Attention aux nouvelles cartes bancaires sans contact !

La faille sécuritaire

L’ingénieur sécurité chez British Telecom Renaud Lifchitz vient de révéler une énorme faille de sécurité potentielle dans les nouvelles cartes bancaires sans contact distribuées en France depuis le mois de mars.

Censées faciliter le paiement chez leurs détenteurs et offrir un confort d’utilisation semblable à celui des cartes de contrôle d'accès et aux cartes de transport Pass Navigo, ces nouvelles cartes – encore perçues comme des gadgets par une bonne partie des Français – seraient en effet faciles à pirater. Il suffirait d’un simple lecteur NFC (clé USB NFC ou téléphone portable) et d’une application gratuitement téléchargeable sur internet pour que non seulement vos nom et prénom, le numéro de votre carte bleue et sa date d'expiration puissent être dévoilés mais aussi la liste de vos 20 dernières transactions ainsi que leur montant !

Un problème de chiffrement

Le problème viendrait du fait que Visa, Mastercard et les autres fournisseurs n’ont pas pris la peine de mettre en place une authentification, ni même de chiffrer les protocoles utilisés pour ces cartes. Une gaffe susceptible de coûter cher aux titulaires quand on sait qu’avec du matériel sophistiqué, on peut dérober leurs données même à une distance de 15 mètres.

Visa relativise les craintes

Mais au moment où une enquête a déjà été ouverte par la Cnil pour vérifier le niveau de sécurité de ces cartes, les firmes concernées tentent, quand même, de tempérer le problème.

C’est ainsi que Visa vient d’avancer qu’elle n’avait pas à crypter ces données récupérables puisqu’elles sont de toute façon visibles à l’œil nu. Elle promet toutefois d’établir de nouvelles cartes sécurisées à l’aide d’un pare-feu d’ici un an ou deux, et recommande aux banques de ne plus mentionner le nom du titulaire sur la carte.