Piratage de cartes bancaires sans contact via des attaques par relais

Selon deux chercheurs en cryptographie, des « attaques par relais » exploitent une faille de sécurité des cartes bancaires sans contact (NFC), il faut s’en méfier.

Une faille a été détectée dans les cartes bancaires sans contact

attaques par relaisD’après les explications de Pierre-Alain Fouque, un spécialiste en cryptographie à l’institut de recherche en informatique et systèmes aléatoires ou Irisa, dans le Journal du CRNS ou Centre National de la recherche scientifique : « Si vous vous promenez dans la rue, avec votre carte NFC dans votre poche ou votre sac, il est tout à fait possible pour un hacker passant près de vous d’intercepter vos données [grâce à un faux lecteur, comme un téléphone portable ou un ordinateur] pour les envoyer à un complice qui s’en sert au même moment pour régler un achat ».

La faille est nommée « attaque par relais »

On appelle ce type de fraude, « attaque par relais ». Le manque d’un protocole de sécurité DBP (Distance-Bounding Protocol) ou protocole de délimitation de distance dans les actuelles générations de cartes et de terminaux de paiement favorise cette opération malveillante.

Grâce au protocole de sécurité, le terminal peut bien chronométrer « le temps qu’il faut pour dialoguer avec une puce NFC ». Donc il peut « théoriquement s’assurer que la personne qui interagit avec lui se trouve bien à quelques centimètres » Une chercheuse à l’Irisa, Cristina Onete souligne qu’un seul modèle de carte bénéficie ce « genre de fonction » seulement, il est probable que le protocole ne soit pas compatible avec le standard actuel de communication entre la carte et le terminal.

Pourtant Cristina Onete de l’Irisa reste positive

attaques par relaisMalgré l’énormité du problème, la chercheuse de l’Irisa reste positive en décrivant que « La technologie sans contact porte beaucoup de promesses », elle dit « je suis absolument certaine que, dans le futur, on aura des paiements sécurisés, même sans contact, mais avant, on doit augmenter la sécurité avant d’augmenter ses fonctionnalités ». Par contre, pour le moment, la chercheuse suggère de limiter « ses paiements électroniques à ceux qui prévoient un ou deux moyens d’authentification, par exemple le code de sécurité de ma carte et un code de confirmation envoyé par la banque sur [son] téléphone portable ».

Bookmarquez le permalien.

Les commentaires sont clos.