 89 vous expliquera mieux que moi dans le détail, mais je vais essayer de vous expliquer quote à l'appui le défaut majeur de ce système de paiement sans contact.
N'importe quel petit malin peut récolter les données de la CB grâce à une simple clé USB et un smartphone.
Citation :
L’inquiétude porte un nom : Renaud Lifchitz. Lors des Journées francophones de la sécurité de 2012, l’homme, qui était alors consultant sécurité chez l’opérateur britannique de télécommunications BT, effectue une petite démonstration devant son public. Muni d’une clé USB « sans contact » achetée par correspondance – pour une quarantaine d’euros –, et après quelques opérations de développement, il réussit à « faire parler » sa propre carte Visa « sans contact », comme le relate le site Qalys, spécialisé dans la sécurité :
« En glissant sa carte près du lecteur USB, le chercheur affiche à l’écran de son ordinateur ses nom et prénom, le numéro complet de sa carte bancaire et sa date d’expiration. Et, en guise de bonus, la carte stocke aussi les dernières transactions réalisées (montant, date, devise). Le tout en moins d’une seconde et sans aucune forme d’authentification. »
Lifchitz démontre ensuite comment il a pu transformer son smartphone Android en lecteur de cartes Visa « sans contact ».
Bref, à en croire sa démonstration, il suffit d’une clé en vente libre ou d’un téléphone pour lire toutes les informations et les réutiliser pour payer sur Internet. Nom, prénom, numéro de carte et date d’expiration : ces données ne sont pas cryptées.
Et tout ceci peut se faire à n'importe quel moment, qu'on soit en train d'utiliser cette carte ou non.
Avec cette technique le hacker peut non seulement récupérer les informations de la carte - et donc effectuer des paiements par internet - mais aussi puiser dans le compte en banque.
Les défenseurs de ce système affirment que "dans la vraie vie", les choses ne sont pas si simples. Mais quoi qu'il en soit, le fait que cette carte soit de base aussi peu sécurisée est déjà un problème en soi, même si pour l'heure il n'y a pas eu de fraude avérée avec ce système (ça va venir, les petits gars, parce que si même avec un système foutrepinement sécurisé y'a des hackers qui peuvent te la mettre profond je doute que cette carte là fasse la maline).
Pourquoi un tel manque de sécurité?
La réponse est tellement évidente que c'en est grotesque: crypter les données d'une CB demande des moyens, moyens qu'en France nous n'avons pas.
Dans les autres pays qui utilisent ce système (Japon, EU, etc...), les données sont sécurisées. Il est donc théoriquement possible de faire de même en France.
L'ennui (pour les banques) c'est que crypter les données reviens trop cher.
Pourquoi ne pas laisser le choix aux clients?
Cf question précédente: laisser le choix aux gens est trop coûteux.
Citation :
La Cnil ne demande pas en revanche que les clients aient le choix dès le départ. Pour le groupe CIC-Crédit mutuel, qui répond via son service presse, ce serait tout simplement trop coûteux :
« S’agissant d’un sujet de place concernant d’énormes volumes à traiter rapidement dans les villes tests, c’est la solution par défaut qui a été retenue sur le plan industriel pour minimiser les coûts. La gestion d’une interrogation préalable des porteurs est logistiquement et commercialement impossible car d’un coût disproportionné. »
---
Citation :
Bref, si on résume :
• il est trop coûteux pour les banques de proposer aux clients le choix entre une carte classique et une carte « sans contact » ; • ces cartes « sans contact » exposent pourtant leur détenteur à certains risques (nom, numéro de carte et quelques sous volés, même si c’est compliqué) ; • mais il est également trop coûteux – pour les banques toujours notamment – de sécuriser les transactions afin d’écarter totalement ces risques.
Tout ça pour quoi ? Pour que l’on puisse régler par carte de petits achats, et que de moins en moins de transactions se fassent en monnaie sonnante ? Ce n’est d’abord pas une question de carte, mais de commissions que le commerçant doit verser en-dessous d’un certain montant.
Pour que les utilisateurs effectuent « le moins de mouvements possibles », répond alors le groupe CIC-Crédit mutuel. C’est gentil. Et pour « la sécurité de ne pas avoir à montrer la carte de paiement ». On a connu mieux côté sécurité.
Par ailleurs, la carte a souvent besoin d’être beaucoup plus près de la machine pour fonctionner.
