S'inscrire Se connecter

«

»

juil
17


Sécurité des CB sans contact : l’avis mitigé de la CNIL

Intercepter des données personnelles et bancaires à distance, c'est possible. Grâce aux puces NFC...Les cartes bancaires équipées de puces NFC permettent d'effectuer des paiements sans contact, donc rapides. Mais la sécurité de cette technologie est pour le moins contestée, comme l'atteste le dernier rapport de la CNIL.

Comme avec les cartes de transport dernière génération (ex : carte Navigo en Ile-de-France), les cartes bancaires équipées d'une puce NFC (Near Field Communication, ou communication en champ proche) permettent de réaliser des paiements, simplement en passant la carte (ou le portefeuille qui la contient) au-dessus d'une borne d'encaissement. Seul problème : cette communication sans fil peut être interceptée à distance, par un pirate équipé d'un lecteur NFC, indépendant ou intégré à un smartphone.

Suite à une étude menée à l'été 2012, la CNIL (Commission Nationale de l'Informatique et des Libertés) fait aujourd'hui le point sur ses résultats.

Paiement sans contact : l'avis mitigé de la CNIL

Après un an de travail en collaboration avec les professionnels du secteur bancaire et de la Banque de France, la CNIL propose aujourd'hui des solutions pour améliorer la sécurité des données personnelles et bancaires des cartes de paiement équipées de puces NFC. L'institution confirme tout d'abord qu'il est effectivement possible d'intercepter à distance la communication sans fil lors d'un paiement sans contact. Les données suivantes sont alors récupérables par un pirate :

  • Nom du titulaire de la carte
  • Liste des transactions réalisées (historique)
  • Numéro de la carte bancaire
  • Date d'expiration de la carte

Depuis cette étude, la CNIL a obtenu des industriels du secteur que l'accès au nom du porteur de la carte soit supprimé (valable pour les cartes émises depuis fin septembre 2012). L'accès à l'historique des paiements sera lui aussi prochainement impossible (sur les cartes bancaires distribuées à partir de fin 2013). Ainsi, la vie privée des possesseurs de cartes NFC sera mieux préservée.

Reste toutefois l'accès au numéro de la carte et à sa date d'expiration. Si la CNIL estime qu'actuellement aucune fraude n'est possible avec ces seules informations, elle appelle le secteur bancaire à développer de nouvelles mesures de sécurité pour empêcher des tiers de collecter ces données, notamment à travers un chiffrement (cryptage) des transactions.

Vers plus d'information des utilisateurs

La CNIL invite également le secteur bancaire à mieux informer ses clients sur la technologie du paiement sans contact, et à leur laisser le choix sur l'adoption ou non d'une puce NFC sur leur carte bancaire :

  • Information systématique des clients sur l'existence d'une puce NFC dans leur carte bancaire
  • Possibilité d'obtenir une carte bancaire sans puce NFC, ou de demander la désactivation de la puce

L'institution précise d'ailleurs que certaines banques (dont les noms ne sont malheureusement pas cités) fournissent des cartes dont la puce NFC est par défaut désactivée : libre au titulaire de demander son activation quand il le souhaite, puis éventuellement sa désactivation à tout moment. Cette pratique de transparence et de souplesse est encouragée par la CNIL. Mais encore isolée.

L'objectif de la CNIL n'est pas de freiner le développement du paiement sans contact, mais d'assurer une sécurité des données personnelles et des transactions NFC, pour garantir une bonne protection des porteurs de cartes, et ainsi développer une certaine confiance dans cette technologie. En attendant la sécurité minimale : le chiffrement de toutes les transactions sans contact.

 

Source : cnil.fr
Image : Flickr / Bart / CC BY-NC 2.0

Ce contenu vous a intéressé ? Partagez-le !
  • Tweet

1 commentaire

  1. Sécurité des CB sans contact : l'... a dit :

    [...] Les cartes bancaires équipées de puces NFC permettent d'effectuer des paiements sans contact, donc rapides. Mais la sécurité de cette technologie est pour le moins contestée, comme l'atteste le dernier rapport de la CNIL.Comme avec les cartes de transport dernière génération (ex : carte Navigo en Ile-de-France), les cartes bancaires équipées d'une puce NFC (Near Field Communication, ou communication en champ proche) permettent de réaliser des paiements, simplement en passant la carte (ou le portefeuille qui la contient) au-dessus d'une borne d'encaissement. Seul problème : cette communication sans fil peut être interceptée à distance, par un pirate équipé d'un lecteur NFC, indépendant ou intégré à un smartphone…  [...]

Laisser un commentaire

Votre adresse ne sera pas publiée.

Vous pouvez utiliser les balises HTML suivantes : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>