La technologie NFC, qui permet notamment d’effectuer ses achats en passant sa carte bancaire devant une simple borne, était déjà décriée par de nombreux experts sécurité. L’application Paycardreader (Android) finit d’achever la réputation de ce mode de communication sans fil, en prouvant qu’il est possible de récolter des dizaines de coordonnées bancaires à la minute, simplement en restant immobile à un endroit très passant. Aie.
Comme le Wi-Fi, le NFC (Near Field Communication, ou Communication en Champ Proche) est une technologie de communication sans-fil, et donc, comme le Wi-Fi, les manières d’intercepter les informations via les airs ne manquent pas… Sauf que le NFC est surtout utilisé pour les paiements, et que chaque communication transmet des coordonnées bancaires ! Des informations pour le moins sensibles !
Concrètement, il est aujourd’hui possible, avec une carte bancaire équipée d’une puce NFC, de payer ses courses, simplement en passant son portefeuille devant une borne. En France, l’usage des puces NFC est notamment répandu dans les cartes de transport (bus, métro, etc.).
Or, de la même manière que le vol de données bancaires sur des cartes bleues RFID, récolter via les airs des informations bancaires sur des cartes NFC n’est pas très compliqué. La preuve avec une application Android dédiée à cette activité : Paycardreader. Et pas besoin d’être un hacker de haut vol pour l’installer sur son smartphone ou sa tablette compatible NFC… Une fois en marche, il suffit de camper avec son appareil mobile au cœur d’un lieu très passager (galerie commerçante, métro, etc.), et de laisser l’engin scanner les cartes bancaires NFC qui passent à proximité.
Ainsi, en quelques minutes, il est possible de récolter de nombreux identifiants bancaires :
- Numéro des cartes
- Nom et prénom des propriétaires
- Date de fin de validité des cartes
- Montant des derniers achats effectués
On estime qu’il suffit d’être à 10 mètres d’une cible pour capter ses informations par NFC.
Comment empêcher nos émissions NFC ?
Si vous êtes titulaire d’une carte bancaire équipée d’une puce NFC, mieux vaut être prudent, maîtriser les émissions de la puce, et adopter une de ces deux solutions :
- Entourer la carte d’une feuille d’aluminium, ou la ranger dans une pochette spéciale qui stoppe les ondes
- Demander à la banque de désactiver la puce NFC, ou d’obtenir une carte sans puce NFC (ou RFID)
L’application Android Paycardreader n’a pas fait long feu sur le market officiel Google Play. Mais malgré ce retrait, il est toujours possible de trouver le code source de cette application sur le web. Et nul doute que d’autres programmes du style apparaîtront tôt ou tard. Alors soyez prudents !
Et si vous pensez utiliser ce genre d’application pour votre enrichissement personnel, sachez que les sanctions judiciaires encourues risquent fort de vous faire regretter cette aventure technologique !
Source : nikopik.com
Image : Flickr / Fotero / CC BY-NC 2.0
Pour ma part j’ai testé de nombreuses applications Android pour tester les informations recueillies par les pirates. (NFCProxy, Cardreader, …)
J’ai testé une protection achetée sur http://www.protection-carte-bleue.fr
Ma carte semble à présent bien protégée car aucune de ces applications ne fonctionnent avec cet étui.
Mais existe t’il d’autres applications pour lire les cartes NFC / RFID?
Vous pouvez tester votre carte de crédit avec cette application sur Android (https://play.google.com/store/apps/details?id=com.github.devnied.emvnfccard)
C’est vraiment incroyable qu’on nous impose cette technologie NFC qui n’est clairement pas au point !
Heureusement le futur est en marche : après nos cartes bancaires, ce sont nos voitures que les hackers pourront détourner : http://www.rocketprojet.com/cybercriminalite-tous-coupables/
Traduction de nfc : near field communication
Autre traduction : communication en champ proche
Distance limite de signal 10 cm et non pas 10 m
Arretez de pondre des articles sans vous renseigner.
Euh 10cm c’est la distance à laquelle la borne peut les lire.
Avec le système d’écoute approprié il est tout à fait possible de lire les RFID à 10m.
Mais vu qu’il n’y a pas de bouton off sur la puce, on n’a qu’à passer à côté de la carte à scanner (avec un sa en bandojlière dans lequel on a placé un lecteur et une antenne) et si j’étais vous, ma confiance envers les pochettes isolantes ne serait pas sans réserve.
10 mètres c’est possible si vous avez une antenne radio, un local assez grand pour votre ampli hors de prix. C’est cool mais vous allez faire quoi après avoir dépensé 25 000€ de matériel pour récupérer les infos des paiements sans contact de la boulangerie voisine ? Parce que sans le crypto, vous allez pas bien loin.
Le paiement en double lecture avec optique, comme sur les passeports, ça c’est sécurisé.
[…] il semble selon cet article http://panoptinet.com/archives/7588 que le code source en soit toujours disponible. C’est dire que c’est la porte ouverte […]