Reste que pour les commerçants, le temps de la transaction est réduit puisqu’il n’y a pas de code à taper, ajoute le groupe CIC-Crédit mutuel.
(ouais j'ai pas eu le coeur de paraphraser ce passage) ---
Conclusion:
Un système high-tech qui à l'air bien séduisant, mais dans le fond comme toujours, les banques nous la mettent bien profond. Merci, les gars.
Liens:
- Article Rue 89 - Article L'Informaticien - Définition de NFC - communication en champs proche - Stop RFID, "une solution simple pour protéger vos cartes sans contact" - Article Korben - Page de pub de la banque Crédit Mutuel
Vidéo
En spoiler:
Spoiler:
Une solution pratique mais du gros système D quand même, en attendant que les banques se bougent un peu:
---
Que pensez-vous de ce système? Si vous aviez le choix, préféreriez-vous en bénéficier? Votre carte est-elle déjà munie de la technologie NFC?
---
Bon bah déjà non, j'ai pas ce système vu que je suis pas VIP avec ma carte electron (que en plus quand tu paie en magasin tu prie pour que ton paiement soit accepté même si t'as des sous dessus).
Et non, même si j'avais le choix et que en plus c'était sécurisé, j'aurai dit non, juste parce que.
J'ai une carte NFC, mais je m'en sert quasiment pas.
Déjà, parce qu'a Metz, y'a peu de gens qui en sont équipés. Et j'ai gardé l'habitude de taper mon code.
Ceci dit, le mode "normal" n'est pas plus sécurisé. Y'a un an, j'ai eu une sacrée déboire. J'ai recu tout au long d'une journée des messages d'alerte "vous êtes à découvert de -250€", et une heure plus tard "vous êtes à découvert de -1400 euros". Paniqué j'appelle la banquière, et elle me demandait..... si j'étais en vacances au panama
Au final, je me suis fait remboursé, changé la carte. Après enquète, il s'est avéré qu'un distributeur que j'ai utilisé s'est fait tipiak par des crackers panaméens. Et comme ces appareils gardent également des données telles que le numéro de carte et tout le toutim, ils ont eu qu'a se servir.
Au final, l'un n'est pas plus sécurisé que l'autre. Faut juste faire gaffe ou l'on met sa carte (c'est comme sa mÿthe en fait)
C'est pas faux. Ceci dit même si les deux sont piratables, la NFC me semble quand même être celle qui peut se faire hacker le plus facilement. Je veux dire, une clé usb et un smartphone, quoi, ce qui veut dire que n'importe quel couillon peut s'improviser hacker en chopant les bonnes infos là où il faut.
Puis oui, de toutes façon faut faire un peu gaffe, c'est logique.
Je ne suis pas très pour la CB sans contact ... car l'utilisation serait trop simple qu'on serait nous même propulsés dans la consommation trop rapide de choses inutiles, c'est plus facile, plus rapide, alors pourquoi ne pas dépenser plus, sachant qu'on ferrait moins attention..
Pour ce qui est du piratage, je dirais, de toute façon les banques remboursent, ils n'ont qu'à être responsables de leurs erreurs de sécurité
Quand on voit les failles qui ont déjà été relevée, ça donne pas envie. Le skimming (changement des distributeurs, ce dont a été victime Strelok) demande un minimum de logistique, pas à la portée de tous. Avec le sans contact ça me paraît plus simple à mettre en oeuvre. Y a eu aussi récemment dans le sud-ouest des détournement par substitution de terminal sans fil de CB. Avec le sans contact, plus besoin de substituer le terminal, faudra juste trouver le moyen d'intercepter la communication, non ? Pis franchement, je vois pas l'intérêt. Ne plus avoir à sortir la CB de la poche ? Il me semble que ça me ferait bizarre de payer sans avoir un geste physique à faire.
J'en avais entendu parlé pour le vol de terminaux sans fil de CB ... déjà qu'il y a de plus en plus de personnes qui s'y connaissent pour les fraudes, on n'est pas sortis de l'auberge. En Inde ils ont développé quelque chose de carrément mieux, on peut payer avec notre empreinte digitale [une amie en online marketing qui a assisté à une conférence sur le sujet m'a rapporté ça]. C'est plus rassurant même si ça pousse encore plus à la consommation rapide.