Votre nom :
Votre email :
Email du destinataire :

Sécurité des CB sans contact : l’avis mitigé de la CNIL

Les cartes bancaires équipées de puces NFC permettent d’effectuer des paiements sans contact, donc rapides. Mais la sécurité de cette technologie est pour le moins contestée, comme l’atteste le dernier rapport de la CNIL.

Comme avec les cartes de transport dernière génération (ex : carte Navigo en Ile-de-France), les cartes bancaires équipées d’une puce NFC (Near Field Communication, ou communication en champ proche) permettent de réaliser des paiements, simplement en passant la carte (ou le portefeuille qui la contient) au-dessus d’une borne d’encaissement. Seul problème : cette communication sans fil peut être interceptée à distance, par un pirate équipé d’un lecteur NFC, indépendant ou intégré à un smartphone.

Suite à une étude menée à l’été 2012, la CNIL (Commission Nationale de l’Informatique et des Libertés) fait aujourd’hui le point sur ses résultats.

Paiement sans contact : l’avis mitigé de la CNIL

Après un an de travail en collaboration avec les professionnels du secteur bancaire et de la Banque de France, la CNIL propose aujourd’hui des solutions pour améliorer la sécurité des données personnelles et bancaires des cartes de paiement équipées de puces NFC. L’institution confirme tout d’abord qu’il est effectivement possible d’intercepter à distance la communication sans fil lors d’un paiement sans contact. Les données suivantes sont alors récupérables par un pirate :

  • Nom du titulaire de la carte
  • Liste des transactions réalisées (historique)
  • Numéro de la carte bancaire
  • Date d’expiration de la carte

Depuis cette étude, la CNIL a obtenu des industriels du secteur que l’accès au nom du porteur de la carte soit supprimé (valable pour les cartes émises depuis fin septembre 2012). L’accès à l’historique des paiements sera lui aussi prochainement impossible (sur les cartes bancaires distribuées à partir de fin 2013). Ainsi, la vie privée des possesseurs de cartes NFC sera mieux préservée.

Reste toutefois l’accès au numéro de la carte et à sa date d’expiration. Si la CNIL estime qu’actuellement aucune fraude n’est possible avec ces seules informations, elle appelle le secteur bancaire à développer de nouvelles mesures de sécurité pour empêcher des tiers de collecter ces données, notamment à travers un chiffrement (cryptage) des transactions.

Vers plus d’information des utilisateurs

La CNIL invite également le secteur bancaire à mieux informer ses clients sur la technologie du paiement sans contact, et à leur laisser le choix sur l’adoption ou non d’une puce NFC sur leur carte bancaire :

  • Information systématique des clients sur l’existence d’une puce NFC dans leur carte bancaire
  • Possibilité d’obtenir une carte bancaire sans puce NFC, ou de demander la désactivation de la puce

L’institution précise d’ailleurs que certaines banques (dont les noms ne sont malheureusement pas cités) fournissent des cartes dont la puce NFC est par défaut désactivée : libre au titulaire de demander son activation quand il le souhaite, puis éventuellement sa désactivation à tout moment. Cette pratique de transparence et de souplesse est encouragée par la CNIL. Mais encore isolée.

L’objectif de la CNIL n’est pas de freiner le développement du paiement sans contact, mais d’assurer une sécurité des données personnelles et des transactions NFC, pour garantir une bonne protection des porteurs de cartes, et ainsi développer une certaine confiance dans cette technologie. En attendant la sécurité minimale : le chiffrement de toutes les transactions sans contact.

 

Source : cnil.fr
Image : Flickr / Bart / CC BY-NC 2.0

TAGS données bancairesinformations personnellesNFCsécuritévie privée

2 commentaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*

Protection anti-spam

«2 + 2 = 4»

Dans le texte ci dessus, 2 + 2 = ?

Votre réponse :

Francine
04/10/2014 08:13

C’est un début technologique pour un monde à la big Brother, il y a un danger pour les libertés à utiliser une puce NFC RFID comme moyen d’identification et de paiement cela correspond exactement au futur système économique mondial annoncé dans la bible ; l’apocalypse chapitre 13 verset 16 il y a plus de 2000 ans :

« Et elle fit que tous, petits et grands, riches et pauvres, libres et esclaves, reçoivent une marque sur leur main droite et leur front et que personne ne puisse acheter et vendre sans avoir la marque le nombre de la bête ou le nombre de son nom, c’est ici la sagesse! Que celui qui a de l’intelligence compte le nombre de la bête ; car c’est un nombre d’homme et ce nombre est six-six-six. »

Regardez comment fonctionne un code barre, le 6 6 6 est déjà caché partout sur tous les produits de consommation que nous achetons, même sur votre nouvelle carte d’électeur (pour les Français) ! Ce sont les 2 petits traits (barre de garde ou guard bar en Anglais) à gauche du code-barres, du milieu, et à droite qui en langage code-barres donne le 6, les chiffres de la partie droite du code barre ne sont pas cryptés, si vous avez un 6 au-dessus vous avez systématiquement les 2 petits traits (pour quelle raison occulte cette norme a été validé dans le monde entier?). Je n’invente rien, encore simple à vérifier sous Google avec des dessins pour mieux comprendre (en tapant : barre code et 666, puce verychip ) …

après le futur krach économique à cause de la dette on va passer au mode d’argent électronique (plus de billets et de liquide) puis à la nano puce RFID implantée sur la main droite ou le front au nom de la sécurité et de la santé (avec une modification faustienne de notre ADN en bonus) il faudra faire le bon choix …
on n’arrête pas le progrès, science sans conscience n’est que ruine de l’âme.
«Le monde est dangereux à vivre ! Non pas tant à cause de ceux qui font le mal, mais à cause de ceux qui regardent et laissent faire.» Albert Einstein

18/07/2013 08:11

[…] Les cartes bancaires équipées de puces NFC permettent d'effectuer des paiements sans contact, donc rapides. Mais la sécurité de cette technologie est pour le moins contestée, comme l'atteste le dernier rapport de la CNIL.Comme avec les cartes de transport dernière génération (ex : carte Navigo en Ile-de-France), les cartes bancaires équipées d'une puce NFC (Near Field Communication, ou communication en champ proche) permettent de réaliser des paiements, simplement en passant la carte (ou le portefeuille qui la contient) au-dessus d'une borne d'encaissement. Seul problème : cette communication sans fil peut être interceptée à distance, par un pirate équipé d'un lecteur NFC, indépendant ou intégré à un smartphone…  […]