Refusez les Cartes bancaires NFC
Avec le logo WIFI,
à paiement sans contact
C’est-à-dire sans code secret !
Cliquer sur l’image pour voir la vidéo.
Ils veulent imposer le paiement sans contact par carte bancaire munie du logo NFC, qui permet de payer avec votre carte bancaire sans avoir à taper le code secret. Il faut refuser ce type de cartes, car si on vous la vole, le voleur pourra s’acheter ce qu’il veut sans avoir à taper le code.
De plus, comme cela fonctionne sans contact, celui qui a un amplificateur d’antenne suffisamment puissant pourra capter votre carte NFC même de loin, contrairement à ce qu’on voit dans la vidéo ci-dessus où il faut être tout prêt parce que leur ampli d’antenne est vraiment peu puissant.
Conclusion : quand approche la date de renouvellement de votre carte bancaire, prévenez votre banque que vous refusez la NFC. Et vérifiez bien que la carte qu’il vous fourni n’a pas le fameux logo WIFI ni à côté de la puce ni ailleurs !
Ils veulent faire disparaître l’argent liquide : Déjà, ils veulent interdire de payer en liquide quand la somme dépasse 1000 Euros. S’ils font ça, c’est parce qu’ils veulent tout contrôler ! C’est dans le même état d’esprit qu’ils veulent faire disparaître l’argent liquide. C’est des fachos. Quand l’argent ne sera plus qu’une écriture dans un registre d’une banque, vous ne pourrez plus conserver de billets de banques (puisqu’ils n’existeront plus !) chez vous pour faire des choses qu’ils ne pourront pas savoir ; et de plus, l’argent liquide que vous avez chez vous, ils ne peuvent pas vous le voler comme ils ont fait à Chypre :
Voici le vieil article de Korben sur le sujet :
L’incroyable FAIL des cartes bancaires sans contact (NFC)
http://korben.info/les-cartes-banca…
Korben le jeudi 19 avril 2012
L’ami Renaud Lifchitz, ingénieur sécurité chez BT (anciennement British Telecom) a mis au jour un gros problème de sécurité dans les nouvelles cartes bancaires utilisant la technologie NFC. Cette techno pour ceux qui ne connaissent pas encore, ça veut dire "Near Field Communication" et ça permet de faire tout un tas de choses sans contact… Donc avec une carte bancaire, de payer sans avoir à mettre sa carte dans une machine.
Génial hein ?
Mais bizarrement, alors que techniquement, il est parfaitement possible de faire des protocoles de communication sans contact et sécurisés comme c’est le cas sur le pass Navigo, ici Visa/Mastercard n’ont pas pris la peine de chiffrer le protocole utilisé sur ses cartes bancaires, ni même de mettre en place une authentification.
Concrètement, cela veut dire qu’avec un simple lecteur NFC, n’importe qui peut dérober toutes les informations du porteur comme la civilité, les nom et prénom, le numéro de carte, sa date d’expiration, et la liste des 20 dernières transactions sur la carte avec leur montant…etc
"MOUAHAHA" me direz-vous ? Et vous aurez raison. Et vu que c’est sans contact, ça devient facile par exemple d’aspirer ces infos, simplement en vous rapprochant d’un sac ou d’une poche avec le lecteur qui va bien. Il est même tout à fait faisable de dupliquer la carte (Yes !) puisque dans la puce NFC, on retrouve les infos de la bande magnétique. Du coup, dans certains pays étrangers, où sur les bornes qui se contente de la bande magnétique, ces copies de cartes peuvent parfaitement fonctionner.
D’après Renaud, cette négligence est due au fait que, je cite : "le protocole (EMV - celui des cartes traditionnelles) a été repris tel quel et utilisé ’dans les airs’ sans se poser plus de questions".
Quelle bande de sacrés rigolos au GIE !! D’ailleurs, la CNIL, le Ministère des Finances, le Ministère de l’Intérieur et toute la cavalerie sont sur le coup pour évaluer les risques et surtout demander des comptes au GIE. Petit détail amusant, sur le site de Visa, plus précisément dans la FAQ, on trouve la citation "Epic bullshit" suivante :
Au niveau technique, la fonctionnalité sans contact est basée sur une carte à puce développée à partir de la technologie EMV, qui protège les données du porteur par des cryptogrammes dynamiques très sécurisés.
