• Votre carte bancaire est trop bavarde

    Avec un terminal approprié, les commerçants lisent les données des cartes NFC. Les pirates aussi

    Selon les banques, ce moyen de paiement sans contact est sans danger. Pas selon nous.

    Payer sans sortir sa carte bancaire du portefeuille ni saisir de code confidentiel, rien de plus simple ! Les nouvelles cartes sont quasiment toutes munies d'une puce sans contact (NFC, pour Near Field Communication). Ce qui, pour le Groupement d'intérêt économique cartes bancaires ( GIE-CB), serait « pratique et sans danger ».

    Informations siphonnées

    En avril 2012, Renaud Lifchitz, expert en sécurité informatique, affirmait qu'un pirate muni d'un simple smartphone et d'un module de lecture NFC pouvait siphonner en quelques secondes les données confidentielles sur la carte de sa victime : nom te prénom, numéro complet, date d'expiration et même historique des achats ! De l'histoire ancienne, estime le Groupement, qui assure que toutes les cartes produites depuis 2013, répondent aux exigences de la Cnil (Commission nationale de l'informatiques et des libertés). Soit la suppression de l'affichage du nom et prénom, de la date de validité ainsi que l'historique des achats. Pourtant, « il est toujours possible de lire le numéro de la carte et sa date d'expiration sur un modèle produit en novembre 2013 », s'inquiète un autre expert que nous avons contacté.

    Même si le pictogramme (les trois chiffres inscrits au dos de la carte) ne peut être obtenu, ces informations suffisent pour effectuer des transactions. « Une fois les données récupérées, un escroc peut acheter en ligne dans les pays où ce pictogramme n'est pas obligatoire, comme aux États-Unis ou en Europe de l'Est », poursuit notre expert. Parfois même, seul le numéro de la carte est demandé. Comme sur un célèbre site américain .

    Étui protecteur

    Alors, comment se protéger ? Relativement facilement, heureusement. En réclamant à votre banque un étui protecteur en aluminium qui isolera la carte. Ou alors, ce qui est illégal mais toléré, en entaillant la carte à un endroit très précis, en évitant d'endommager la piste magnétique, pour déconnecter le système NFC (explications sur http://goo.gl/5bwtZ1) L'idéal serait de crypter les informations émises par ces cartes. Rien de bien compliqué, selon nos experts. Il suffirait d'utiliser la technologie employée sur un autre type de carte NFC bien connu : le passe Navigo. Mais le GIE-CB n'en démord pas : son système est sûr.

    Article paru dans 01net


    votre commentaire


    Suivre le flux RSS des articles de cette rubrique
    Suivre le flux RSS des commentaires de cette rubrique