Plusieurs millions de personnes on reçu par courrier une nouvelle carte bancaire. Banal comme info ? Pas si sûr car ces cartes ont un nouveau logo discret indiquant leur compatibilité avec la technologie NFC (Near Field Communication). Ainsi, sans aucune présentation des risques par leur banque, les usagers ont remplacé leur carte par ces modèles de nouvelle génération. Certains font même de la publicité sur la sécurité sur leur site internet en écrivant :« Le paiement sans contact, c’est sécurisé ! … Plus besoin de retirer de l’argent »
Qui pouvait mettre en doute un seul instant une multinationale ? Et pourtant, en voici la démonstration :
Acheter sur internet une clé USB NFC reader, télécharger le programme libre readxxxnfcc (je ne donnerai pas le nom exact et le lien), installez le tout sur votre notebook et le tour est joué, vous êtes capable de lire les informations stockées sur toutes les cartes bancaires de ce type ! Il est même probable qu’une version sous Android soit déjà disponible, ce qui permettrait de disposer d’un téléphone de piratage comme dans la fiction américaine mais dans la réalité.
Je ne détaillerai pas les mauvais usages de ces informations mais l’usurpation d’identité et la fabrication de clones magnétiques utilisables aux US sans authentification forte sont suffisantes pour vous faire peur.
Pourquoi est-ce aussi simple ? Parce qu’il n’a pas été jugé utile de crypter la communication entre la carte et le terminal de paiement. Non ce n’est pas une blague, votre carte bancaire est moins sûre que votre pass Navigo qui lui est crypté !
Et personne ne s’en inquiète, ni la CNIL, ni les banques elles-mêmes qui sont prêtes à rembourser les opérations frauduleuses (et en tenir compte pour les futures cotisations).
Il est probable que de nouvelles versions plus sûres soient mises en circulation et je parierai que votre banque vous remplacera votre carte bien avant sa date de péremption. En attendant, il semble quasi impossible de désactiver la fonction sans fil ou de demander une carte qui en serait dépourvue.
Et cela risque de durer un peu, pour preuve, des sociétés ont commercialisé des étuis métalliques bloquant les ondes électromagnétiques. Alors achetez un portefeuilles blindé ou changez de banque, certaines ne se sont pas encore lancées dans cette aventure technologique (ouf ! la mienne en fait partie !) ou proposent une carte classique.
Après Monéo qui fut un flop, les cartes sans contact ont pris un bien mauvais départ. C’est à croire que les banques font exprès de faire les mauvais choix technologiques alors que de très nombreuses startup excellent dans le domaine de la sécurité par cryptage pour une authentification sûre.
Alors demain, dans le métro, ne vous étonnez pas si votre voisin que vous ne connaissez pas vous appelle par votre prénom !