D’ores et déjà déployée à grande échelle depuis plusieurs années dans le monde, la technologie sans contact s’est avérée, à l’usage, être un moyen de paiement très sécurisé.
Avec un simple dongle NFC USB à 40 €, et une application dont le code source a été mis en ligne ici :
http://code.google.com/p/readnfccc/
il est possible de récupérer toutes ces infos. Mais on peut très bien imaginer un portage sur Android qui fonctionnerait parfaitement avec des téléphones compatibles NFC comme le Samsung Nexus S. En fait, ce portage existe déjà et le code source devrait bientôt sortir…
Voici les slides que Renaud a présentées lors de la conférence Hackito Ergo Sum :
http://code.google.com/p/readnfccc/…
Sauvegarde : http://mai68.org/spip/IMG/pdf/hes20…
Hes2012 Bt Contact Less Payments In Security :
http://www.scribd.com/doc/89942864/…
Et pour ceux qui voudraient voir une démo, la vidéo est par ici :
Hacking the NFC credit cards
Cliquer sur l’image pour voir la vidéo.
En attendant que le GIE corrige cette passoire qu’est la carte NFC, je crois que je vais rester avec ma bonne vieille carte bleue pas plus sécurisée sauf que pour me piquer mes infos, le mec ne pourra pas me coller un lecteur aux fesses et devra me péter la gueule avant
Merci à Renaud pour les explications et bon courage au GIE X-D
Maintenant un article bien plus récent :
Cartes bancaires NFC : une faille permet de voler des millions d’euros
http://www.01net.com/editorial/6309…
Gilbert Kallenborn 01net le 05/11/14 à 18h53
Des chercheurs britanniques ont mis le doigt sur une vulnérabilité dans le protocole de sécurité des cartes bancaires qui permet de siphonner des comptes à grande échelle, ni vu ni connu.
Imaginez un pirate qui se balade dans le métro avec un smartphone Android dans la main. A chaque fois que l’appareil se trouve à une distance d’un centimètre d’une carte bancaire NFC - ce qui est relativement aisé aux heures de pointe - il valide un paiement bancaire pouvant aller jusqu’à… 999.999,99 euros ! Impossible ? Malheureusement non, comme viennent de le prouver cinq chercheurs en sécurité de l’université britannique de Newcastle.
En analysant le protocole EMV, qui est le standard international de sécurité des cartes de paiement, ces experts sont tombés sur une importante faille qui permet de court-circuiter le plafond défini pour les transactions sans contact. Celui-ci est de 20 livres anglaises au Royaume-Uni et de 20 euros en France. Pour dépasser cette limite, il suffit de faire une transaction dans une monnaie autre que celle de la carte en question. Au Royaume-Uni, les chercheurs ont pu valider leur attaque sur des cartes de crédit Visa. Le montant maximum qu’ils ont pu vérifier était de 999.999,99 euros ou 999.999,99 dollars.
Techniquement, l’attaque n’est pas si compliquée. Les chercheurs ont développé une appli qui simule un terminal de paiement et l’ont installée sur un Google Nexus 5. Quand le smartphone arrive à proximité d’une carte NFC, elle génère automatiquement une transaction sans que le porteur ne s’en rende compte. Cela est possible car les transactions sans contact ne nécessitent pas de code PIN pour être validées. Cette transaction est certes créée, mais pas encore envoyée à la banque. Elle est d’abord stockée dans le terminal. Là encore, c’est possible car le standard EMV autorise les transactions en mode offline. L’avantage, c’est que le pirate peut ainsi collecter tranquillement des transactions auprès de ses victimes et focaliser sur la récupération des fonds dans un second temps.
En effet, les chercheurs ont montré que l’on pouvait ensuite décharger ces transactions sur n’importe quel système de paiement d’un marchand complice affilié au réseau EMV, pour les envoyer ensuite aux banques des victimes. Il suffit pour cela d’ajouter aux transactions stockées les données relatives à ce marchand. Cela est possible car, dans le standard EMV, les données du marchand ne font pas partie du sceau de validation cryptographique créée par la carte bancaire. Le pirate peut donc générer des transactions puis, dans un second temps, choisir le marchand auprès de qui il souhaite encaisser le pactole. L’avantage -si l’on peut dire- de ce procédé : il permet une fraude à grande échelle. Rien n’empêche, à priori, un groupe de cybermalfrats de pirater des cartes dans de multiples endroits sur une durée plus ou moins longue.
Il serait intéressant de savoir si cette attaque fonctionne également sur les cartes Visa dans d’autres pays, comme la France par exemple. Malheureusement, les chercheurs se sont limités aux cartes bancaires britanniques. Il faut souligner, par ailleurs, que les cartes Mastercard ne sont pas vulnérables à cette attaque, car elles n’autorisent pas le mode offline pour les transactions en monnaie étrangère. Preuve qu’il existe donc des solutions techniques à cette faille.
Ci-dessous l’analyse des chercheurs de Newcastle :
http://mai68.org/spip/IMG/pdf/Carte-bancaire-NFC_Analyse-scientifique.pdf
Lire aussi :
Piratage des cartes NFC : le plan de crise secret des banques françaises, le 16/06/2014 :
http://www.01net.com/editorial/6219…
Le scandale des nouvelles cartes bancaires, le 04/09/2012 :
http://www.01net.com/editorial/5717…
Et maintenant, un autre article e Korben très récent :
Une nouvelle faille de sécurité découverte dans les cartes bancaires sans contact
http://korben.info/nouvelle-faille-…
Korben le mercredi 5 novembre 2014
Il y a quelque temps maintenant, j’avais été contacté par Renaud Lifchitz qui avait soulevé un gros problème d’absence de chiffrement dans le protocole de communication des cartes bancaires sans contact (NFC). [C’est le premier article de Korben sur cette page]
Ses révélations ont fait peu de bruit et les banques rassurent les clients "paranos" en leur expliquant que même si ils se font voler, le montant maximum prélevé n’est que de 20 €. (Et qu’ils remboursent et que de toute façon, t’as pas le choix, toutes les cartes sont NFC maintenant).
Hé oui, n’importe quel tocard avec un lecteur NFC (comprenez : Un smartphone) et l’application qui va bien, peut percevoir de l’argent simplement en s’approchant de votre poche où se trouve votre carte bancaire.
C’est magique, car il n’y a pas de contact et pas de code à taper ! On gagne genre 30 secondes à la caisse, mais on se balade avec toutes ses infos bancaires en clair sur soi.
Seulement, des chercheurs en sécurité de l’Université de Newcastle au Royaume-Uni viennent de trouver un moyen de détourner beaucoup plus d’argent via un paiement sans contact. Et vous allez voir, c’est très simple…
Une faille dans le protocole de paiement permet de lancer des paiements d’un montant maximum (et théorique) de 999 999,99$, car la limite des 20€ (enfin, là c’est au Royaume-Uni donc c’est 20 £, mais ça fonctionne pareil chez nous) n’a aucun effet si le paiement est demandé dans une devise étrangère.
D’après Visa qui a été interrogée par la BBC, ce genre de fraude serait très difficile à réaliser sur le terrain, car il y a d’autres "sécurités" censées empêcher ça. Je veux bien croire qu’une banque n’autorisera jamais un transfert de 999 999 $ en NFC, mais passer de fraudes de 20 € par-ci, par-là, à des fraudes de 100 € voire 500 €, ça ne me semble pas délirant.
Après, ça doit dépendre des banques et des protocoles décidés avec le GIE des cartes bancaires…Maintenant pour vous protéger, 3 solutions possibles :
- Vous battre avec votre banque pour réclamer une carte qui ne soit pas NFC
- Acheter un portefeuille ou un étui qui vous protégera de ce genre d’attaques. Moi j’ai eu ça comme portefeuille à Noel dernier et j’en suis très content.
- "Customiser" votre carte pour retirer la fonctionnalité NFC.
Le portefeuille spécial ne protège de rien du tout si on vous vole votre carte bancaire NFC ou si vous la perdez ! Refusez auprès de votre banque l’option NFC quelques mois avant le renouvellement de votre carte bancaire
RSS 2.0